Beschreibung
_AusgangssituationUnser Endkunde ist ein Übertragungsnetzbetreiber und versorgt den östlichen Teil Deutschlands. Die IT-Infrastruktur des Unternehmens muss weiterentwickelt werden, wobei der Schwerpunkt auf der Erhöhung der Sicherheit und der betrieblichen Effizienz liegt. Das Kundeninterne-Projekt wird die Architektur für die neue Infrastruktur definieren. Die Top-Level-Design-Phase soll Ende 2024 abgeschlossen sein, gefolgt von der Detail-Design-Phase im Jahr 2025 und der Implementierung in den folgenden Jahren.
Ziel: Bereitstellung eines umfassenden IT-Infrastrukturentwurfs mit Schwerpunkt auf Sicherheit und Betriebseffizienz.
_Skill-Anforderungen
Erforderliche Kompetenzen (Must-Haves):
1. Microsoft Active Directory (AD)
2. PKI-Implementierung
3. Identitätsmanagement
4. Passwort(lose)-Technologien
5. Identitätsverbund-Protokolle
6. Zero-Trust-Sicherheitsprinzipien
7. GitOps-Methodologien / Ansible-basierte Windows-Verwaltung / Effizienz der Betriebsführung
8. Multi-Security-Zoning-Prinzipie
Im Detail:
1. Beherrschung des Entwurfs, der Bereitstellung und der Verwaltung von Microsoft Active Directory (AD), einschließlich Fachwissen über komplexe Forest- und Domänenarchitekturen, standortübergreifende Replikation und Verwaltung von Gruppenrichtlinien, Definition granularer Berechtigungen auf der Grundlage von Benutzerrollen, Gruppen und Organisationshierarchie, Gewährleistung des Zugriffs mit geringsten Rechten und Einhaltung gesetzlicher Vorschriften. Weitere umfassende Kenntnisse in Rollout-, Update- und Patching-Methoden.
2. Umfassende Kenntnisse in der Implementierung einer Public Key Infrastructure (PKI), einschließlich des Entwurfs einer Zertifizierungsstelle (CA), der Verwaltung des Lebenszyklus von Zertifikaten und sicherer (automatischer) Schlüsselverteilungsmechanismen.
3. Tiefgreifendes Verständnis von Identitätsmanagementkonzepten und -lösungen, einschließlich Benutzerbereitstellung, Authentifizierung, Autorisierung und Single Sign-On (SSO) in verschiedenen Unternehmensumgebungen.
4. Fachkenntnisse in der Entwicklung und Durchsetzung robuster Passwort(e)-Richtlinien und sicherer Authentifizierungsmechanismen, einschließlich Multi-Faktor-Authentifizierung (MFA), Smartcard-Authentifizierung, biometrischer Authentifizierung sowie der Rotation sensibler Anmeldedaten und kryptografischer Schlüssel.
5. Kenntnisse in der Entwicklung und Implementierung sicherer Identitätsverbundprotokolle wie OAuth, OpenID Connect und SAML, die eine nahtlose Authentifizierung und Autorisierung über heterogene Systeme und Anwendungen hinweg ermöglichen.
6. Vertrautheit mit Zero-Trust-Sicherheitsgrundsätzen und Implementierungsstrategien, einschließlich Mikrosegmentierung, kontinuierlicher Authentifizierung und dynamischer Zugriffskontrollen, um die Sicherheit zu verringern.
7. Ausgeprägte Erfahrung mit Betriebsmanagementpraktiken über GitOps-Methoden, Nutzung von Versionskontrollsystemen wie Github für die Verwaltung von Infrastruktur als Code (IaC), automatisierte Bereitstellung und Verwaltung von Konfigurationsdrift. Erfahrung mit Ansible-basierter Windows-Verwaltung in einer vollständig automatisierten AD-Umgebung unter Verwendung von Ansible-Playbooks für automatisiertes Konfigurationsmanagement, Orchestrierung und Compliance-Durchsetzung für Windows-Server und -Anwendungen.
