Whitehammer03 Geschrieben 5. August 2021 Geschrieben 5. August 2021 (bearbeitet) Hallo zusammen, mein Antrag ist nun (mMn) fertig, Abgabe ist am Montag. Vorher würde ich gerne noch eure Meinung hören wollen Vielen Dank im voraus 1. Projektbezeichnung Erstellung eines Proof of Concept für die Implementierung einer cloudbasierten Multifaktor-Authentifizierungslösung zur Sicherung eines bereits bestehenden Fernzugriffes der technischen Mitarbeiter auf ein Labornetzwerk. 1.1 Kurze Projektbeschreibung* Die Firma X (nachfolgend X genannt) ist ein IT-Dienstleister mit Sitz in Mustertstadt. Die Schwesterfirma Y (nachfolgend Y genannt) löst ihre Büroräume auf und soll im August in die Geschäftsstelle der X in Musterdorf einziehen. Im Büro in Musterdorf haben die technischen Mitarbeiter eine eigene Laborumgebung, welches komplett abgeschottet von dem produktiven Firmennetzwerk läuft. Hier können z.B. die Auszubildenden die Aufgabenstellungen des Ausbildungsbetriebes umsetzen, ohne dabei das Produktivnetz in Gefahr bringen zu können. Die Mitarbeiter der Y werden betriebsbedingt ebenfalls Zugriff auf die Laborumgebung haben, da hier Testserver von der Y zum Einsatz kommen sollen. Derzeit existiert ein Remote-Zugriff auf dieses Labor, welcher nur durch einen rudimentären Login anhand lokaler Benutzerdaten gesichert ist. Dies stellt ein sicherheitsrelevantes Risiko dar, welches der Administrator der Firma X in Musterdorf behoben haben möchte. Er wünscht sich eine cloudbasierte Multifaktor-Authentifizierungslösung um den Fernzugriff auf das Labornetzwerk sicherer gestalten und Zugriffe protokollieren zu können. Meine Aufgabe wird es sein, ein Proof of Concept ( nachfolgend PoC genannt) durchzuführen, um die Machbarkeit einer Multi-Faktor Authentifizierung im Zusammenhang mit dem bestehenden VPN prüfen zu können. Dieses firmeninterne Projekt soll als PoC im Rahmen meiner Projektarbeit durchgeführt werden. 2. Projektumfeld* a) Die Erstellung des PoC ist für mich ein Gesamtprojekt. Für X ist es ein Teil-Projekt für die vollständige Implementierung einer vollumfassenden Lösung. Organisatorische Schnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER b) Im Rahmen des Projekts werden voraussichtlich keine Fremdleistungen bezogen. Sollte sich im Laufe des Projekts die Notwendigkeit einer Fremdleistung ergeben, wird diese ausführlich in der Dokumentation behandelt. c) Umgesetzt wird das PoC in einer Labor-Umgebung in der Musterdorfer Niederlassung der X. Für diesen Zweck wird ein funktionales privates lokales Netzwerk aufgebaut, bestehend aus einem Switch, einer Firewall, einem Gateway und einem Client. 3. Projetkplanung einschließlich Zeitplanung* Analysephase In der Analysephase findet ein Gespräch zwischen mir und dem Kunden statt, in dem die Anforderungen und Rahmenbedingungen geklärt werden, wie zum Beispiel unter anderem die beim Kunden verwendete Hardware und Software sowie Präferenzen für eine bestimmte Lösung beziehungsweise einen bestimmten Hersteller. Kommunikationsschnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER Konzeptionsphase Nach Klärung der Rahmenbedingungen beginnt die Planungsphase. In Rahmen dieser Phase werde ich prüfen, ob mir alle benötigten Arbeitsmaterialien zur Verfügung stehen. Die Beseitigung eventuell auftretender Hindernisse werde