Ausschreibung "IT-Vorhaben: Neubau Container RZ, Firewall-Komponenten, Netzwerk-Komponenten und Netzwerkmonitoring "

Öffentliche Ausschreibung

IT-Vorhaben: Neubau Container RZ, Firewall-Komponenten, Netzwerk-Komponenten und Netzwerkmonitoring 

Gegenstand der Ausschreibung

Gegenstand dieser Ausschreibung ist die Konzeptionierung, Lieferung und Inbetriebnahme eines Rechenzentrum-Containers sowie die Konzeptionierung und Inbetriebnahme von Firewall-Komponenten, Netzwerk-Komponenten und eines Netzwerkmonitorings, unter Berücksichtigung aller erforderlichen Komponenten und Dienstleistungen, nach dem Stand der Technik sowie ausgerichtet an den aktuellen Sicherheitsstandards eines KRITIS-Hauses. 

Los 1:
Der Auftraggeber betreibt seine IT-Infrastruktur in 2 auf dem Campus verteilten Serverräumen. Ein Serverraum (RZ2) entspricht bereits weitgehend den aktuellen Anforderungen an ein Rechenzentrum nach dem Stand der Technik (Tier 2+). Die baulichen Voraussetzungen des bestehenden 2. Serverraums (RZ1) sind dafür jedoch weder ausreichend, noch können diese aufgrund des fehlenden Raumangebots bzw. Erweiterungsflächen erreicht werden. Daher soll auf dem Gelände ein neues Rechenzentrum (RZ3) nach aktuellem Stand der Technik in Containerbauweise errichtet werden, das den Anforderungen der DIN/EN ISO 27001, 27002 sowie dem B3S der DKG in den Punkten Stromversorgung, Klimatisierung, Brandschutz und Zutrittsschutz entspricht. Als Platz für das Container-RZ ist das Dach des 4 Stockwerke hohen Gebäudes der Kinderklinik vorgesehen. Die Server- und Speicher-Systeme aus dem bestehenden Serverraum RZ1 sollen nach Errichtung ins neue RZ3 umgezogen werden. Dadurch entsteht gemeinsam mit dem RZ2 ein redundantes 2-Raum-System für die kritischen IT-Systeme des Klinikums. Das RZ1 soll zur Datensicherung weiterhin genutzt werden, um Sicherungsdaten von den Primär-Daten räumlich zu trennen.

Los 2:
Die Firewall Umgebung des Auftraggebers besteht aus einem jeweils redundant ausgeführten Perimeter- und separaten Segmentation-Firewall-System, deren Knoten jeweils auf beide Rechenzentren verteilt sind. Die Perimeter-Firewall bewegt sich mit der steigenden Last (zusätzliche VPN Verbindungen, zunehmender Internet Traffic, zusätzliche DMZs für neue Dienste und deutlich stärkere Nutzung der „clientless“ VPN Lösung auf Basis HTML5) zunehmend an die Grenze ihrer Leistungsfähigkeit. Um die Last zu reduzieren wurde die Web-Proxy Funktionalität bereits auf eine separate, virtuelle Firewall-Appliance ausgelagert, welche jedoch wieder abgelöst werden soll. Das Segmentation-Firewall-System wurde erst 2019 angeschafft, wird jedoch absehbar durch die weitgehende Segmentierung des Netzwerkes und insbesondere in Bezug auf den Durchsatz im Bereich Advanced-Threat-Detection und IDS/IPS an Ihre Leistungsgrenzen kommen. Daher soll die Segmentation Firewall-Umgebung durch eine deutlich leistungsstärkere Plattform ersetzt werden. Die Perimeter-Firewall-Umgebung soll im gleichen Zug, entweder durch das vorhandene Segmentation-Firewall-System oder durch ein neues System ersetzt werden.
Funktional liegt der Fokus für das neue Perimeter Firewall-System auf den folgenden Funktionen: – Web-Proxy inkl. SSL Inspection / Antivirus für den Internetzugang – Firewall inkl. IDS / IPS für den Schutz der DMZs – Anbindung von Partnern über Site-to-Site VPN Tunnel -Clientless HTML5 Zugang für Mitarbeiter und Remote Support
Für das neue Segmentation-Firewall-System liegt der funktionale Fokus vor allem auf folgenden Funktionen: – Durchsatz im Bereich Advanced-Threat-Detection und IDS / IPS Funktionalität inkl. SSL Inspection, insbesondere mit Bezug auf medizinische Protokolle wie HL7 / DICOM und Standard Protokollen wie SMB / Oracle SQLNet – Verwaltbarkeit des absehbar umfangreichen und komplexen Firewall Regelwerks Des Weiteren ist optional der Einsatz einer Sandbox-Lösung für die Analyse von Email-Attachments (Integration mit vorhandener FortiMail) und File Downloads geplant (lokales System / keine Cloud-Lösung wegen regulatorischer Anforderungen).

