Zum Inhalt springen

Projektantrag: Implementierung einer cloudbasierten Multifaktor-Authentifizierungslösung zur Sicherung eines bereits bestehenden Fernzugriffes


Empfohlene Beiträge

Geschrieben (bearbeitet)

Hallo zusammen,

 

mein Antrag ist nun (mMn) fertig, Abgabe ist am Montag. Vorher würde ich gerne noch eure Meinung hören wollen :)

Vielen Dank im voraus :)

 

1.           Projektbezeichnung

 

Erstellung eines Proof of Concept für die Implementierung einer cloudbasierten Multifaktor-Authentifizierungslösung zur Sicherung eines bereits bestehenden Fernzugriffes der technischen Mitarbeiter auf ein Labornetzwerk.

1.1              Kurze Projektbeschreibung*

Die Firma X (nachfolgend X genannt) ist ein IT-Dienstleister mit Sitz in Mustertstadt. Die Schwesterfirma Y (nachfolgend Y genannt) löst ihre Büroräume auf und soll im August in die Geschäftsstelle der X in Musterdorf  einziehen. Im Büro in Musterdorf haben die technischen Mitarbeiter eine eigene Laborumgebung, welches komplett abgeschottet von dem produktiven Firmennetzwerk läuft. Hier können z.B. die Auszubildenden die Aufgabenstellungen des Ausbildungsbetriebes umsetzen, ohne dabei das Produktivnetz in Gefahr bringen zu können. Die Mitarbeiter der Y werden betriebsbedingt ebenfalls Zugriff auf die Laborumgebung haben, da hier Testserver von der Y zum Einsatz kommen sollen. Derzeit existiert ein Remote-Zugriff auf dieses Labor, welcher nur durch einen rudimentären Login anhand lokaler Benutzerdaten gesichert ist. Dies stellt ein sicherheitsrelevantes Risiko dar, welches der Administrator der Firma X in Musterdorf behoben haben möchte. Er wünscht sich eine cloudbasierte Multifaktor-Authentifizierungslösung um den Fernzugriff auf das Labornetzwerk sicherer gestalten und Zugriffe protokollieren zu können. Meine Aufgabe wird es sein, ein Proof of Concept ( nachfolgend PoC genannt) durchzuführen, um die Machbarkeit einer Multi-Faktor Authentifizierung im Zusammenhang mit dem bestehenden VPN prüfen zu können.

Dieses firmeninterne Projekt soll als PoC im Rahmen meiner Projektarbeit durchgeführt werden.

 

2.                   Projektumfeld*

a)

Die Erstellung des PoC ist für mich ein Gesamtprojekt. Für X ist es ein Teil-Projekt für die vollständige Implementierung einer vollumfassenden Lösung. Organisatorische Schnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER

b)

Im Rahmen des Projekts werden voraussichtlich keine Fremdleistungen bezogen. Sollte sich im Laufe des Projekts die Notwendigkeit einer Fremdleistung ergeben, wird diese ausführlich in der Dokumentation behandelt.

c)

Umgesetzt wird das PoC in einer Labor-Umgebung in der Musterdorfer Niederlassung der X. Für diesen Zweck wird ein funktionales privates lokales Netzwerk aufgebaut, bestehend aus einem Switch, einer Firewall, einem Gateway und einem Client.

 

 

 

3.                   Projetkplanung einschließlich Zeitplanung*

Analysephase

In der Analysephase findet ein Gespräch zwischen mir und dem Kunden statt, in dem die Anforderungen und Rahmenbedingungen geklärt werden, wie zum Beispiel unter anderem die beim Kunden verwendete Hardware und Software sowie Präferenzen für eine bestimmte Lösung beziehungsweise einen bestimmten Hersteller. Kommunikationsschnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER

 

Konzeptionsphase

Nach Klärung der Rahmenbedingungen beginnt die Planungsphase. In Rahmen dieser Phase werde ich prüfen, ob mir alle benötigten Arbeitsmaterialien zur Verfügung stehen. Die Beseitigung eventuell auftretender Hindernisse werde ich mit meinem Ansprechpartner AUSBILDER klären. Außerdem werde ich mich für ein Vorgehensmodell entscheiden und Arbeitspakete definieren. Für eine zielführende Zeitplanung werde ich Meilensteine setzen