ich mit meinem Ansprechpartner AUSBILDER klären. Außerdem werde ich mich für ein Vorgehensmodell entscheiden und Arbeitspakete definieren. Für eine zielführende Zeitplanung werde ich Meilensteine setzen Realisierungsphase In der Realisierungsphase findet die technische Umsetzung des PoC statt. Gleichzeitig wird auf einen fortlaufenden Statusabgleich mit meinem Ansprechpartner AUSBILDER geachtet. Die durchgeführten Schritte werden detailliert und nachvollziehbar dokumentiert Validierungsphase Das PoC wird getestet, um den Ansprüchen des Kunden gerecht zu werden. Für die Tests dienen, im Vorfeld definierte Testszenarien sowie vorab festgelegte Messkriterien im Bezug auf die zu erwartenden Ergebnisse, welche sowohl dem Endkunden, als auch mir als Projektverantwortlichen eindeutig Transparenz über den funktionalen Erfolg der Lösung geben sollen. Dokumentationsphase Aufbau, Funktion, Administration, getroffene Entscheidungen und Zugangsdaten werden in einer Projektdokumentation zusammengefasst und dem Kunden übergeben Da das Projekt voraussichtlich ohne Fremdleistungen auskommen wird, sind alle Phasen prüfungsrelevant. Eine Zuordnung des Zeitaufwands zu den einzelnen Phasen lässt sich aus der Tabelle im Anhang entnehmen 4. Durchführungszeitraum* 04.Oktober – 25.Oktober Analysephase 2 Std Konzeptionsphase 7 Std Realisierungsphase 12 Std Validierungsphase 3 Std Dokumentationsphase 9 Std Puffer2 Std Was vielleicht nur gut zu wissen ist: Meine IHK fordert keine detaillierte gliderung der phasen in einzelne Teilphasen/-schritte. Es reicht also wenn ich sage, für welche große Phase ich wie viele Stunden geplant habe. Und ein Puffer soll gern gesehen sein bei meiner IHK, habe ich mir sagen lassen Bearbeitet 5. August 2021 von Whitehammer03 Zitieren
ickevondepinguin Geschrieben 5. August 2021 Geschrieben 5. August 2021 (bearbeitet) vor 15 Minuten schrieb Whitehammer03: cloudbasierten Multifaktor-Authentifizierungslösung Datenschutz? Hierzu kann @charmanta mehr sagen. vor 15 Minuten schrieb Whitehammer03: Switch, einer Firewall, einem Gateway und einem Client. Passiert hier eine Auswahl anhand Kriterien? Fallen die Sachen vom Himmel oder sind diese schon da? 😉 vor 15 Minuten schrieb Whitehammer03: Außerdem werde ich mich für ein Vorgehensmodell entscheiden Entscheiden woran? Definieter Kriterien aus der Analysephase oder Vorgaben von "oben" ? Vielleicht schilderst Du uns noch einmal kurz, welche Entscheidungen von Dir konkret getroffen werden und prüfst vor deinem geistigen Auge einmal, welche Alternativen es gibt. Ansonsten klingt es spannend - nur der Datenschutz würde mir persönlich Bauchschmerzen bereiten. Außer Du bist fit in dem Thema. vor 15 Minuten schrieb Whitehammer03: Analysephase 2 Std Konzeptionsphase 7 Std Realisierungsphase 12 Std Validierungsphase 3 Std Dokumentationsphase 9 Std Puffer2 Std 2 Stnden Puffer finde ich jedoch viel für 35 Stunden gesamt. Mach die Analysephase länger und den Puffer etwas kleiner, würde ich sagen. Insgesamt, so mein Eindruck, ist das hier aber schon Meckern auf sehr hohem Niveau! 😉 Bearbeitet 5. August 2021 von ickevondepinguin Whitehammer03 reagierte darauf 1 Zitieren
