ALMACENAMIENTO CENTRALIZADO (SAN) Escenario 1: SAN … · Controladoras de la SAN • La velocidad...
-
Upload
phungkhuong -
Category
Documents
-
view
220 -
download
0
Transcript of ALMACENAMIENTO CENTRALIZADO (SAN) Escenario 1: SAN … · Controladoras de la SAN • La velocidad...
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
ALMACENAMIENTO CENTRALIZADO (SAN) Escenario 1: SAN Fibra Canal 16 Gigabit
DESCRIPCIÓN CARACTERÍSTICAS SOLICITADAS
Cantidad 1
Marcas Sugeridas Dell/EMC, Hitachi, HP, IBM, Oracle o marcas equivalentes o superiores
Capacidad de Almacenamiento 50 TB (Terabytes) de Almacenamiento usables, luego de la configuración en RAID 5 y del nivel de protección (Tolerancia a fallos) que traiga por defecto el almacenamiento (ej. Spare, spreading, etc.)
Capacidad de Crecimiento Capacidad de Crecimiento de 40%.
Tipo de Discos • Discos SSD con conector SAS a 12 GB mínimo
• Todos los discos de la SAN deberán ser SSD Mixed Use (MU)
• Ofrecer tecnología de disco duro que pueda permanecer en el mercado por al menos 5 años.
Tipos de RAID Soportados Soporte para los tipos de protección (RAID) disponibles, como ser RAID 0,1,1+0, 5,5+0,6,6+0 o Superior.
Distribución de Discos La distribución de discos debe ser la recomendada por el proveedor basado en mejores prácticas, sin embargo, se debe tratar de usar la menor cantidad posible de Disk Enclosures (Cajas) ofreciendo discos SSD de alta capacidad.
Switches 2 Switches Fibra Canal a 16 Gigabit de 24 puertos en modo redundante, dentro de la categoría de gestionable por web, Administración inteligente, Propio para la SAN y totalmente gestionable.
Controladoras de la SAN • La velocidad de conexión a las controladoras del Storage debe ser igual (o Superior) que la velocidad de conexión a los switches de fibra (16 GB).
• Controladora DUAL en Modo Redundante.
Memoria Cache Las Controladoras del Arreglo deben manejar memoria cache en el almacenamiento. Mientras más memoria cache mejor se evaluará la solución (Si Aplica, caso contrario especificar la tecnología ofertada)
Soporte para HBA’s Las tarjetas (HBA) deben ser compatibles para los equipos (Servidores) que vayan a conectarse a la SAN, que brinden la misma velocidad o superior y contar con soporte para las mismas.
Compatibilidad Compatibilidad de la solución de almacenamiento con VMWare ESX 6.5, LINUX CENTOS 7, Redhat 7, Oracle Linux 7, WINDOWS SERVER 2016.
Energía 2 fuentes de poder redundantes Cada fuente de poder debe poder soportar individualmente el 100% del requerimiento de energía de la SAN.
Puertos 1 puerto de administración remota
ACCESORIOS
Cables INCLUIDOS, Cables de Poder, 30 Cables de Fibra para todas las conexiones redundantes a los servidores
Rieles Para Rack INCLUIDOS, sin brazo de administración de cables.
GARANTÍA 5 años, debe incluir análisis predictivo de fallas
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
ALMACENAMIENTO CENTRALIZADO (SAN) Escenario 2: SAN iScsi Ethernet cobre 10 Gigabit (10GBASE‑T)
DESCRIPCIÓN CARACTERÍSTICAS SOLICITADAS
Cantidad 1
Marcas Sugeridas Dell/EMC, Hitachi, HP, IBM, Oracle o marcas equivalentes o superiores
Capacidad de Almacenamiento 50 TB (Terabytes) de Almacenamiento usables, luego de la configuración en RAID 5 y del nivel de protección (Tolerancia a fallos) que traiga por defecto el almacenamiento (ej. Spare, spreading, etc.)
Capacidad de Crecimiento Capacidad de Crecimiento de 40%.
Tipo de Discos • Discos SSD con conector SAS a 12 GB mínimo
• Todos los discos de la SAN deberán ser SSD Mixed Use (MU)
• Ofrecer tecnología de disco duro que pueda permanecer en el mercado por al menos 5 años.
