pantrag_fisi Projektantrag: Konzeption eines selbstgehosteten Secure Storage Systems

[Jesster]

Moin!

Ich mache gerade im Rahmen meiner Umschulung ein Praktikum und soll während des Praktikums gleich mein Abschlussprojekt durchführen. Mein Praktikumsbetrieb hatte als Projektidee/-vorgabe, dass ich einen Secure Storage aufsetzen soll. Im gleichen Atemzug fiel dann auch der Begriff "Nextcloud", also habe ich mich direkt darauf eingeschossen 🫣 Werde aber in der Dokumentation eine Nutzwertanalyse mit mehreren Alternativen zu Nextcloud einpflegen.

Mein ursprünglicher Gedanke zu diesem Projekt war, dass ich noch gleich eine DMZ mit aufziehe und ein NAS als Datenspeicher für Nextcloud. Die Zusammenarbeit mit meinem Praktikumsbetrieb ist wegen mehreren Faktoren leider etwas belastet - eine DMZ werde ich unter diesen Umständen leider nicht aufziehen können und ein NAS als Datenspeicher könnte sich auch noch als problematisch herausstellen. Deswegen werde ich mich für das Projekt wohl oder übel komplett auf Nextcloud selbst fokussieren müssen. Jetzt frage ich mich - ist das genug für das Projekt oder wirkt es zu dünn?

---

Auszug aus meinem Projektantrag.

Zitat

 

Ausgangssituation

Aktuell verwendet xxx verschiedene Methoden zur Speicherung und zum Austausch von Daten, wobei Sicherheitsmaßnahmen wie Firewall und Backups bereits implementiert sind. Um jedoch die Kontrolle über die Daten möglichst in den eigenen Händen zu behalten und die Abhängigkeit von Drittanbietern weitestgehend zu vermeiden, plant xxx die zukünftig die Implementierung eines selbstgehosteten Secure Storage Systems. Dieses System soll die interne Datenhaltung und den Datenaustausch mit Kunden verbessern, indem es den Datenschutz erhöht und die Effizienz der Prozesse optimiert.

Projektziel

Das Ziel des Projekts ist die Konzeption eines selbstgehosteten Secure Storage Systems bei xxx. Die Konzeption des Systems soll dabei auf einer virtualisierten Infrastruktur mit virtuellen Maschinen (VMs) erfolgen. Das konzipierte System soll zukünftig auf realer Hardware bei xxx implementiert werden können. Durch den Einsatz eines eigenen, selbstgehosteten Systems wird die vollständige Kontrolle über die Daten gewährleistet, wodurch die Abhängigkeit von Drittanbietern entfällt. Das Projekt strebt an, die Datensicherheit zu erhöhen, die Einhaltung von Datenschutzvorschriften zu verbessern und die Effizienz der internen und externen Datenkommunikation zu steigern.Zeitplanung

1. Projektinitiierung (2h)

Besprechung des Projekts mit der technischen Leitung - 2h

2. Projektplanung (7h)

Ist-Analyse - 1h

Soll-Konzept - 2h

Projektrecherche und Auswahl der Secure Storage Software - 3h

Erstellung des Zeitplans - 1h

3. Projektausführung (20h)

Installation des Betriebssystems - 1h

Installation von Apache, MariaDB, PHP, inkl. PHP-Module - 2h

Konfiguration von Apache, MariaDB, PHP - 2h

Installation der Secure Storage Software - 1h

Konfiguration der Secure Storage Software - 5h

Härtung des Systems - 4h

Durchführung von Funktionstests - 5h

4. Projektabschluss (11h)

Soll- und Ist-Vergleich - 1h

Projektübergabe an die technische Leitung - 2h

Erstellung der Projektdokumentation - 6h

Fazit - 1h

Zeitpuffer - 1h

Gesamt 40h

 

---

Anbei handelt es sich um IHK Mittelfranken.