 

Realisierungsphase

In der Realisierungsphase findet die technische Umsetzung des PoC statt. Gleichzeitig wird auf einen fortlaufenden Statusabgleich mit meinem Ansprechpartner AUSBILDER geachtet. Die durchgeführten Schritte werden detailliert und nachvollziehbar dokumentiert

 

Validierungsphase

Das PoC wird getestet, um den Ansprüchen des Kunden gerecht zu werden. Für die Tests dienen, im Vorfeld definierte Testszenarien sowie vorab festgelegte Messkriterien im Bezug auf die zu erwartenden Ergebnisse, welche sowohl dem Endkunden, als auch mir als Projektverantwortlichen eindeutig Transparenz über den funktionalen Erfolg der Lösung geben sollen.

 

Dokumentationsphase

Aufbau, Funktion, Administration, getroffene Entscheidungen und Zugangsdaten werden in einer Projektdokumentation zusammengefasst und dem Kunden übergeben

Da das Projekt voraussichtlich ohne Fremdleistungen auskommen wird, sind alle Phasen prüfungsrelevant.

Eine Zuordnung des Zeitaufwands zu den einzelnen Phasen lässt sich aus der Tabelle im Anhang entnehmen

4.                   Durchführungszeitraum*

04.Oktober – 25.Oktober

 

Analysephase 2 Std

Konzeptionsphase 7 Std

Realisierungsphase 12 Std

Validierungsphase 3 Std

Dokumentationsphase 9 Std

Puffer2 Std

 

 

Was vielleicht nur gut zu wissen ist: Meine IHK fordert keine detaillierte gliderung der phasen in einzelne Teilphasen/-schritte. Es reicht also wenn ich sage, für welche große Phase ich wie viele Stunden geplant habe. Und ein Puffer soll gern gesehen sein bei meiner IHK, habe ich mir sagen lassen 

Bearbeitet von Whitehammer03
Geschrieben (bearbeitet)
vor 15 Minuten schrieb Whitehammer03:

cloudbasierten Multifaktor-Authentifizierungslösung

Datenschutz? Hierzu kann @charmanta mehr sagen.

vor 15 Minuten schrieb Whitehammer03:

Switch, einer Firewall, einem Gateway und einem Client.

Passiert hier eine Auswahl anhand Kriterien? Fallen die Sachen vom Himmel oder sind diese schon da? 😉

vor 15 Minuten schrieb Whitehammer03:

Außerdem werde ich mich für ein Vorgehensmodell entscheiden

Entscheiden woran? Definieter Kriterien aus der Analysephase oder Vorgaben von "oben" ?
Vielleicht schilderst Du uns noch einmal kurz, welche Entscheidungen von Dir konkret getroffen werden und prüfst vor deinem geistigen Auge einmal, welche Alternativen es gibt.

Ansonsten klingt es spannend - nur der Datenschutz würde mir persönlich Bauchschmerzen bereiten. Außer Du bist fit in dem Thema.

vor 15 Minuten schrieb Whitehammer03:

Analysephase 2 Std

Konzeptionsphase 7 Std

Realisierungsphase 12 Std

Validierungsphase 3 Std

Dokumentationsphase 9 Std

Puffer2 Std

2 Stnden Puffer finde ich jedoch viel für 35 Stunden gesamt. Mach die Analysephase länger und den Puffer etwas kleiner, würde ich sagen.

 

Insgesamt, so mein Eindruck, ist das hier aber schon Meckern auf sehr hohem Niveau! 😉

Bearbeitet von ickevondepinguin
Geschrieben
vor 20 Minuten schrieb Whitehammer03:

wünscht sich eine cloudbasierte Multifaktor-Authentifizierungslösung

... wieso denn überhaupt mit Cloud ?

Such doch eine Lösung zur Absicherung des Zugriffs und beleuchte auch die Cloud.

vor 6 Minuten schrieb ickevondepinguin:

Datenschutz? Hierzu kann @charmanta mehr sagen.

Viel Schlimmer. Der freut sich auf ein Fachgespräch *Messerwetz*

Ernsthaft, Cloud sollte da wohl immer eine der ferneren Lösungen sein. Wenn der Kunde das so will ists Dein Job ihm Vor- und Nachteile darzulegen, dies alles in Beachtung der DSGVO. Genau das wäre dann mein Ansatz bei Dir im FG ...