Tipos de RAID Soportados Soporte para los tipos de protección (RAID) disponibles, como ser RAID 0,1,1+0, 5,5+0,6,6+0 o Superior.
Distribución de Discos La distribución de discos debe ser la recomendada por el proveedor basado en mejores prácticas, sin embargo, se debe tratar de usar la menor cantidad posible de Disk Enclosures (Cajas) ofreciendo discos SSD de alta capacidad.
Switches 2 Switches para cobre Ethernet a 10 Gigabit (10GBASE-T) de 24 puertos en modo redundante, dentro de la categoría de gestionable por web, Administración Inteligente, Propio para la SAN y totalmente gestionable.
Controladoras de la SAN • La velocidad de conexión a las controladoras del Storage debe ser igual (o Superior) que la velocidad de conexión a los switches 10 Gigabit (10GBASE-T).
• Controladora DUAL en Modo Redundante.
Memoria cache Las controladoras del arreglo deben manejar memoria cache en el almacenamiento. Mientras más memoria cache mejor se evaluará la solución (Si Aplica, caso contrario especificar la tecnología ofertada)
Soporte para HBA’s Las tarjetas (HBA) deben ser compatibles para los equipos (Servidores) que vayan a conectarse a la SAN, que brinden la misma velocidad o Superior y contar con soporte para las mismas.
Compatibilidad Compatibilidad de la solución de almacenamiento con VMWare ESX 6.5, LINUX CENTOS 7, Redhat 7, Oracle Linux 7, WINDOWS SERVER 2016.
Energía 2 fuentes de poder redundantes Cada fuente de poder debe poder soportar individualmente el 100% del requerimiento de energía de la SAN.
Puertos 1 puerto de administración remota
ACCESORIOS
Cables INCLUIDOS, Cables de Poder, 20 Cable U/UTP Cat 6A mínimo para las conexiones Ethernet 10G desde los servidores hacia la SAN.
Rieles Para Rack INCLUIDOS, sin brazo de administración de cables.
GARANTÍA 5 años, debe incluir análisis predictivo de fallas
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
SERVIDORES PARA VIRTUALIZACIÓN
DESCRIPCIÓN CARACTERÍSTICAS SOLICITADAS
CANTIDAD DE SERVIDORES 4
MARCAS SUGERIDAS Dell, HP, IBM, Oracle o marcas equivalentes o superiores
CPU Intel® Xeon® E5-2640 v4 2.4GHz,25M Cache,8.0GT/s QPI,Turbo,HT,10
Cores/20 Threads mínimo.
CANTIDAD DE PROCESADORES 2 procesadores (Crecimiento máximo 2 Sockets).
CONTROLADOR RAID RAID 0, 1, 5, 6, 6+0, 1+0
DISCO 2 DISCOS SSD de 250 Gb o superior para boot. (RAID 1)
2 TB de almacenamiento en discos SAS (RAID 0).
RED 8 puertos Ethernet de 1 Gigabit o superior. Por las capacidades
actuales de la plataforma de comunicaciones no se considera
necesario contar con tarjetas de 10GB, pero se pueden suministrar
como valor agregado
MEMORIA 512 GB a 2133MHz, con capacidad de crecimiento a 1 TB o más.
ENERGÍA Dos (2) fuentes de poder redundantes
Cada fuente de poder debe poder soportar individualmente el 100%
del requerimiento de energía de la capacidad de crecimiento del
servidor.
PUERTOS 4 puertos USB 2.0/3.0
1 puerto de administración remota
HBA 2 tarjetas HBA compatibles con switches de la SAN propuesta.
SISTEMAS COMPATIBLES VMWARE ESX 6.5, LINUX CENTOS 7, Redhat 7, Oracle Linux 7,
WINDOWS SERVER 2016,
ACCESORIOS
CABLES Cables de Poder incluidos
RIELES PARA RACK INCLUIDO, sin brazo de administración de cables.