8. Kenntnisse in der Umsetzung von Grundsätzen der Multi-Security-Zoning für den Entwurf von Netzwerk- und Systemarchitekturen, der Durchsetzung der Segmentierung und Isolierung kritischer Anlagen und sensibler Daten, der Verbesserung der Widerstandsfähigkeit gegen Cyber-Bedrohungen und der Gewährleistung der Einhaltung von Vorschriften durch geeignete Konzepte für Firewalling, Loadbalancing, APM und ASM
Die oben genannten Erfahrungen müssen durch persönliche Projektreferenzen (nicht älter als 3 Jahre) nachgewiesen werden. Die Referenzen müssen mindestens die folgenden Angaben enthalten: Auftragsgegenstand, Leistungszeitraum, Auftraggeber, übernommene Tätigkeit, Kurzbeschreibung der Tätigkeit.
_Aufgaben
1. Entwurf einer Active Directory-Infrastruktur der nächsten Generation mit umfassender Automatisierung.
2. Entwurf von Identitätsmanagement-Lösungen mit sicheren Authentifizierungsprotokollen.
3. Konzeptualisierung eines PKI-Ökosystems mit sicherer Schlüsselverwaltung und GitOps-Integration.
4. Konzeptualisierung der Durchsetzung von Zero-Trust-Sicherheitsprinzipien.
Im Detail:
1. Entwurf einer Active Directory-Infrastruktur der nächsten Generation mit umfassender Automatisierung.
Zielsetzung: Konzeption und Gestaltung eines hochmodernen Active Directory (AD). Nutzung der neuesten AD-Funktionen für nahtlose Skalierbarkeit und Sicherheit. Implementieren Sie GitOps für die versionsgesteuerte Verwaltung der Infrastruktur und die Automatisierung bei der Konfiguration der Bereitstellung, um eine schnelle Anpassung an sich ändernde Geschäftsanforderungen zu gewährleisten. Konzentrieren Sie sich auf komplexe Wald- und Domänenkonfigurationen, standortübergreifende Replikation und granulare Gruppenrichtlinienverwaltung. Sicherstellung des Zugriffs mit den geringsten Privilegien und der Einhaltung von Vorschriften in Übereinstimmung mit den Unternehmensanforderungen. Erwägen Sie strenge RBAC-Ansätze. Gewährleistung umfassender OS/SW-Patching- und Auto-Image-Update-Mechanismen.
2. Entwurf von Identitätsmanagement-Lösungen mit sicheren Authentifizierungsprotokollen.
Zielsetzung: Konzeption und Design moderner Identitätsmanagementlösungen unter Verwendung sicherer Standards für domänenübergreifende Authentifizierung und Autorisierung, die eine nahtlose Integration in On-Premise-Unternehmensumgebungen gewährleisten. Entwicklung adaptiver Authentifizierungsstandards zur Verbesserung der Sicherheit und der Benutzerfreundlichkeit. Nutzung von Automatisierungspipelines für die nahtlose Bereitstellung und Verwaltung von Authentifizierungsdiensten. Nutzung von GitOps für deklaratives Konfigurationsmanagement, das eine effiziente Skalierung und kontinuierliche Bereitstellung von Identitätsdiensten ermöglicht.
3. Konzeptualisierung eines PKI-Ökosystems mit sicherer Schlüsselverwaltung und GitOps-Integration.
Zielsetzung: Entwurf und Konzeption eines robusten PKI- und Vault-Ökosystems mit sicherem Schlüsselmanagement
4. Konzeptualisierung der Durchsetzung von Zero-Trust-Sicherheitsprinzipien.
Zielsetzung: Definition praktischer Zero-Trust-Sicherheitsprinzipien und -strategien. Entwicklung automatisierter Lösungen zur Minderung von Sicherheitsrisiken und zur Durchsetzung strenger Zugriffskontrollen auf der Grundlage von Identität und Kontext.
_Rahmendaten
· Remote: 95% remote, sonst Berlin
· Workload: - 50-100 PT pro Jahr
- 1—2 PT pro Woche
- Planung: in 2024 isg. 36, in 2025 ca. 66 PT
· Verlängerung: ist möglich
· Projektzeit: vom 01.06.24 – 31.12.25
· Startdatum: Mai/Juni 2024