Gleich noch ein paar Anmerkungen vorweg: Beschaffung der Hardware entfällt bei mir. Die Vorgabe meines Praktikumsbetriebs war: Es darf nichts kosten.

Gerne würde ich nochmal eine Recherche zu Nextcloud selbst mit einfügen, nachdem die Auswahl gefallen war - über die Installation, Systemanforderungen, etc. Nachdem ich Nextcloud aus Jux zum drölfzigsten Mal mit LAMP-Stack neu aufgesetzt habe, geht es schon deutlich schneller, am Anfang hat es jedoch ganz schön gebraucht, bis ich eine funktionsfähige Nextcloud hatte. Gerne würde ich auch die Erstellung der Dokumentation für die technische Leitung mit in den Zeitplan einfügen, da weiß ich jedoch nicht, ob es nicht schon zur "Projektübergabe" gehört. "Konfiguration der Secure Storage Software" und "Härtung des Systems" werde ich ggf. noch weiter in Teilaufgaben zerlegen, da evtl. doch noch HTTPS/SSL/DynDNS zum Einsatz kommen. Wie lang darf außerdem die Erstellung der Projektdokumentation maximal dauern?

 

Für euren Input, konstruktive Kritik und Ratschläge bedanke ich mich sehr!

Viele Grüße

 

Bearbeitet 3. September von mapr

[Brapchu]

4 Stunden (10% deiner Projektzeit) allein um ein paar Installer durchzuklicken?

[Jesster]

Reines Durchklicken ist es nicht, da das ganze mit LAMP-Stack (Ubuntu Minimal Installation) und ohne GUI installiert wird, also alles über Befehlszeilen. Ich gebe dir da allerdings Recht; so viel Zeit sollte das trotzdem nicht in Anspruch nehmen. Die Frage ist dann allerdings: Wo stattdessen mehr Zeit einplanen oder welche Schritte zusätzlich einfügen?

Bearbeitet 30. August von mapr

[Gast]

im grunde kannst du es so lassen. du kannst es eh später in der doku abändern im soll-ist vergleich...

[ErB777]

1 Stunde für ein Betriebssystem zu installieren - das ist viel nach meiner Meinung.

Das hast du innerhalb von 10 Minuten durch. Fasse eher deine Punkte zusammen.

OS und webbasierende Software Installation - 1h
Konfiguration von OS und webbasierende Software - 2h

Ich sehe aber ein Problem allgemein an dem Projekt:

Du kannst kein DMZ aufbauen - warum nicht?
Man muss nicht gleich das klassische DMZ hochziehen, dass zwischen 2 Firewalls sitzt, sondern schlicht einfach ein separates Netz einsetzt inkl. VLANs. Besser sogar mit eigenen Switch.

Des Weiteren ist Nextcloud nicht mandantenfähig (multi-tenant), wenn es für mehrere Kunden eingesetzt werden soll.
 

[Jesster]

vor 41 Minuten schrieb ErB777:

1 Stunde für ein Betriebssystem zu installieren - das ist viel nach meiner Meinung.

Das hast du innerhalb von 10 Minuten durch. Fasse eher deine Punkte zusammen.

OS und webbasierende Software Installation - 1h
Konfiguration von OS und webbasierende Software - 2h

Ich sehe aber ein Problem allgemein an dem Projekt:

Du kannst kein DMZ aufbauen - warum nicht?
Man muss nicht gleich das klassische DMZ hochziehen, dass zwischen 2 Firewalls sitzt, sondern schlicht einfach ein separates Netz einsetzt inkl. VLANs. Besser sogar mit eigenen Switch.

Des Weiteren ist Nextcloud nicht mandantenfähig (multi-tenant), wenn es für mehrere Kunden eingesetzt werden soll.
 

Dankeschön für die Hinweise!