GARANTÍA 5 años, debe incluir análisis predictivo de fallas
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
SERVIDORES PARA BASES DE DATOS
DESCRIPCIÓN CARACTERÍSTICAS SOLICITADAS
CANTIDAD DE SERVIDORES 2
MARCAS SUGERIDAS Dell, HP, IBM, Oracle o marcas equivalentes o superiores
CPU Intel® Xeon® E5-2640 v4 2.4GHz,25M Cache,8.0GT/s QPI,Turbo,HT,10
Cores/20 Threads mínimo.
CANTIDAD DE PROCESADORES 2 procesadores (Crecimiento máximo 2 Sockets).
CONTROLADOR RAID RAID 0, 1, 5, 6, 6+0, 1+0
DISCO 2 DISCOS SSD de 250 Gb o superior
RED 4 puertos ETHERNET 1 Gigabit (o superior)
MEMORIA 64 GB a 2133MHz, con capacidad de crecimiento a 1 TB o superior.
ENERGÍA Dos (2) fuentes de poder redundantes
Cada fuente de poder debe poder soportar individualmente el 100%
del requerimiento de energía de la capacidad de crecimiento del
servidor.
PUERTOS 4 puertos USB 2.0/3.0
1 puerto de administración remota
HBA 2 tarjetas compatibles con switches de la SAN propuesta.
SISTEMAS COMPATIBLES VMWARE ESX 6.5, LINUX CENTOS 7, Redhat 7, Oracle Linux 7,
WINDOWS SERVER 2016,
ACCESORIOS
CABLES Cables de Poder incluidos
RIELES PARA RACK INCLUIDOS, sin brazo de administración de cables.
GARANTÍA 5 años, debe incluir análisis predictivo de fallas
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
SERVIDORES PARA BASES DE DATOS – SITIO ALTERNO
DESCRIPCIÓN CARACTERÍSTICAS SOLICITADAS
CANTIDAD DE SERVIDORES 1
MARCAS SUGERIDAS Dell, HP, IBM, Oracle o marcas equivalentes o superiores
CPU Intel® Xeon® E5-2640 v4 2.4GHz,25M Cache,8.0GT/s QPI,Turbo,HT,10
Cores/20 Threads mínimo.
CANTIDAD DE PROCESADORES 2 procesadores (Crecimiento máximo 2 Sockets).
CONTROLADOR RAID RAID 0, 1, 5, 6, 6+0, 1+0
DISCO 2 DISCOS SSD de 250 Gb o superior para boot. (RAID 1)
3 TB de almacenamiento en discos SAS (RAID 5).
RED 4 puertos ETHERNET 1 Gigabit (o superior)
MEMORIA 64 GB a 2133MHz, con capacidad de crecimiento a 1 TB o superior.
ENERGÍA Dos (2) fuentes de poder redundantes
Cada fuente de poder debe poder soportar individualmente el 100%
del requerimiento de energía de la capacidad de crecimiento del
servidor.
PUERTOS 4 puertos USB 2.0/3.0
1 puerto de administración remota
HBA 2 tarjetas compatibles con switches de la SAN propuesta.
SISTEMAS COMPATIBLES VMWARE ESX 6.5, LINUX CENTOS 7, Redhat 7, Oracle Linux 7,
WINDOWS SERVER 2016,
ACCESORIOS
CABLES Cables de Poder incluidos
RIELES PARA RACK INCLUIDOS, sin brazo de administración de cables.
GARANTÍA 5 años, debe incluir análisis predictivo de fallas
El equipo será entregado en Sede para su configuración y réplica
inicial, posteriormente será enviado e instalado físicamente por
COCESNA en el Sitio Alterno, por lo cual, para efectos de la garantía el
Adjudicatario debe considerar que la misma se ejecutará en el Sitio
Alterno como lugar de instalación final.
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
SERVIDOR DE DOCUMENTOS Y ACTUALIZACIONES
DESCRIPCIÓN CARACTERÍSTICAS SOLICITADAS
CANTIDAD DE SERVIDORES 3
MARCAS SUGERIDAS Dell, HP, IBM, Oracle o marcas equivalentes o superiores
CPU Intel® Xeon® processor E5 2600 v4 product family 8 Cores.
CANTIDAD DE PROCESADORES 1 procesador (Crecimiento máximo 2 Sockets).