Geschrieben (bearbeitet)

Vielen Dank @ickevondepinguin und @charmanta erstmal für eure Meinungen :) 

 

Die genannten Netzwerkgeräte sind schon da , dachte das wäre ersichtlich, da das ganze ja in einer Laborumgebung getestet werden soll. Aber wenn ihr meint, ich solle das nochmal verdeutlichen, kann ich das gerne machen.

 

Bei dem Vorgehensmodell sieht es so aus, eigentlich weiß ich schon, welches ich nutzen werde, nämlich das (erweiterte) Wasserfallmodell. Unsere BS-Lehrer haben uns dringend geraten, dieses zu nutzen, alles andere könnte leicht nach hinten losgehen sagten sie. 

 

Im Prinzip dachte ich mir, ich kann folgende Entscheidungen in diesem Projekt treffen:

 

Welche Cloud (Azure, AWS, etc.)?

Welches Produkt ( Microsoft MFA, Cisco DUO, etc.)?

Welche zusätzlichen Faktoren (bzw. welche sind die sichersten und passendsten)?

 

 

Zur Frage warum unbedingt Cloud: 1. Vorgabe von oben, wir hätten gerne eine Cloudlösung.

2. Setzen auch immer mehr Kunden auf Cloudlösungen bei uns und es gibt auch immer mehr Kunden, die genau dieses Thema bei uns angefragt haben. Ich denke man möchte durch mein Projekt auch sehen, ob man sowas nicht auch bei diesen Kunden implementieren könnte. Die Cloud ist bei uns in der Firma aber auch bei Kunden längst beliebt und in Nutzung.

Bearbeitet von Whitehammer03
Geschrieben
vor 5 Minuten schrieb Whitehammer03:

Welche Cloud (Azure, AWS, etc.)?

Welches Produkt ( Microsoft MFA, Cisco DUO, etc.)?

... das sind alles US DIenstleister. Ich hoffe, Du bist Dir über die Auswirkungen klar ???

Geschrieben
Gerade eben schrieb charmanta:

... das sind alles US DIenstleister. Ich hoffe, Du bist Dir über die Auswirkungen klar ???

Ich denke dich stört der Datenschutzaspekt, oder ? :) Ich weiß zwar, dass es zu 90% auf Azure hinauslaufen wird ( da unsere restliche Cloud Infrastruktur inkl AD etc. auch auf Azure laufen, aber: Kann man in der Cloud nicht auswählen, dass die benutze Infrastruktur ausschließlich in DE oder zumindest EU liegen soll? Zumindest habe ich das bei einer Azure Schulung gelernt am Anfang des Jahres.

Geschrieben

der Dienstleister bleibt ein US DIenstleister. Im Moment gibt es nur sehr komplexe Methoden, sowas legal zu betreiben. Es würde mich fast wundern, wenn Dein Arbeitgeber eine von denen betreibt ;)

Schau mal nach dem "Privacy Shield" Abkommen und der Rechtslücke seit dessen Tod

Geschrieben

Okey, komisch, wir und ein Großteil unserer Kunden nutzt bereits vollumfängliche Cloudlösungen.

 

Aber der "einzige" Teil, der in diesem Projekt in der Cloud laufen soll, ist ja eine Test-AD mit Testusern und z.B Microsoft MFA , welches dann mit dem AD verknüpft werden soll..kann man da trotzdem von einem großen Datenschutzproblem sprechen, auch wenn alles nur Test-Daten sind, die im Zuge des PoC generiert werden?

Geschrieben
vor 4 Minuten schrieb Whitehammer03:

kann man da trotzdem von einem großen Datenschutzproblem sprechen, auch wenn alles nur Test-Daten sind, die im Zuge des PoC generiert werden?

Ja, weil das PoC ggf. ja dann auch bei Euch oder beim Kunden eingesetzt werden soll, alá: "Ich hab da mal was vorbereitet...." 😉

Und dazu gehört eben genau diese "Beratungsleistung", die charmanta auch beschrieben hatte. Letztendlich empfiehlst Du da eine "Musterlösung" für Euch und ggf. eure Kunden. Und Diese muss rechtssicher betrieben werden können.