charmanta Geschrieben 5. August 2021 Geschrieben 5. August 2021 vor 20 Minuten schrieb Whitehammer03: wünscht sich eine cloudbasierte Multifaktor-Authentifizierungslösung ... wieso denn überhaupt mit Cloud ? Such doch eine Lösung zur Absicherung des Zugriffs und beleuchte auch die Cloud. vor 6 Minuten schrieb ickevondepinguin: Datenschutz? Hierzu kann @charmanta mehr sagen. Viel Schlimmer. Der freut sich auf ein Fachgespräch *Messerwetz* Ernsthaft, Cloud sollte da wohl immer eine der ferneren Lösungen sein. Wenn der Kunde das so will ists Dein Job ihm Vor- und Nachteile darzulegen, dies alles in Beachtung der DSGVO. Genau das wäre dann mein Ansatz bei Dir im FG ... ickevondepinguin und Whitehammer03 reagierten darauf 2 Zitieren
Whitehammer03 Geschrieben 5. August 2021 Autor Geschrieben 5. August 2021 (bearbeitet) Vielen Dank @ickevondepinguin und @charmanta erstmal für eure Meinungen Die genannten Netzwerkgeräte sind schon da , dachte das wäre ersichtlich, da das ganze ja in einer Laborumgebung getestet werden soll. Aber wenn ihr meint, ich solle das nochmal verdeutlichen, kann ich das gerne machen. Bei dem Vorgehensmodell sieht es so aus, eigentlich weiß ich schon, welches ich nutzen werde, nämlich das (erweiterte) Wasserfallmodell. Unsere BS-Lehrer haben uns dringend geraten, dieses zu nutzen, alles andere könnte leicht nach hinten losgehen sagten sie. Im Prinzip dachte ich mir, ich kann folgende Entscheidungen in diesem Projekt treffen: Welche Cloud (Azure, AWS, etc.)? Welches Produkt ( Microsoft MFA, Cisco DUO, etc.)? Welche zusätzlichen Faktoren (bzw. welche sind die sichersten und passendsten)? Zur Frage warum unbedingt Cloud: 1. Vorgabe von oben, wir hätten gerne eine Cloudlösung. 2. Setzen auch immer mehr Kunden auf Cloudlösungen bei uns und es gibt auch immer mehr Kunden, die genau dieses Thema bei uns angefragt haben. Ich denke man möchte durch mein Projekt auch sehen, ob man sowas nicht auch bei diesen Kunden implementieren könnte. Die Cloud ist bei uns in der Firma aber auch bei Kunden längst beliebt und in Nutzung. Bearbeitet 5. August 2021 von Whitehammer03 Zitieren
charmanta Geschrieben 5. August 2021 Geschrieben 5. August 2021 vor 5 Minuten schrieb Whitehammer03: Welche Cloud (Azure, AWS, etc.)? Welches Produkt ( Microsoft MFA, Cisco DUO, etc.)? ... das sind alles US DIenstleister. Ich hoffe, Du bist Dir über die Auswirkungen klar ??? Zitieren
Whitehammer03 Geschrieben 5. August 2021 Autor Geschrieben 5. August 2021 Gerade eben schrieb charmanta: ... das sind alles US DIenstleister. Ich hoffe, Du bist Dir über die Auswirkungen klar ??? Ich denke dich stört der Datenschutzaspekt, oder ? Ich weiß zwar, dass es zu 90% auf Azure hinauslaufen wird ( da unsere restliche Cloud Infrastruktur inkl AD etc. auch auf Azure laufen, aber: Kann man in der Cloud nicht auswählen, dass die benutze Infrastruktur ausschließlich in DE oder zumindest EU liegen soll? Zumindest habe ich das bei einer Azure Schulung gelernt am Anfang des Jahres. Zitieren
charmanta Geschrieben 5. August 2021 Geschrieben 5. August 2021 der Dienstleister bleibt ein US DIenstleister. Im Moment gibt es nur sehr komplexe Methoden, sowas legal zu betreiben. Es würde mich fast wundern, wenn Dein Arbeitgeber eine von denen betreibt Schau mal nach dem "Privacy Shield" Abkommen und der Rechtslücke seit dessen Tod Whitehammer03 reagierte darauf 1 Zitieren