CONTROLADOR RAID RAID 0, 1, 5, 6, 6+0, 1+0
DISCO 2 discos SSD de 250 Gb o superior para boot. (RAID 1)
4 TB de almacenamiento en discos SAS (RAID 5) o superior
Capacidad de crecimiento de al menos 2TB adicionales en el mismo
servidor
RED 4 puertos ETHERNET 1 Gigabit (o superior)
Memoria 64 GB a 2133MHz, con capacidad de crecimiento a 1 TB o más.
Energía Dos (2) fuentes de poder redundantes
Cada fuente de poder debe poder soportar individualmente el 100%
del requerimiento de energía de la capacidad de crecimiento del
servidor.
PUERTOS 4 puertos USB 2.0/3.0
1 puerto de administración remota
SISTEMAS COMPATIBLES VMWARE ESX 6.5, LINUX CENTOS 7, Redhat 7, Oracle Linux 7,
WINDOWS SERVER 2016,
ACCESORIOS
CABLES Cables de Poder incluidos
RIELES PARA RACK INCLUIDOS, Sin Brazo De Administración De Cables.
GARANTÍA 5 años
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
GABINETE 48U
DESCRIPCIÓN CARACTERÍSTICAS SOLICITADAS
Cantidad 2
Marcas Sugeridas Dell, HP, IBM, Tripp Lite, Panduit, APC o marcas equivalentes o
superiores
DIMENSIONES
Altura del Rack (Espacios U) 48
Profundidad máxima del dispositivo
(pulgadas)
37
Dimensiones de la Unidad
(Al x An xPr / pulgadas)
89 x 29.53 x 43, debe soportar instalación de organizadores verticales
y regletas sin herramienta, ver como referencia modelo SR48UBWD de
Tripp Lite.
Peso de la Unidad (lb) 343
Color Negro
Capacidad de Peso - Estacionaria(lb) 3000
FUNCIONES ESPECIALES
Poste de conexión a tierra Marcos de puerta Delantera y Trasera
Certificaciones Certificaciones UL60950; RoHS; CE
Pintura Electrostática en polvo con resinas de poliéster.
ACCESORIOS
Tapas de 1U Mínimo 10 Incluidas
Tornillos y tuercas de fijación Incluidos
Rodos Incluidos
Guías Guías estándar de rack para uso en las diferentes marcas de servidores
Paneles laterales Incluidos
Compuertas con cerradura y llaves Puertas extraíbles (frontal y trasera) micro perforadas y con cerradura
PDU PDU para RACK 120V/240V para 25 SALIDAS mínimo, por cada
gabinete
Organizadores verticales 2 organizadores instalados en cada gabinete
GARANTÍA 5 años
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
WEB APPLICATION FIREWALL (WAF)
DESCRIPCIÓN CARACTERÍSTICAS SOLICITADAS
Cantidad 1
Marcas Sugeridas Fortinet, Barracuda, F5 o marcas equivalentes o superiores
Tipo Equipo dedicado
Interfaces 10/100/1000 4 puertos mínimo.
Interfaces SFP GbE port 4 puertos mínimo.
Puerto de administración 1 puerto mínimo
Almacenamiento 240 GB o superior
Fuente de Poder Estándar, Redundante.
Energía Requerida 100–240V AC, 50–60 Hz, 100V/5A, 240V/3A
DESEMPEÑO
Rendimiento 100 Mbps
Alta Disponibilidad Capacidad para habilitar alta disponibilidad Activo/Pasivo y/o Clúster *
Máximo transacciones HTTP por
segundo
10,000
Licencias por aplicación. Ilimitada
REGULACIONES
Certificaciones de seguridad FCC Part 15 Class A, C-Tick, VCCI, CE, UL/cUL, CB, OWASP T 10
Cumplimiento con PCI Necesidad de Cumplimiento con el Estándar de Seguridad de Datos
para la Industria de Tarjeta de Pago (PCI DSS)
CARACTERÍSTICAS FUNCIONALES DEL WAF
Protección de Datos y Cloaking Requerida
Protección en las 7 Capas Requerida
Defensa Proactiva de Bots Capacidad para detectar bots antes de que los mismos lleven el ataque
a máxima intensidad y tomar medidas proactivas para mitigar los
mismos.