Habe Stand jetzt Installation und Grundeinrichtung des Servers mit 1 Stunde angesetzt. Das soll das aufsetzen der VM, Installation des Betriebssystems und Nachinstallation und ggf. Konfiguration von z. B. UFW, SSH, etc. beinhalten.

Was ich in meiner geistigen Umnachtung nicht erwähnt hatte: Die VM soll erst lokal aufgesetzt werden und dann auf einen Server umziehen. Warum es nicht gleich als VM auf dem Server aufgesetzt werden soll... Naja. Ich gehe darauf besser nicht ein 🙂 

Die technische Leitung ist heute auch wieder aus dem Urlaub zurück, da habe ich das Thema DMZ (bzw. eigene Firewall für Nextcloud) nochmal angesprochen. Der technischen Leitung ist das zu heikel, wenn ein Praktikant das macht. Unter Aufsicht bzw. mit Anleitung würde es nicht gehen, da man keine Zeit hat. Es ist außerdem auch zu heikel, dass ich einen Netzwerkplan für meine Ist-Analyse angefragt habe. Betriebsgeheimnis, wurde mir gesagt. Ich könnte mir ja einfach einen ausdenken. Ich lasse das mal unkommentiert und denke mir meinen Teil.

Jedenfalls fällt nach dem Umzug der VM noch einige Nachbearbeitung an, vor allem da nun doch noch DDNS, HTTPS, SSL ins Spiel kommen, für die Nachbearbeitung könnte ich evtl. nochmal 1-2 Std. einplanen, denke ich 🤔 Theoretisch möglich wäre ja noch ein NAS als Datenspeicher für Nextcloud zu nutzen, das muss ich allerdings nochmal genauer abklären, ob ich das nun darf, oder ob das auch zu heikel ist. 

Bezüglich Nextcloud für Kunden: Auch das habe ich nochmal genauer angesprochen. Konkret soll es nun so laufen, dass die Kunden selbst gar keinen Zugriff auf Nextcloud erhalten, sondern nur die Mitarbeiter. Nextcloud soll also hauptsächlich im Büro genutzt werden, vor allem jedoch auch für die Techniker im Außendienst. Als konkretes Beispiel: Ein Techniker, der heute im Büro arbeitet und morgen zum Kunden fährt, könnte diverse Dateien bereits in Nextcloud hinterlegen, welche er am nächsten Tag beim Kunden braucht. Wenn der Techniker beim Kunden ist, lädt er sich die Dateien aus Nextcloud herunter und wenn ggf. mal eine Datei vergessen wird, kann ein anderer Techniker im Büro diese teilen. Dabei geht es dem Betrieb hauptsächlich darum, dass das ganze eben nicht über Email o.ä. übertragen wird (Drittanbieter) und dass es eine zentrale Plattform für Dateien des Betriebs gibt. Nextcloud bietet außerdem noch viele weitere Funktionen/Apps, von denen zukünftig sicherlich noch einige genutzt werden.

[ErB777]

vor 6 Minuten schrieb Jesster:

Was ich in meiner geistigen Umnachtung nicht erwähnt hatte: Die VM soll erst lokal aufgesetzt werden und dann auf einen Server umziehen. Warum es nicht gleich als VM auf dem Server aufgesetzt werden soll... Naja. Ich gehe darauf besser nicht ein 🙂 

In der Tat macht man sich nur mehr Aufwand. Je nach Software muss auch darauf geachtet werden, dass die VM-Datei auch kompatibel zum VM-Cluster ist.

 

vor 10 Minuten schrieb Jesster:

Der technischen Leitung ist das zu heikel, wenn ein Praktikant das macht. Unter Aufsicht bzw. mit Anleitung würde es nicht gehen, da man keine Zeit hat. Es ist außerdem auch zu heikel, dass ich einen Netzwerkplan für meine Ist-Analyse angefragt habe. Betriebsgeheimnis, wurde mir gesagt. Ich könnte mir ja einfach einen ausdenken.