Whitehammer03 Geschrieben 5. August 2021 Autor Geschrieben 5. August 2021 Okey, komisch, wir und ein Großteil unserer Kunden nutzt bereits vollumfängliche Cloudlösungen. Aber der "einzige" Teil, der in diesem Projekt in der Cloud laufen soll, ist ja eine Test-AD mit Testusern und z.B Microsoft MFA , welches dann mit dem AD verknüpft werden soll..kann man da trotzdem von einem großen Datenschutzproblem sprechen, auch wenn alles nur Test-Daten sind, die im Zuge des PoC generiert werden? Zitieren
ickevondepinguin Geschrieben 5. August 2021 Geschrieben 5. August 2021 vor 4 Minuten schrieb Whitehammer03: kann man da trotzdem von einem großen Datenschutzproblem sprechen, auch wenn alles nur Test-Daten sind, die im Zuge des PoC generiert werden? Ja, weil das PoC ggf. ja dann auch bei Euch oder beim Kunden eingesetzt werden soll, alá: "Ich hab da mal was vorbereitet...." 😉 Und dazu gehört eben genau diese "Beratungsleistung", die charmanta auch beschrieben hatte. Letztendlich empfiehlst Du da eine "Musterlösung" für Euch und ggf. eure Kunden. Und Diese muss rechtssicher betrieben werden können. Whitehammer03 reagierte darauf 1 Zitieren
Whitehammer03 Geschrieben 5. August 2021 Autor Geschrieben 5. August 2021 vor 16 Minuten schrieb ickevondepinguin: Ja, weil das PoC ggf. ja dann auch bei Euch oder beim Kunden eingesetzt werden soll, alá: "Ich hab da mal was vorbereitet...." 😉 Und dazu gehört eben genau diese "Beratungsleistung", die charmanta auch beschrieben hatte. Letztendlich empfiehlst Du da eine "Musterlösung" für Euch und ggf. eure Kunden. Und Diese muss rechtssicher betrieben werden können. Ah, okey. Klingt logisch. Wie wäre es dann, wenn ich im Antrag speziell erwähne, dass ich mit dem PoC nur die TECHNISCHE Machbarkeit prüfen möchte? Ich denke nämlich nicht, dass sich so schnell ein neues Thema finden lassen wird und bei diesem Thema will mein AG unbedingt auf die Cloud setze. Mir sind quasi die Hände gebunden. Ich würde mich sicherheitshalber auf Fragen in Richtung Cloud-Datenschutz vorbereiten bis zum Fachgespräch Zitieren
charmanta Geschrieben 5. August 2021 Geschrieben 5. August 2021 Hey ich bin Arzt und kann kein Blut sehen. Bitte lasst mich nur reden, aber schneiden tun bitte andere Leute vor 26 Minuten schrieb Whitehammer03: Wie wäre es dann, wenn ich im Antrag speziell erwähne, dass ich mit dem PoC nur die TECHNISCHE Machbarkeit prüfen möchte? Mit dem Prüfungsteil zeigst Du Deine Praxisreife. Vollumfänglich. Klar kannste das erwähnen, aber das rettet Dich nicht vor dem Fachgespräch. Außerdem gehört das so oder so auch in der Arbeit in die "thematische Durchdringung" allesweg, Whitehammer03 und ickevondepinguin reagierten darauf 2 1 Zitieren
Whitehammer03 Geschrieben 5. August 2021 Autor Geschrieben 5. August 2021 Was würdet ihr mir nun raten in dem Fall? 😕 Bei dem Thema komme ich nicht um die Cloud drumrum( da Vorgabe ) und ein neues Thema so auf die Schnelle finden wird wahrscheinlich auch nicht klappen.. 😕 Zitieren
charmanta Geschrieben 5. August 2021 Geschrieben 5. August 2021 Stell Dich der Herausforderung ? Wenn Du das eh schon den ganzen Tag über machst dann solltest Du den rechtlichen Teil auch mal gehört haben Den findest Du übrigens auch hier im angebotenen Datenschutzkurz für Azubis... Whitehammer03 und ickevondepinguin reagierten darauf 2 Zitieren