Identificación de Dispositivos Capacidad para la detección de dispositivos no autorizados dentro de
la infraestructura de la Corporación, por medio de la lista de
dispositivos autorizados dentro del WAF.
Agrupación de Incidentes El WAF debe tener la capacidad de determinar grupos de incidentes de
un mismo origen y mapear el mismo para su respectivo bloqueo,
adicionalmente almacenar los datos estadísticos de dichos orígenes.
Identificación de Aplicaciones Capacidad para detectar las aplicaciones autorizadas por la
Corporación y evitar la instalación de aplicaciones ajenas a la operación
de la Corporación como tal.
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
Escala y Rendimiento sobre ataques Capacidad de crecimiento y mejora en el rendimiento incluso en
situación de ataques extremos o lluvia de ataques como objetivo
principal.
Análisis de Datos Geo IP y Seguridad Análisis de aplicaciones web desde múltiples vectores que solicitan un
mapa de su ubicación geográfica y permite el acceso al bloqueo desde
países específicos.
Opciones de Implementación Trabajar en modo Pasivo Snifer,
En modo En Línea (tipo bridge),
En modo de Proxy reverso,
En modo Proxy transparente,
WCCP
Seguridad Web Perfilado automático (lista blanca)
Firmas de servidor Web y aplicación (lista negra)
Reputación IP
Geolocalización IP
Cumplimiento con HTTP RFC
Soporte Nativo para HTTP/2
Protección Contra Ataques a Nivel
de Aplicación
Secuestro de sesiones
Alteración
Ataques state-based
Limitaciones al protocolo HTTP/HTTPS para prevenir ataques como
Contrabando de solicitudes HTTP
Ataques HTTP/HTTPS
o Adobe Flash binary (AMF) protocol attacks
o Botnet
o Browser Exploit Against SSL/TLS (BEAST)
o Brute force login attack
o Clickjacking
o Cookie tampering
o Credit card theft
o Cross-site request forgery (CSRF)
o Cross-site scripting (XSS)
o Denial of service (DoS)
o HTTP header overflow
o Local file inclusion (LFI)
o Malicious robots
o Remote file inclusion (RFI)
o Server information leakage
o Inyección SQL
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
o Malformed XML
o HTTP request flood
Envenenamiento de cookies
Inyección de comandos
Alteración de formularios
Manipulación de campos ocultos
Pérdida de datos salientes
Inclusión remota de archivos
Control de acceso remoto
Navegación forzada Directorio transversal
Reconocimiento de sitios
Piratería de motores de búsqueda
Suplantación de identidad (Phishing)
Control de velocidad de acceso
Envenenamiento de esquemas
Alteración de parámetros XML
Prevención de Intrusos XML
Escaneo WSDL
Carga útil recursiva
Ataque de entidades externas
Desbordamientos del Búfer
Negación de servicio
Modificación de páginas web (Anti-Defacement) la cual estará
verificando de forma constante el contenido de las páginas y en caso
de existir alguna modificación automáticamente regresar el archivo
original y/o alertar sobre este evento
Otros Servicios de Seguridad Servicio de Firmas WWeb
Cumple con protocolos XML y JSON
Detección de Malware
Parchado Virtual
Validación de Protocolo
Encriptación y Firmado de Cookies.