Ich habe kein Verständnis, warum man keine Zeit haben sollte. Es reicht schlicht ein neues Netz an der Firewall zu erstellen, bestenfalls den zugehörigen Port als Trunk (VLAN xzy) und gegenüber den Switch entsprechend zu konfigurieren. Da steckt kein Aufwand dahinter.

 

vor 21 Minuten schrieb Jesster:

Jedenfalls fällt nach dem Umzug der VM noch einige Nachbearbeitung an, vor allem da nun doch noch DDNS, HTTPS, SSL ins Spiel kommen, für die Nachbearbeitung könnte ich evtl. nochmal 1-2 Std. einplanen, denke ich 🤔 Theoretisch möglich wäre ja noch ein NAS als Datenspeicher für Nextcloud zu nutzen, das muss ich allerdings nochmal genauer abklären, ob ich das nun darf, oder ob das auch zu heikel ist. 

DNS, HTTPs sowie Zertifikate wirst du bei einer Webapplikation stets brauchen. Du wirst auf Vertrauensprobleme stoßen, wenn du deine Nextcloud nur mit IP aufrufen willst. Siehe hierzu https://www.dr-datenschutz.de/schutzziele-der-informationssicherheit/ . Gerade deshalb, weil die Cloud von Extern (WAN) erreichbar sein muss.

 

vor 25 Minuten schrieb Jesster:

Konkret soll es nun so laufen, dass die Kunden selbst gar keinen Zugriff auf Nextcloud erhalten, sondern nur die Mitarbeiter. Nextcloud soll also hauptsächlich im Büro genutzt werden, vor allem jedoch auch für die Techniker im Außendienst. 

Du musst hier alles für das Projekt umschreiben. Wichtig dabei, dass ein Problem erkennbar ist und du es lösen tust.
Lies einfach mal die anderen Threads. Sonst ist das alles zu wenig für ein FISI Abschluss.

[Jesster]

@ErB777 Ich muss dir echt danken, du gibst mir gute Denkanstöße 🙂

Ich habe den Antrag nochmal überarbeitet. Noch nicht final, es sollte jetzt zumindest etwas besser aussehen und wird natürlich noch weiter optimiert.

Bei der Grundeinrichtung wird u.a. SSH mittels Passwort deaktiviert.

Bei der Installation und Konfiguration von Apache, MariaDB, PHP, inkl. PHP-Module werden u.a. die .conf-Dateien für Nextcloud manuell erstellt bzw. angepasst.

Installation und erste Konfiguration der Secure Storage Software umfasst den Download, Überprüfung von Integrität und Authentizität, Installation, ersten Login und Beheben der Warnungen in der Verwaltungsoberfläche (später im Soll-/Ist-Vergleich der Dokumentation werde ich hierfür ca. 1h mehr Zeit einplanen, weil es nicht wenige Warnungen waren, von denen einige als Bugs bekannt sind, was die Behebung stellenweise verzögert hat - da ich das jedoch zum aktuellen Zeitpunkt eigentlich noch nicht wissen kann, lasse ich es so stehen).

NAS und Backup habe ich aktuell auf Verdacht so rein geschrieben, auch wenn sich die technische Leitung weiterhin nicht dazu geäußert hat, außer dass der NAS ein integriertes Backup hat... Ich lass mich mal überraschen und passe es bei Bedarf nochmal an.

Das Problem, dass ich keine DMZ aufziehen soll/darf/kann, bleibt. Zumindest in der Theorie könnte ich dennoch ein eigenes Netz für Nextcloud planen, während die technische Leitung die Firewall-Regeln im Detail konfiguriert - falls das Sinn macht?

Für die Nachbearbeitung/Härtung/Optimierung habe ich mir Memory caching, Einrichten von fail2ban und Setzen von open_basedir ins Auge gefasst, zusätzlich Änderung der .conf-Dateien. Unter der Annahme, dass ich zum Zeitpunkt der Erstellung des Zeitplans eigentlich noch gar nichts von fail2ban, open_basedir und Memory caching weiß, bin ich mir allerdings nicht sicher, ob ich diesen Schritt einfach so stehen lassen kann.