Whitehammer03 Geschrieben 5. August 2021 Autor Geschrieben 5. August 2021 Gut, dann werde ich mich der Herausforderung stellen! 💪 Ich hoffe die Prüfer werden nicht all zu streng mit mir sein... aber wird schon.. irgendwie 😄 Was haltet ihr davon, meine Sätze unter den Punkten 1-4 in der Ich-Form zu schreiben? Ich habe gemerkt, dass ich da dann doch zu oft allgemein gesprochen habe z.B. Das PoC wird getestet,.. oder werden in einer Projektdokumentation zusammengefasst und dem Kunden übergeben stattdessen wäre mein Vorschlag: Das PoC werde ich testen, um... / werde ich in einer Projektdokumentation zusammenfassen und dem Kunden übergeben usw usf... wäre besser denke ich,oder? Und den Puffer werde ich noch auf 1 Std verkürzen. ickevondepinguin reagierte darauf 1 Zitieren
ickevondepinguin Geschrieben 5. August 2021 Geschrieben 5. August 2021 vor 15 Minuten schrieb Whitehammer03: stattdessen wäre mein Vorschlag Puffer: Ja! Gerne. Rest: Kann man so oder so machen - wie es dir beliebt. 🙂 Beides ist in Ordnung. Whitehammer03 reagierte darauf 1 Zitieren
KeeperOfCoffee Geschrieben 5. August 2021 Geschrieben 5. August 2021 (bearbeitet) Wie wäre es mit einem europäischen Cloudanbietern? OVH zum Bleistift. Bearbeitet 5. August 2021 von KeeperOfCoffee Whitehammer03 reagierte darauf 1 Zitieren
Whitehammer03 Geschrieben 5. August 2021 Autor Geschrieben 5. August 2021 vor 56 Minuten schrieb KeeperOfCoffee: Wie wäre es mit einem europäischen Cloudanbietern? OVH zum Bleistift. Da bin ich mir aber nicht sicher, ob das so ohne weiteres möglich ist und wenn ja, WIE es möglich ist. Da unsere AD etc ja auch über Azure läuft wäre es zudem wahrscheinlich sinnvoller, in einem PoC auch die selbe Umgebung nachzustellen. Zitieren
Whitehammer03 Geschrieben 6. August 2021 Autor Geschrieben 6. August 2021 (bearbeitet) Hier nun meine finale Version 1. Projektbezeichnung Erstellung eines Proof of Concept für die Implementierung einer cloudbasierten Multifaktor-Authentifizierungslösung zur Sicherung eines bereits bestehenden Fernzugriffes der technischen Mitarbeiter auf ein Labornetzwerk. 1.1 Kurze Projektbeschreibung* Die XXXX (nachfolgend X genannt) ist ein IT-Dienstleister mit Sitz in XXXX. Die Schwesterfirma YYY (nachfolgend Y genannt) löst ihre Büroräume auf und soll im August in die Geschäftsstelle der X in MUSTERDORF einziehen. Im Büro in MUSTERDORF haben die technischen Mitarbeiter eine eigene Laborumgebung, welches komplett abgeschottet von dem produktiven Firmennetzwerk läuft. Hier können die Auszubildenden die Aufgabenstellungen des Ausbildungsbetriebes umsetzen, ohne dabei das Produktivnetz in Gefahr bringen zu können. Die Mitarbeiter der Y werden betriebsbedingt ebenfalls Zugriff auf die Laborumgebung haben, da hier Testserver von der Y zum Einsatz kommen sollen. Derzeit existiert ein Remote-Zugriff auf dieses Labor, welcher nur durch einen rudimentären Login anhand lokaler Benutzerdaten gesichert ist. Dies stellt ein sicherheitsrelevantes Risiko dar, welches der Administrator der Firma X in MUSTERDORF behoben haben möchte. Er wünscht sich eine cloudbasierte Multifaktor-Authentifizierungslösung um den Fernzugriff auf das Labornetzwerk sicherer gestalten und Zugriffe protokollieren zu können. Meine Aufgabe wird es sein, ein Proof of Concept ( nachfolgend PoC genannt) durchzuführen, um die Machbarkeit einer Multi-Faktor Authentifizierung im Zusammenhang mit dem bestehenden Remote Access SSLVPN prüfen zu können. Dieses firmeninterne Projekt soll als PoC im Rahmen meiner Projektarbeit durchgeführt werden. 