2
Hilfe bei Netzwerkinfrastruktur für Abschlussprojekt
Hallo zusammen,
für mein Abschlussprojekt plane ich eine Netzwerkinfrastruktur und benötige die Einschätzung erfahrener Experten, ob einer meiner beiden Lösungsvorschläge praktikabel ist und welche Variante bevorzugt werden sollte.
Rahmenbedingungen
Das Unternehmen hat folgende Abteilungen:
Webentwicklung
Marketing
Vertrieb
Controlling
In jeder Abteilung gibt es 50 Arbeitsplatzrechner, die alle unter einer gemeinsamen Domäne verwaltet werden sollen. Zusätzlich betreibt das Unternehmen eine SaaS-Plattform, bestehend aus:
Die Anforderungen an die Infrastruktur:
Lösungsvorschlag 1
Jede Abteilung erhält ein eigenes Subnetz. Ein fünftes Subnetz wird eingerichtet, in dem das Produktivsystem, das Entwicklungssystem und der Domänencontroller untergebracht sind. Der Zugriff auf das Produktivsystem und den Domänencontroller wird für alle Abteilungen durch großzügige Firewall-Regeln erlaubt.
Problem:
Da alle Abteilungen Zugriff auf das fünfte Subnetz haben, könnten auch andere Mitarbeiter auf das Entwicklungssystem zugreifen, obwohl dies nur für die Webentwicklung gedacht ist. Dies birgt ein Sicherheitsrisiko.
Lösungsvorschlag 2
Die Abteilungen Marketing, Vertrieb und Controlling teilen sich ein gemeinsames Subnetz (A) mit einer eigenen Domäne und einem separaten Domaincontroller. Die Webentwicklung wird in einem eigenen Subnetz (B) untergebracht, zusammen mit dem Entwicklungssystem. Das Produktivsystem befindet sich in einem weiteren separaten Subnetz (C), in dem keine Clients stehen.
Zugriffskontrolle:
Frage an die Experten
Welcher der beiden Vorschläge ist besser geeignet, um Sicherheit und Funktionalität zu gewährleisten? Gibt es vielleicht andere Empfehlungen oder Änderungen, die ich berücksichtigen sollte?
Vielen Dank für eure Unterstützung!
für mein Abschlussprojekt plane ich eine Netzwerkinfrastruktur und benötige die Einschätzung erfahrener Experten, ob einer meiner beiden Lösungsvorschläge praktikabel ist und welche Variante bevorzugt werden sollte.
Rahmenbedingungen
Das Unternehmen hat folgende Abteilungen:
Webentwicklung
Marketing
Vertrieb
Controlling
In jeder Abteilung gibt es 50 Arbeitsplatzrechner, die alle unter einer gemeinsamen Domäne verwaltet werden sollen. Zusätzlich betreibt das Unternehmen eine SaaS-Plattform, bestehend aus:
- Produktivsystem: Unternehmensportal mit wichtigen Apps für alle Abteilungen.
- Entwicklungssystem: Wird ausschließlich von der Webentwicklung genutzt, um das Unternehmensportal weiterzuentwickeln.
Die Anforderungen an die Infrastruktur:
- Alle Abteilungen benötigen Zugriff auf das Produktivsystem.
- Nur die Abteilung Webentwicklung darf auf das Entwicklungssystem zugreifen.
Lösungsvorschlag 1
Jede Abteilung erhält ein eigenes Subnetz. Ein fünftes Subnetz wird eingerichtet, in dem das Produktivsystem, das Entwicklungssystem und der Domänencontroller untergebracht sind. Der Zugriff auf das Produktivsystem und den Domänencontroller wird für alle Abteilungen durch großzügige Firewall-Regeln erlaubt.
Problem:
Da alle Abteilungen Zugriff auf das fünfte Subnetz haben, könnten auch andere Mitarbeiter auf das Entwicklungssystem zugreifen, obwohl dies nur für die Webentwicklung gedacht ist. Dies birgt ein Sicherheitsrisiko.
Lösungsvorschlag 2
Die Abteilungen Marketing, Vertrieb und Controlling teilen sich ein gemeinsames Subnetz (A) mit einer eigenen Domäne und einem separaten Domaincontroller. Die Webentwicklung wird in einem eigenen Subnetz (B) untergebracht, zusammen mit dem Entwicklungssystem. Das Produktivsystem befindet sich in einem weiteren separaten Subnetz (C), in dem keine Clients stehen.
Zugriffskontrolle:
- Der Zugriff auf das Produktivsystem (C) wird für alle Abteilungen offen gehalten.
- Der Zugriff auf das Entwicklungssystem (B) wird stark eingeschränkt, sodass nur die Webentwicklung darauf zugreifen kann.
Frage an die Experten
Welcher der beiden Vorschläge ist besser geeignet, um Sicherheit und Funktionalität zu gewährleisten? Gibt es vielleicht andere Empfehlungen oder Änderungen, die ich berücksichtigen sollte?
Vielen Dank für eure Unterstützung!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669732
Url: https://administrator.de/contentid/669732
Ausgedruckt am: 24.11.2024 um 23:11 Uhr
2 Kommentare
Neuester Kommentar
Du machst einfach ein paar VLANs auf - und die Firewall regelt dann eben welches VLAN auf welchen Server zugreifen darf (oder du packst den Entwicklungsserver in nen eigenes VLAN bzw. mit ins Dev-VLAN, das ist ein wenig Geschmacksfrage).
1
Moin,
Wie @maretz schon schrieb: man darf auch mehr als nur 5 VLANs etablieren.
Würde die DCs noch separieren.
Das Entwicklungssystem entweder in ein eigenes packen oder die Firewall am Router + am DevServer selbst so reglementieren, dass nur die richtigen Abteilungen Zugriff haben.
Am Rande: Du schreibst SaaS. Ist das Zeig auch aus dem WAN erreichbar?
Dann brauchst du Themen wie DMZ und WAF etc…
Wie @maretz schon schrieb: man darf auch mehr als nur 5 VLANs etablieren.
Würde die DCs noch separieren.
Das Entwicklungssystem entweder in ein eigenes packen oder die Firewall am Router + am DevServer selbst so reglementieren, dass nur die richtigen Abteilungen Zugriff haben.
Am Rande: Du schreibst SaaS. Ist das Zeig auch aus dem WAN erreichbar?
Dann brauchst du Themen wie DMZ und WAF etc…
1
