IT-Vorhaben: Neubau Container RZ, Firewall-Komponenten, Netzwerk-Komponenten und Netzwerkmonitoring Referenznummer der Bekanntmachung: 20-0230
Bekanntmachung vergebener Aufträge
Ergebnisse des Vergabeverfahrens
Dienstleistungen
Abschnitt I: Öffentlicher Auftraggeber
Postanschrift:[gelöscht]
Ort: Fürth
NUTS-Code: DE253 Fürth, Kreisfreie Stadt
Postleitzahl: 90766
Land: Deutschland
Kontaktstelle(n):[gelöscht]
E-Mail: [removed]
Telefon: [removed]
Fax: [removed]
Internet-Adresse(n):
Hauptadresse: www.klinikum-fuerth.de
Abschnitt II: Gegenstand
IT-Vorhaben: Neubau Container RZ, Firewall-Komponenten, Netzwerk-Komponenten und Netzwerkmonitoring
Gegenstand dieser Ausschreibung des Klinikums Fürth ist die Konzeptionierung, Lieferung und Inbetriebnahme eines Rechenzentrum-Containers sowie die Konzeptionierung und Inbetriebnahme von Firewall-Komponenten, Netzwerk-Komponenten und eines Netzwerkmonitorings, unter Berücksichtigung aller erforderlichen Komponenten und Dienstleistungen, nach dem Stand der Technik sowie ausgerichtet an den aktuellen Sicherheitsstandards eines KRITIS-Hauses.
Neubau Container RZ
Das Klinikum Fürth betreibt seine IT-Infrastruktur in 2 auf dem Campus verteilten Serverräumen. Ein Serverraum (RZ2) entspricht bereits weitgehend den aktuellen Anforderungen an ein Rechenzentrum nach dem Stand der Technik (Tier 2+). Die baulichen Voraussetzungen des bestehenden 2. Serverraums (RZ1) sind dafür jedoch weder ausreichend, noch können diese aufgrund des fehlenden Raumangebots bzw. Erweiterungsflächen erreicht werden. Daher soll auf dem Klinikgelände ein neues Rechenzentrum (RZ3) nach aktuellem Stand der Technik in Containerbauweise errichtet werden, das den Anforderungen der DIN/EN ISO 27001, 27002 sowie dem B3S der DKG in den Punkten Stromversorgung, Klimatisierung, Brandschutz und Zutrittsschutz entspricht. Als Platz für das Container-RZ ist das Dach des 4 Stockwerke hohen Gebäudes der Kinderklinik vorgesehen. Die Server- und Speicher-Systeme aus dem bestehenden Serverraum RZ1 sollen nach Errichtung ins neue RZ3 umgezogen werden. Dadurch entsteht gemeinsam mit dem RZ2 ein redundantes 2-Raum-System für die kritischen IT-Systeme des Klinikums. Das RZ1 soll zur Datensicherung weiterhin genutzt werden, um Sicherungsdaten von den Primär-Daten räumlich zu trennen.
s. Rahmendokument zur Ausschreibung
Firewall-Komponenten
Die Firewall Umgebung des Klinikums besteht aus einem jeweils redundant ausgeführten Perimeter- und separaten Segmentation-Firewall-System, deren Knoten jeweils auf beide Rechenzentren verteilt sind. Die Perimeter-Firewall bewegt sich mit der steigenden Last (zusätzliche VPN Verbindungen, zunehmender Internet Traffic, zusätzliche DMZs für neue Dienste und deutlich stärkere Nutzung der „clientless“ VPN Lösung auf Basis HTML5) zunehmend an die Grenze ihrer Leistungsfähigkeit. Um die Last zu reduzieren wurde die Web-Proxy Funktionalität bereits auf eine separate, virtuelle Firewall-Appliance ausgelagert, welche jedoch wieder abgelöst werden soll. Das Segmentation-Firewall-System wurde erst 2019 angeschafft, wird jedoch absehbar durch die weitgehende Segmentierung des Netzwerkes und insbesondere in Bezug auf den Durchsatz im Bereich Advanced-Threat-Detection und IDS/IPS an Ihre Leistungsgrenzen kommen. Daher soll die Segmentation Firewall-Umgebung durch eine deutlich leistungsstärkere Plattform ersetzt werden. Die Perimeter-Firewall-Umgebung soll im gleichen Zug, entweder durch das vorhandene Segmentation-Firewall-System oder durch ein neues System ersetzt werden.