2. Projektumfeld* a) Die Erstellung des PoC ist für mich ein Gesamtprojekt. Für X ist es ein Teil-Projekt für die vollständige Implementierung einer vollumfassenden Lösung. Organisatorische Schnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER b) Im Rahmen des Projekts werden voraussichtlich keine Fremdleistungen bezogen. Sollte sich im Laufe des Projekts die Notwendigkeit einer Fremdleistung ergeben, werde ich diese ausführlich in der Dokumentation behandeln. c) Umgesetzt wird das PoC in einer Labor-Umgebung in der MUSTERDORFER Niederlassung der X. Für diesen Zweck werde ich ein funktionales privates lokales Netzwerk aufbauen, bestehend aus einem Switch, einer Firewall, einem Gateway und einem Client. 3. Projetkplanung einschließlich Zeitplanung* Analysephase In der Analysephase findet ein Gespräch zwischen mir und dem Kunden statt, in dem die Anforderungen und Rahmenbedingungen geklärt werden, wie zum Beispiel unter anderem die beim Kunden verwendete Hardware und Software sowie Präferenzen für eine bestimmte Lösung beziehungsweise einen bestimmten Hersteller. Kommunikationsschnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER Konzeptionsphase Nach Klärung der Rahmenbedingungen beginnt die Planungsphase. In Rahmen dieser Phase werde ich prüfen, ob mir alle benötigten Arbeitsmaterialien zur Verfügung stehen. Die Beseitigung eventuell auftretender Hindernisse werde ich mit meinem Ansprechpartner AUSBILDER klären. Außerdem werde ich mich für ein Vorgehensmodell entscheiden und Arbeitspakete definieren. Für eine zielführende Zeitplanung werde ich Meilensteine setzen Realisierungsphase In der Realisierungsphase findet die technische Umsetzung des PoC statt. Gleichzeitig werde ich auf einen fortlaufenden Statusabgleich mit meinem Ansprechpartner AUSBILDER achten. Die durchgeführten Schritte werde ich detailliert und nachvollziehbar dokumentieren. Validierungsphase Das PoC werde ich testen, um den Ansprüchen des Kunden gerecht zu werden. Für die Tests dienen, im Vorfeld definierte Testszenarien sowie vorab festgelegte Messkriterien im Bezug auf die zu erwartenden Ergebnisse, welche sowohl dem Endkunden, als auch mir als Projektverantwortlichen eindeutig Transparenz über den funktionalen Erfolg der Lösung geben sollen. Dokumentationsphase Aufbau, Funktion, Administration, getroffene Entscheidungen und Zugangsdaten werde ich in einer Projektdokumentation zusammenfassen und dem Kunden übergeben. Da das Projekt voraussichtlich ohne Fremdleistungen auskommen wird, sind alle Phasen prüfungsrelevant. Eine Zuordnung des Zeitaufwands zu den einzelnen Phasen lässt sich aus der Tabelle im Anhang entnehmen 4. Durchführungszeitraum* 04.Oktober – 25.Oktober Analysephase 3 Std Konzeptionsphase 7 Std Realisierungsphase 12 Std Validierungsphase 3 Std Dokumentationsphase 9 Std Puffer 1 Std Bearbeitet 6. August 2021 von Whitehammer03 Zitieren
Whitehammer03 Geschrieben 26. April 2022 Autor Geschrieben 26. April 2022 Völlig vergessen: Der Antrag wurde genehmigt und für die Projektarbeit habe ich 88% bekommen. RealPride, cortez und charmanta reagierten darauf 3 Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.