Beschreibung der Beschaffung
Die Aufgaben der ausgeschriebenen Leistung umfassen im Wesentlichen:
- Betrieb von zwei Firewall Clustern mit dazwischenliegender DMZ (demilitarisierte Zone) bestehend aus je zwei Barracuda F800 in einem Rechenzentrum in München
- Betrieb von einem Firewall Cluster am Standort der Hauptverwaltung in München bestehend aus zwei Barracuda F600
- Optional: Anbindung eines Azure Standortes voraussichtlich mit einer Barracuda Level x Firewall sowie dem Betrieb dieser Firewall (geplant)
- Optional: Mögliche Anbindung eines weiteren Rechenzentrumsstandortes über ein virtuelles Barracuda Firewall Cluster oder eine reservierte Glasfaser (Dark Fiber)
- Betrieb von derzeit 155 Außenstandorten mit Barracuda F280 und Barracuda F380 Firewalls aufgeteilt in 13 Regionen sowie 2-3 Teststandorten
- Betrieb von zwei genuscreen XS an zwei Standorten, an denen aus Gründen der Exportbeschränkungen keine Barracuda Firewall eingesetzt werden kann
- Aktualisierung der Ersatzfirewall (Cold Standby) des gleichen Typs wie die Hauptfirewall in direkter Abstimmung mit den Standorten
- Regelmäßige Sicherung der Konfiguration der Firewalls (insbesondere nach Änderungen)
- Proaktive Überwachung der Firewall mit einem Monitoring Tool
- Rollout von Hauptversionsupgrades (üblicherweise alle 1-2 Jahre; incl. Update Ersatzfirewalls)
- Rollout von Upgrades (ca. 1-2-mal im Jahr; incl. fallabhängig Update Ersatzfirewalls)
- Rollout von Hotfixes (2-4-mal im Jahr; in der Regel ohne Update der Ersatzfirewalls)
- Fehleranalyse und -behebung innerhalb der weltweiten Firewall Infrastruktur
- Beratung zu neuen Entwicklungen und Features insbesondere bei Hauptversionsupdates (z.B. SD-WAN) und ggf. Umsetzung dieser in den laufenden Betrieb
- Unterstützung bei Pilotimplementierungen (z.B. SD-WAN)
Unter Betrieb der Firewalls in der Zentrale und dem/den direkt angekoppelten Rechenzentrum/-zentren sowie (optional) in der Azure Cloud fällt insbesondere auch:
- Pflege der Regeln auf den drei Firewall Clustern (Neuanlage, Löschen, Änderung)
- Stetige Anpassung, Weiterentwicklung und Optimierung des Regelwerkes insbesondere an geänderte Netzwerkverkehre (z.B. Umstellung auf Microsoft 365, Umstellung des Backupprogramms und -methode, Nutzung von Exchange Online und Teams ...)
- Durchführung von Vereinfachungen und Konsolidierungen (fortlaufend und explizit ca. 1-mal im Jahr)
- Konfiguration von Layer 3 Routing einiger Netzwerke sowie dem dynamischen Routing Protokoll für mehrstufiges Routing in der Zentrale
- Konfiguration der VPN-Tunnels zu den Standorten (TINA, IPSec) und zu ausgewählten Dienstleistern (IPSec).
- Regelmäßig Überprüfung des Regelwerks im Rahmen von Security Anforderungen und Audits
- Austausch der Firewalls im Rahmen des Barracuda "Instant Replacements" (alle 4 Jahre) und bei Hardwareausfällen. In der Regel nicht notwendig bei den Cloud Firewalls und den virtuellen Firewalls
Zum Betrieb der Firewalls an den entfernten Standorten gehört insbesondere auch:
- Pflege des Konfigurationstemplates und Ausbringung auf alle oder Gruppen von Firewalls
- Berücksichtigung von geänderten Anforderungen an QoS, und Verschlüsselung sowie Durchführung entsprechender Änderungen am allgemeinen Regelwerk
- Bei Bedarf Erstellung (weniger) weiterer Templates (z.B. anwendungsbasierter Firewall Regeln, geänderten QoS Anforderungen)
- Schrittweise Einführung dieser Templates in den Regelbetrieb unter Einbeziehung eines geeigneten Klassifikationssystems für die Standorte (z.B. Standorte mit geringer, normaler oder sehr guter Anbindung; Nutzung von SD-WAN Funktionen)
- Anpassung der Konfiguration der/des Templates bei Änderungen der hochgradig standardisierten Netzwerkkonfiguration der entfernten Standorte (z.B. Einführung von neuen VLANs oder neuen WLAN SSIDs).
- Pflege der individuellen Firewall Regeln an den entfernten Standorten
- Anpassung der MPLS-/Internetanbindung (derzeit in der Regel 2 in Ausnahmefällen 3 "Leitungen") - soweit möglich Aufbau eines Backup Tunnels durch das Internet
- Anpassung der Verschlüsselung der Datenverkehre zur Zentrale sowie Einrichtung von Ausnahmen bei bereits verschlüsselten Protokollen
- Konfiguration des Layer 3 Routings ausgewählter Netze auf der Firewall der Standorte
- Konfiguration von VPN-Tunnel zur Zentrale und in Ausnahmefällen zu anderen Standorten z.B. bei mehreren Standorten in der gleichen Stadt
- Durchführung/Unterstützung von Tests zur Überwachung der Leitungsqualität und Bandbreite der Standorte
- Durchführung von Tests für die Optimierung der Nutzung der verfügbaren Bandbreite an Teststandorten und ausgewählten produktiven Standorten
3. Beschreibung des zu betreuenden IT-Systems zum Zeitpunkt der Ausschreibung
Das Goethe-Institut verwendet in seiner Zentrale, dem zentralen Rechenzentrum und an seinen 157 Standorten mit zwei Ausnahmen Barracuda Firewalls. Die Remotestandorte sind per Radnaben-/Speichenmodell (Hub-and-Spoke) an das Rechenzentrum in München angebunden. In wenigen Fällen wurden auch direkte Verbindungen zwischen einzelnen Standorten hergestellt. Meist handelt es sich dabei um eine Verbindung zwischen dem jeweiligen Standort und einer Außenstelle in einer Stadt. Darüber hinaus gibt es an den Standorten einen lokalen Internet Breakout, der ebenfalls über das Barracuda Firewallsystem angebunden ist.
Diese Infrastruktur verbindet die zentralen Server und neuerdings auch einige Server in der Azure Cloud mit den Standorten, die in den meisten Fällen auch über eigenen Ressourcen (z.B. Fileserver, Drucker, Telefoniegateways) verfügen.
An den Standorten gibt es eine weitestgehend standardisierte Netzwerkinfrastruktur mit ca. 10 VLANs. Dabei werden fast überall Switche und Access Points der Firma Meraki eingesetzt. In der Regel werden von dort je 3 Netze/VLANs aus dem privaten Adressbereich über VPN mit der Zentrale verbunden (lokales Server Netzwerk, Client Netzwerk, Telefonie Netzwerk).