Zitat

 

3. Ausgangssituation

[...] Aktuell verwendet das Unternehmen unterschiedliche Methoden zur Speicherung und zum Austausch von Daten, unterstützt durch Sicherheitsmaßnahmen wie Firewalls und Backups. Techniker im Betrieb nutzen lokale Server, während Außendiensttechniker Datenträger oder Clouddienste von Drittanbietern einsetzen müssen. Diese uneinheitliche Datenhaltung führt zu Problemen, da Datenträger störanfällig sind und wichtige Dateien in unerwarteten Situationen fehlen können. Da viele Dateien sensible Kundendaten enthalten, ist die Speicherung bei Drittanbietern oder der Versand per E-Mail problematisch. Um die Abhängigkeit von externen Anbietern zu minimieren und die Datenhoheit zu wahren, wünscht xxx die Implementierung eines selbstgehosteten Secure Storage Systems.

 

4. Projektziel

Das Ziel des Projekts ist die Einführung eines selbstgehosteten Secure Storage Systems bei xxx. Dieses System soll die interne Datenhaltung optimieren, indem es eine zentrale, sichere Plattform für den Zugriff auf Daten bereitstellt, die übersichtlicher und leichter zugänglich ist. Techniker im Außendienst können so nahtlos auf alle benötigten Informationen zugreifen, ohne auf externe Cloud-Dienste angewiesen zu sein. Das System wird zudem mit integrierten Sicherheitsfunktionen wie Verschlüsselung und Zugriffskontrollen ausgestattet, um sicherzustellen, dass sensible Daten jederzeit geschützt sind. Durch die Reduzierung der Abhängigkeit von Drittanbietern wird die Datenhoheit gewahrt und die Risiken im Zusammenhang mit externen Clouddiensten minimiert. Langfristig wird erwartet, dass die Effizienz und Transparenz der Datenverwaltung signifikant steigen, was zu einer verbesserten Servicequalität für die Kunden führt.

 

5. Zeitplanung

Projektinitiierung 2h

Besprechung des Projekts mit der technischen Leitung 2h

Projektplanung 7h

Ist-Analyse 1h

Soll-Konzept 2h

Projektrecherche und Auswahl der Secure Storage Software 3h

Erstellung des Zeitplans 1h

Projektausführung 20h

Grundeinrichtung Server, Installation Ubuntu inkl. UFW und SSH 1h

Installation und Konfiguration von Apache, MariaDB, PHP, inkl. PHP-Module 2h

Installation und erste Konfiguration der Secure Storage Software 2h

Festlegung von Benutzergruppen und Zugriffsrechten 2h

Einrichtung DDNS und HTTPS mit SSL-Zertifikat 1h

Einrichtung NAS als Datenspeicher und Anbindung an Secure Storage 2h

Einrichtung Backup 2h

Anbindung an bestehendes Netzwerk 1h

Nachbearbeitung, Härtung, Optimierung 2h

Durchführung von umfassenden Funktionstests 5h

Projektabschluss 11h

Soll- und Ist-Vergleich 1h

Projektübergabe an die technische Leitung 2h

Erstellung der Projektdokumentation 6h

Fazit 1h

Zeitpuffer 1h

Gesamt 40h

 

 

 

[cortez]

Am 3.9.2024 um 15:55 schrieb Jesster:

Grundeinrichtung Server, Installation Ubuntu inkl. UFW und SSH 1h

Installation und Konfiguration von Apache, MariaDB, PHP, inkl. PHP-Module 2h

Installation und erste Konfiguration der Secure Storage Software 2h

Ich würde sagen diese Punkte kannst zusammenfassen, weniger Zeit verwenden und weniger spezifische sein.