Funktional liegt der Fokus für das neue Perimeter Firewall-System auf den folgenden Funktionen: Web-Proxy inkl. SSL Inspection / Antivirus für den Internetzugang Firewall inkl. IDS / IPS für den Schutz der DMZs Anbindung von Partnern über Site-to-Site VPN Tunnel -Clientless HTML5 Zugang für Mitarbeiter und Remote Support
Für das neue Segmentation-Firewall-System liegt der funktionale Fokus vor allem auf folgenden Funktionen: Durchsatz im Bereich Advanced-Threat-Detection und IDS / IPS Funktionalität inkl. SSL Inspection, insbesondere mit Bezug auf medizinische Protokolle wie HL7 / DICOM und Standard Protokollen wie SMB / Oracle SQLNet Verwaltbarkeit des absehbar umfangreichen und komplexen Firewall Regelwerks Des Weiteren ist optional der Einsatz einer Sandbox-Lösung für die Analyse von Email-Attachments (Integration mit vorhandener FortiMail) und File Downloads geplant (lokales System / keine Cloud-Lösung wegen regulatorischer Anforderungen).
s. Rahmendokument zur Ausschreibung
Netzwerk-Komponenten
Die Netzwerkumgebung des Klinikums basiert auf Komponenten des Herstellers Extreme Networks und besteht aktuell aus einem Core (SSA), Distribution-1 (2x x670), Distribution-2 (12+ x690) sowie ca. 240 Access Switchen der x430/x440/x450/x460 Serie. Die Core- und Distribution-Ebenen sind auf die 2 Rechenzentren, die Access Switche auf Verteilerräume auf dem gesamten Campus verteilt. Die Core-/Distribution-1-Ebene ist historisch gewachsen und soll im Rahmen der Ausschreibung zu einem klassischen Core/Distribution/Access Aufbau migriert werden. Die WLAN-Umgebung basiert ebenfalls auf Extreme Network Controllern und Access Points der AP38xx/AP39xx Serie. Durch die Abkündigung der Controller und Accesspoints durch den Hersteller steht eine Migration auf neue Controller der XCC Serie und Access Points der Serie AP3xx Serie an. In Rahmen der Ausschreibung sind daher folgende Maßnahmen geplant: -Migration des SSA basierten Cores auf neu zu beschaffende x870 Core Switche, die auf das neue Container RZ und das vorhandene RZ2 verteilt werden Migration der Distribution-1/2 Verbindungen auf den neuen Core und Abschaltung der Distribution-1 Ebene Implementierung Server Access (x450/x590/x690) und Server Distribution (x870) im Container-RZ und Anbindung an die neuen Core Switche Optional/auf Abruf: Erweiterung der neuen Distribution Ebene um zusätzliche x690 Switche Optional/auf Abruf: Erweiterung der Access Ebene um zusätzliche x450/x440 Switche Implementierung neuer WLAN-Controller auf Basis XCC Optional/auf Abruf: Erweiterung und teilweise Ablösung der Access Points auf Basis AP3xx.
s. Rahmendokument zur Ausschreibung
Netzwerkmonitoring
Die Netzwerkumgebung des Klinikums ist aus Sicherheitsgründen stark segmentiert. Die Medizintechnik, Server, Clients, Drucker, Managementsysteme und extern erreichbaren Systeme befinden sich in jeweils Firewall-geschützten VLAN-Segmenten. Eine klassische, am Core über Mirror-Ports angebundene oder rein Gateway basierte Intrusion-Detection-Lösung kann den Datenverkehr im Netz daher nur noch zu einem kleinen Teil erfassen und auswerten. Im Rahmen der Ausschreibung soll daher OPTIONAL eine IDS-Lösung angeschafft werden, die in der Lage ist, den Datenverkehr umfassender im Netzwerk zu erfassen und auszuwerten. Anbieter sind aufgefordert Lösungsansätze aufzuzeigen, die es ermöglichen den Datenverkehr in verschiedenen VLANs lokal an den Access-Switchen zu erfassen und zentral auszuwerten.
s. Rahmendokument zur Ausschreibung
Abschnitt IV: Verfahren
Abschnitt V: Auftragsvergabe
Neubau Container Rechenzentrum
Ort: Nürnberg
NUTS-Code: DE254 Nürnberg, Kreisfreie Stadt
Land: Deutschland
Abschnitt V: Auftragsvergabe
Firewall-Komponenten
Ort: Nürnberg
NUTS-Code: DE254 Nürnberg, Kreisfreie Stadt
Land: Deutschland
Abschnitt V: Auftragsvergabe
Netzwerk-Komponenten
Ort: Bamberg
NUTS-Code: DE241 Bamberg, Kreisfreie Stadt
Land: Deutschland
Abschnitt V: Auftragsvergabe
Netzwerkmonitoring
Ort: Münster
NUTS-Code: DEA3 Münster
Land: Deutschland
Abschnitt VI: Weitere Angaben
Postanschrift:[gelöscht]
Ort: Ansbach
Postleitzahl: 91522
Land: Deutschland
E-Mail: [removed]
Telefon: [removed]
Fax: [removed]