Puntuación y ponderación de amenazas
Detección de Sintaxis basada en SQLi
Encabezamiento HTTP
Intrusión de firmas del Sistema Operativo
Prevención de ataques de DoS y DDoS
o Botnet
o Low-rate DoS
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
o Slow POST attack
o Slowloris
o SYN flood
Ataques SOAP/XML
o Ataques Dia cero (Zero-Day)
o Element overflow
o External entity
o Inadvertent XML DoS
o Recursive payload
o Schema poisoning
o XML parameter tampering
o WSDL scanning
Prevención de Fuga de Datos
Limitación de carga de archivos hacia los servidores
Horarios de protección para eventos de una sola ocasión o para
eventos recurrentes
Escaneo de vulnerabilidades en los servidores y aplicaciones Web
(Programables, no intrusivo, en modo autenticado). Estos escaneos
deberán encontrar las vulnerabilidades comunes de los servidores
como software desactualizado, fugas conocidas de memoria o posibles
buffer Overflows, además deberá identificar vulnerabilidades más
avanzadas para detectar al menos XSS, SQL Injection, Source-code
Disclosure, OS Commanding
Reporte de escaneo en formatos HTML, PDF, MIME HTML, RTF y TXT y
deberá tener la posibilidad de mandarlo por correo electrónico
Debe permitir la exclusión de URLs dentro del análisis de
vulnerabilidades
Funcionalidad de auto aprendizaje para que el equipo entienda cómo
funciona la estructura Web de las aplicaciones y permita implementar
políticas de seguridad con la información recopilada. Este aprendizaje
debe de descubrir los URL y otras características de las sesiones de
HTTP/HTTPS mediante la observación del tráfico
Soportar el estándar SNMP y contar con un esquema de generación de
reportes calendarizados para mostrar la información obtenida en base
al auto-aprendizaje, a las estadísticas y tráfico recolectados por las
políticas, reportes de ataques, eventos y reportes de escaneo de
vulnerabilidades para fines de cumplimiento de alguna normativa.
Análisis de los datos (Data analytics) para ayuda en el rastreo del uso
de los servidores web
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
Funcionalidad de captura de paquetes de todo o parte del tráfico que
pase a través de una interface en particular, permitiendo rastrear los
estados de la conexión para un mejor diagnostico en caso de alguna
falla.
Protección de Servidores Protección tanto por dirección IP como por nombre (DNS Domain
Name)
Verificación de la salud de los equipos a través de los siguientes
protocolos TCP, HTTP/HTTPS e ICMP
Funcionalidad de terminador de sesiones SSL para aceleración de
tráfico
Descifrado oculto de SSL usando claves privadas del servidor.
Soporte de certificados tanto en modo pasivo como activo
Cifrado en ambos sentidos (Frontend y Backend), soportando:
• SSL 2.0
o DES-EDE3-CBC-MD5 — 192-bit
o DES-CBC-MD5 — 64-bit
• SSL 3.0
o AES-SHA — 256-bit & 128-bit
o DES-CBC3-SHA — 168-bit
• TLS 1.0
o AES-SHA — 256-bit & 128-bit
o DES-CBC3-SHA — 168-bit
• Triple DES (3DES)
• RSA
• Diffie-Helman
• Digital Signature Algorithm (DSA)
• Secure Hash Algorithm 1 (SHA-1) and Message-Digest 5 (MD5)
• SNMP v2 y V3
Capacidad de almacenar certificados digitales de CA’s, así como la
capacidad de poder generar CSR para su posterior envío y firmado por
alguna CA
Control de Acceso a las Aplicaciones Soportar de reglas para definir si las peticiones de HTTP serán
aceptadas basándose en el hostname, el URL, así como el origen de la
petición, y si es necesario aplicar una tasa de transferencia específica
(rate limiting)
Base de datos actualizable de forma automática para la generación de
blacklist y whitelist con la facultad de realizar bloqueos de forma
geográfica o de asignar niveles de severidad.
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
Firmas de los robots conocidos como link checkers, search engine
indexers, spiders y web crawlers que se podrán colocar en los perfiles
de control de acceso, así como resetear las conexiones.
Sistema de reputación de direcciones IP públicas para detectar y
calificar las direcciones IP que tienen acceso al sistema de tal forma
que si una IP ha sido partícipe de un ataque informático no se le
permita el acceso a los servidores de aplicaciones, esta calificación se
deberá hacer y actualizar de forma automática.
Funcionalidad para limitar el número de HTTP request por segundo por
dirección IP, de la misma forma se podrá limitar el número de
conexiones TCP por sesión de HTTP además de limitar las peticiones
desde una misma dirección IP
Aceptación de firmas personalizadas las cuales podrán ser usadas
contra ataques o de prevención de fuga de información (DLP)
Funcionalidad para rescribir o redireccionar HTTP requests y HTTP
responses. Para reescribir el URL podrá seleccionar qué parte de la
petición se buscará igualar en base a: HTTP Host, HTTP Request URL,
HTTP Referer, HTTP Body, HTTP Location y la expresión regular que se
haya definido
Capacidad de definir excepciones a las políticas de seguridad y validar
protocolos y restricción de métodos; validar encoding URL; validar el
formato no estándar; validar el tamaño de header, contenido y cuerpo;
validar parámetros adicionales con reglas para ataques desconocidos
y proteger contra la detección de campos ocultos.