Geschrieben
vor 16 Minuten schrieb ickevondepinguin:

Ja, weil das PoC ggf. ja dann auch bei Euch oder beim Kunden eingesetzt werden soll, alá: "Ich hab da mal was vorbereitet...." 😉

Und dazu gehört eben genau diese "Beratungsleistung", die charmanta auch beschrieben hatte. Letztendlich empfiehlst Du da eine "Musterlösung" für Euch und ggf. eure Kunden. Und Diese muss rechtssicher betrieben werden können.

Ah, okey. Klingt logisch. Wie wäre es dann, wenn ich im Antrag speziell erwähne, dass ich mit dem PoC nur die TECHNISCHE Machbarkeit prüfen möchte? Ich denke nämlich nicht, dass sich so schnell ein neues Thema finden lassen wird und bei diesem Thema will mein AG unbedingt auf die Cloud setze. Mir sind quasi die Hände gebunden. Ich würde mich sicherheitshalber auf Fragen in Richtung Cloud-Datenschutz vorbereiten bis zum Fachgespräch

 

Geschrieben

Hey ich bin Arzt und kann kein Blut sehen. Bitte lasst mich nur reden, aber schneiden tun bitte andere Leute :D

vor 26 Minuten schrieb Whitehammer03:

Wie wäre es dann, wenn ich im Antrag speziell erwähne, dass ich mit dem PoC nur die TECHNISCHE Machbarkeit prüfen möchte?

Mit dem Prüfungsteil zeigst Du Deine Praxisreife. Vollumfänglich. Klar kannste das erwähnen, aber das rettet Dich nicht vor dem Fachgespräch. Außerdem gehört das so oder so auch in der Arbeit in die "thematische Durchdringung"

Geschrieben

Gut, dann werde ich mich der Herausforderung stellen!  💪

Ich hoffe die Prüfer werden nicht all zu streng mit mir sein... aber wird schon.. irgendwie 😄

 

Was haltet ihr davon, meine Sätze unter den Punkten 1-4 in der Ich-Form zu schreiben? Ich habe gemerkt, dass ich da dann doch zu oft allgemein gesprochen habe z.B.  Das PoC wird getestet,.. oder  werden in einer Projektdokumentation zusammengefasst und dem Kunden übergeben

 

stattdessen wäre mein Vorschlag: Das PoC werde ich testen, um... / werde ich in einer Projektdokumentation zusammenfassen und dem Kunden übergeben usw usf... wäre besser denke ich,oder? :) Und den Puffer werde ich noch auf 1 Std verkürzen.

Geschrieben
vor 56 Minuten schrieb KeeperOfCoffee:

Wie wäre es mit einem europäischen Cloudanbietern? OVH zum Bleistift.

Da bin ich mir aber nicht sicher, ob das so ohne weiteres möglich ist und wenn ja, WIE es möglich ist. Da unsere AD etc ja auch über Azure läuft wäre es zudem wahrscheinlich sinnvoller, in einem PoC auch die selbe Umgebung nachzustellen.

Geschrieben (bearbeitet)

Hier nun meine finale Version :) 

 

1.           Projektbezeichnung

 

Erstellung eines Proof of Concept für die Implementierung einer cloudbasierten Multifaktor-Authentifizierungslösung zur Sicherung eines bereits bestehenden Fernzugriffes der technischen Mitarbeiter auf ein Labornetzwerk.

1.1              Kurze Projektbeschreibung*

Die XXXX (nachfolgend X genannt) ist ein IT-Dienstleister mit Sitz in XXXX. Die Schwesterfirma YYY   (nachfolgend Y genannt) löst ihre Büroräume auf und soll im August in die Geschäftsstelle der X in MUSTERDORF einziehen. Im Büro in MUSTERDORF haben die technischen Mitarbeiter eine eigene Laborumgebung, welches komplett abgeschottet von dem produktiven Firmennetzwerk läuft. Hier können die Auszubildenden die Aufgabenstellungen des Ausbildungsbetriebes umsetzen, ohne dabei das Produktivnetz in Gefahr bringen zu können. Die Mitarbeiter der Y werden betriebsbedingt ebenfalls Zugriff auf die Laborumgebung haben, da hier Testserver von der Y zum Einsatz kommen sollen. Derzeit existiert ein Remote-Zugriff auf dieses Labor, welcher nur durch einen rudimentären Login anhand lokaler Benutzerdaten gesichert ist. Dies stellt ein sicherheitsrelevantes Risiko dar, welches der Administrator der Firma X in MUSTERDORF behoben haben möchte. Er wünscht sich eine cloudbasierte Multifaktor-Authentifizierungslösung um den Fernzugriff auf das Labornetzwerk sicherer gestalten und Zugriffe protokollieren zu können. Meine Aufgabe wird es sein, ein Proof of Concept ( nachfolgend PoC genannt) durchzuführen, um die Machbarkeit einer Multi-Faktor Authentifizierung im Zusammenhang mit dem bestehenden Remote Access SSLVPN prüfen zu können.