Am 3.9.2024 um 15:55 schrieb Jesster:

NAS und Backup habe ich aktuell auf Verdacht so rein geschrieben, auch wenn sich die technische Leitung weiterhin nicht dazu geäußert hat, außer dass der NAS ein integriertes Backup hat... Ich lass mich mal überraschen und passe es bei Bedarf nochmal an.

hmm? Was hast du hier vor? Hat der Server selbst nicht genug Speicher? 

Ein NAS mit integriertem Backup hört sich nach sowas wie der Netbak Replicator von QNAP an. Das kann man machen, aber es ist nicht der Sinn eines Backups, weil wenn das Gerät kaputt geht sind die Daten trotzdem weg. Im Unternehmen würde ich die Daten mindestens auf ein anderes Geräte bringen. 

Am 3.9.2024 um 15:55 schrieb Jesster:

Das Problem, dass ich keine DMZ aufziehen soll/darf/kann, bleibt. Zumindest in der Theorie könnte ich dennoch ein eigenes Netz für Nextcloud planen, während die technische Leitung die Firewall-Regeln im Detail konfiguriert - falls das Sinn macht?

Ja, das macht Sinn vor allem da es dir in deinem . Es ist ein Server der von außen erreichbar ist und diese sind gute Ziele. Solche möchtest du nicht im normalen Netz haben. Ein separates Netzwerk ist sicherheitstechnisch eine gute Hilfe. Du kannst mit Firewallregelwerken einiges machen und so auch Traffic einfach monitoren.

Eine Sache noch, im Titel steht Konzeption, von dem was du hier schreibst liest es sich wie etwas komplett fertig für den Livebetrieb machen.

[Jesster]

vor 6 Stunden schrieb cortez:

Ich würde sagen diese Punkte kannst zusammenfassen, weniger Zeit verwenden und weniger spezifische sein.

Also "Vorbereitung und Einrichtung des Secure Storage Servers" mit 2-3h ansetzen? Oder besser "Vorbereitung des Servers " und "Installation und Konfiguration der Secure Storage Software" als separate Schritte?

vor 6 Stunden schrieb cortez:

hmm? Was hast du hier vor? Hat der Server selbst nicht genug Speicher? 

Ein NAS mit integriertem Backup hört sich nach sowas wie der Netbak Replicator von QNAP an. Das kann man machen, aber es ist nicht der Sinn eines Backups, weil wenn das Gerät kaputt geht sind die Daten trotzdem weg. Im Unternehmen würde ich die Daten mindestens auf ein anderes Geräte bringen. 

Die Verwendung eines NAS hat mehrere Gründe, u.a. Skalierbarkeit.

Das mit dem integrierten Backup hatte mich auch gestört, aber wie gesagt, ich lasse mich überraschen.

vor 6 Stunden schrieb cortez:

Ja, das macht Sinn vor allem da es dir in deinem . Es ist ein Server der von außen erreichbar ist und diese sind gute Ziele. Solche möchtest du nicht im normalen Netz haben. Ein separates Netzwerk ist sicherheitstechnisch eine gute Hilfe. Du kannst mit Firewallregelwerken einiges machen und so auch Traffic einfach monitoren.

Ja, der Plan ist jetzt: ich plane das Netzwerk mit IPs etc. und lege zumindest in der Theorie die Firewall-Regeln fest, damit ich diese der technischen Leitung mitteilen kann. Die tatsächliche Konfiguration der Firewall übernimmt die technische Leitung als Projektschnittstelle.

vor 6 Stunden schrieb cortez:

Eine Sache noch, im Titel steht Konzeption, von dem was du hier schreibst liest es sich wie etwas komplett fertig für den Livebetrieb machen.

Danke für den Hinweis! 🙂 Anfänglich sollte es tatsächlich nur eine Konzeption werden, daher der Titel. In Anbetracht der bisherigen Änderungen wird es eine Implementierung.