Sistema de protección que permita el paso del tráfico sin filtrar en caso
de que el equipo se apague o se encuentre en proceso de encendido
Entregas de Datos Balanceo de Carga a Nivel de Capa 7 La solución podrá generar granjas de servidores para distribuir las conexiones de los usuarios, los métodos para distribuir estas sesiones deberán ser: Balanceo de Servidores, ruteo basado en contenido WSDL, ruteo basado en contenido HTML, ruteo basado en contenido XML La solución deberá ser capaz de crear servidores virtuales para que los usuarios puedan tener acceso a los servicios reales y poder configurar mensajes de intercepción y de error Reescritura de URL Ruteo de Contenido Descarga HTTP/SSL Compresión HTTP Cache de Datos
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
Autenticación Autenticación activa y pasiva
Publicación de Sitios y SSO
Acceso RSA para autenticación en dos factores.
Soporte para de usuarios finales remotas a través de LDAP, RADIUS y
NTLM
Soporte para certificados SSL
Encabezado de autorización del protocolo HTTP/HTTPS
Formas embebidas de HTML
Cuentas de usuario final locales en la solución
El equipo deberá ser capaz de generar grupos de usuarios para accesos
similares
La solución podrá aplicar los grupos de usuarios a dominio corporativo
de autorización de COCESNA
En conexiones HTTPS, deberá poder solicitar a los clientes certificado
para confirmar sus identidades, autenticación PKI (Certificados
digitales personales)
Verificar certificados válidos y revocados a través de una lista de
revocación de certificados (CRL) o a través de una búsqueda de OCSP.
La solución deberá ser capaz de respaldar los certificados
Administración Interfase gráfica de usuario (GUI), vía Web por HTTP y HTTPS para
hacer administración de las políticas de seguridad y que forme parte
de la arquitectura nativa de la solución para administrar la solución
localmente. Por seguridad la interfase debe soportar SSL sobre
HTTP(HTTPS) o mediante una aplicación de administración
Panel de control con disponibilidad de gráficos y dashboards de
administración conteniendo la información relevante como:
Información de la solución, versión de la base de datos de
vulnerabilidades, acceso a la línea de comandos de la solución,
recursos disponibles de la solución, consola de bitácora de ataques,
resumen de políticas de seguridad, consola de bitácora de eventos,
estado de los servidores, sesiones que están usando las políticas.
La interfase gráfica de usuario (GUI) vía Web es recomendable que
pueda estar en español y en inglés, configurable por el usuario
Interfase basada en línea de comando (CLI) para administración de la
solución
Servicio de envío de correos electrónicos para la notificación de algún
ataque, eventos de falla
Comunicación cifrada y autenticada con usuario y contraseña, tanto
para la interfase gráfica de usuario como para la consola de
administración de línea de comandos (SSH o telnet)
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
El administrador del sistema podrá tener las opciones incluidas de
autenticarse vía usuario/contraseña y vía certificados digitales.
Los administradores podrán tener asignado un perfil de administración
que permita delimitar las funciones del equipo que pueden gerenciar
y afectar.
Soporte de Control de Acceso basado en roles.
Flexibilidad para especificar que Los administradores puedan estar
restringidos a conectarse desde ciertas direcciones IP cuando se utilice
SSH, Telnet, http o HTTPS.
El equipo deberá poder administrarse en su totalidad (incluyendo
funciones de seguridad, ruteo y bitácoras) desde cualquier equipo
conectado a Internet que tenga cualquier tipo de navegador, sin
necesidad de instalación de ningún software adicional.
Soporte para almacenamiento de eventos en un repositorio que pueda
consultarse luego con SQL.
Monitoreo de comportamiento del appliance mediante SNMP, el
dispositivo deberá ser capaz de enviar traps de SNMP cuando ocurra
un evento relevante para la correcta operación de la red.