Dieses firmeninterne Projekt soll als PoC im Rahmen meiner Projektarbeit durchgeführt werden.

 

2.                   Projektumfeld*

a)

Die Erstellung des PoC ist für mich ein Gesamtprojekt. Für X ist es ein Teil-Projekt für die vollständige Implementierung einer vollumfassenden Lösung. Organisatorische Schnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER

b)

Im Rahmen des Projekts werden voraussichtlich keine Fremdleistungen bezogen. Sollte sich im Laufe des Projekts die Notwendigkeit einer Fremdleistung ergeben, werde ich diese ausführlich in der Dokumentation behandeln.

c)

Umgesetzt wird das PoC in einer Labor-Umgebung in der MUSTERDORFER Niederlassung der X. Für diesen Zweck werde ich ein funktionales privates lokales Netzwerk aufbauen, bestehend aus einem Switch, einer Firewall, einem Gateway und einem Client.

 

 

 

3.                   Projetkplanung einschließlich Zeitplanung*

Analysephase

In der Analysephase findet ein Gespräch zwischen mir und dem Kunden statt, in dem die Anforderungen und Rahmenbedingungen geklärt werden, wie zum Beispiel unter anderem die beim Kunden verwendete Hardware und Software sowie Präferenzen für eine bestimmte Lösung beziehungsweise einen bestimmten Hersteller. Kommunikationsschnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER

 

Konzeptionsphase

Nach Klärung der Rahmenbedingungen beginnt die Planungsphase. In Rahmen dieser Phase werde ich prüfen, ob mir alle benötigten Arbeitsmaterialien zur Verfügung stehen. Die Beseitigung eventuell auftretender Hindernisse werde ich mit meinem Ansprechpartner AUSBILDER klären. Außerdem werde ich mich für ein Vorgehensmodell entscheiden und Arbeitspakete definieren. Für eine zielführende Zeitplanung werde ich Meilensteine setzen

 

Realisierungsphase

In der Realisierungsphase findet die technische Umsetzung des PoC statt. Gleichzeitig werde ich auf einen fortlaufenden Statusabgleich mit meinem Ansprechpartner AUSBILDER achten. Die durchgeführten Schritte werde ich detailliert und nachvollziehbar dokumentieren.

 

Validierungsphase

Das PoC werde ich testen, um den Ansprüchen des Kunden gerecht zu werden. Für die Tests dienen, im Vorfeld definierte Testszenarien sowie vorab festgelegte Messkriterien im Bezug auf die zu erwartenden Ergebnisse, welche sowohl dem Endkunden, als auch mir als Projektverantwortlichen eindeutig Transparenz über den funktionalen Erfolg der Lösung geben sollen.

 

Dokumentationsphase

Aufbau, Funktion, Administration, getroffene Entscheidungen und Zugangsdaten werde ich in einer Projektdokumentation zusammenfassen und dem Kunden übergeben.

Da das Projekt voraussichtlich ohne Fremdleistungen auskommen wird, sind alle Phasen prüfungsrelevant.

Eine Zuordnung des Zeitaufwands zu den einzelnen Phasen lässt sich aus der Tabelle im Anhang entnehmen

4.                   Durchführungszeitraum*

04.Oktober – 25.Oktober

 

Analysephase 3 Std

Konzeptionsphase 7 Std

Realisierungsphase 12 Std

Validierungsphase 3 Std

Dokumentationsphase 9 Std

Puffer 1 Std

Bearbeitet von Whitehammer03
  • 8 Monate später...

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...