Los 3:
Die Netzwerkumgebung des Auftraggebers basiert auf Komponenten des Herstellers Extreme Networks und besteht aktuell aus einem Core (SSA), Distribution-1 (2x x670), Distribution-2 (12+ x690) sowie ca. 240 Access Switchen der x430/x440/x450/x460 Serie. Die Core- und Distribution-Ebenen sind auf die 2 Rechenzentren, die Access Switche auf Verteilerräume auf dem gesamten Campus verteilt. Die Core-/Distribution-1-Ebene ist historisch gewachsen und soll im Rahmen der Ausschreibung zu einem klassischen Core/Distribution/Access Aufbau migriert werden. Die WLAN-Umgebung basiert ebenfalls auf Extreme Network Controllern und Access Points der AP38xx/AP39xx Serie. Durch die Abkündigung der Controller und Accesspoints durch den Hersteller steht eine Migration auf neue Controller der XCC Serie und Access Points der Serie AP3xx Serie an. In Rahmen der Ausschreibung sind daher folgende Maßnahmen geplant: -Migration des SSA basierten Cores auf neu zu beschaffende x870 Core Switche, die auf das neue Container RZ und das vorhandene RZ2 verteilt werden – Migration der Distribution-1/2 Verbindungen auf den neuen Core und Abschaltung der Distribution-1 Ebene – Implementierung Server Access (x450/x590/x690) und Server Distribution (x870) im Container-RZ und Anbindung an die neuen Core Switche – Optional/auf Abruf: Erweiterung der neuen Distribution Ebene um zusätzliche x690 Switche – Optional/auf Abruf: Erweiterung der Access Ebene um zusätzliche x450/x440 Switche – Implementierung neuer WLAN-Controller auf Basis XCC – Optional/auf Abruf: Erweiterung und teilweise Ablösung der Access Points auf Basis AP3xx

Los 4:
Die Netzwerkumgebung des Auftraggebers ist aus Sicherheitsgründen stark segmentiert. Die Medizintechnik, Server, Clients, Drucker, Managementsysteme und extern erreichbaren Systeme befinden sich in jeweils Firewall-geschützten VLAN-Segmenten. Eine klassische, am Core über Mirror-Ports angebundene oder rein Gateway basierte Intrusion-Detection-Lösung kann den Datenverkehr im Netz daher nur noch zu einem kleinen Teil erfassen und auswerten. Im Rahmen der Ausschreibung soll daher OPTIONAL eine IDS-Lösung angeschafft werden, die in der Lage ist, den Datenverkehr umfassender im Netzwerk zu erfassen und auszuwerten. Anbieter sind aufgefordert Lösungsansätze aufzuzeigen, die es ermöglichen den Datenverkehr in verschiedenen VLANs lokal an den Access-Switchen zu erfassen und zentral auszuwerten.

Art des Auftrags

Lieferauftrag & Dienstleistung

Erfüllungsort (Bundesland):

Bayern

Die Ausschreibung ist bereits beendet, weil die Angebotsfrist abgelaufen ist.
Eine Bewerbung um diesen Auftrag ist nicht mehr möglich.

Auftraggeber

90766 Fürth

Eintragsdatum: 19.01.2021
Angebotsfrist: 15.02.2021