Debe ser posible definir la dirección IP que se utilizará como origen
para el tráfico iniciado desde el mismo dispositivo. Esto debe poder
hacerse al menos para el tráfico de alertas, SNMP, Log y gestión.
Permitir que el administrador de la plataforma pueda definir qué
funcionalidades están disponibles o deshabilitadas para ser mostradas
en la interfaz gráfica.
Contar con facilidades de administración a través de la interfaz gráfica
como ayudantes de configuración (setup wizard).
Permitir monitoreo y alertas en tiempo real.
Contar con reportes predefinidos y la opción de personalización, así
como contar con herramientas de análisis.
Almacenamiento de Logs Almacenamiento de los logs al mismo tiempo que procese el tráfico,
estos logs deberán ser de ataques, tráfico, eventos, utilización de
recursos (CPU, memoria almacenamiento) y se podrá configurar los
métodos de almacenamiento hacia el disco duro, a la memoria, a un
servidor de Syslog o algún otro equipo para la generación de reportes.
Almacenamiento de Logs por un período mínimo de 3 meses
Capacidad de extraer los logs en otro medio para análisis forense
Soporte de conexión a servidores syslog para poder enviar bitácoras a
servidores de SYSLOG remotos
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
ACCESORIOS
Cables INCLUIDOS, Cables de Poder, cables requeridos para su integración
con la infraestructura de COCESNA
Kit de Montaje para Rack INCLUIDOS
GARANTÍA 3 años, incluyendo garantía para el hardware contra fallos y defectos
de fábrica, actualizaciones de software, librerías, bases de datos y
cualquier servicio de actualización de firmware, firmas, reputación y/o
demás requeridos por la solución para el cumplimiento de los
requerimientos detallados anteriormente
Indicar los costos recurrentes anuales por garantía y licenciamiento
por un período de un (1) año y dos (2) años para futuras renovaciones
Notas:
* Los Balanceadores de Carga en modo redundante son un equipo opcional, COCESNA no están en
la obligación de realizar la compra de los mismos. Las especificaciones técnicas deberán ser
dimensionadas por el oferente en base a la infraestructura, las marcas que representa y la
integración con los diversos elementos de Hardware y Software que componen la Solución.
* La no presentación en su oferta de Balanceadores de Carga no será motivo de descalificación o
eliminación de la oferta, ya que la misma no forma parte integrante de la Solución, es un elemento
alternativo que será evaluado por COCESNA para su integración presente o futura a la plataforma
tecnológica.
* COCESNA se reserva el derecho de elegir o no equipos adicionales que sean propuestos por los
diversos oferentes en su propuesta. El (los) equipo (s) propuesto (s) debe (n) contar con integración
a la infraestructura de la Solución ofertada y se analizará como equipo adicional y opcional.
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
SERVICIOS CONEXOS
DESCRIPCIÓN CARACTERÍSTICAS SOLICITADAS
Condiciones Generales La plataforma propuesta debe presentar descripción técnica y brochure de
todos los equipos de la infraestructura propuesta
La plataforma propuesta debe incluir diagramas de instalación e interconexión
en formato editable (.vsd)
El adjudicatario deberá entregar documentación asociada a la instalación y
configuración de TODOS los componentes de la Solución, debe incluir manuales
del fabricante y descripción de la implementación y de todas las configuraciones
realizadas.
La plataforma propuesta deberán ser equipos nuevos, de última generación y
de marcas reconocidas a nivel mundial
Considerando que COCESNA tiene su infraestructura de comunicaciones con
tecnología CISCO y su monitoreo con Solarwinds, la plataforma propuesta
deberá ser compatible con estas tecnologías y herramientas
Proveer el total de consumo energético (Watts y VA) de todos los componentes
de la infraestructura
El servicio propuesto deberá incluir acuerdo de confidencialidad que garanticen
la seguridad de la información de COCESNA.
Todas las actividades de instalación, configuración, optimización, puesta en
operación y habilitación de las redundancias de los diversos componentes de la
Solución, bajo la responsabilidad del Adjudicatario, se deberán realizar en
conjunto con el personal técnico de COCESNA, como parte de la transferencia
de conocimiento y supervisión y validación de las tareas realizadas.
Implementación El alcance general es el suministro, instalación, configuración, optimización y
puesta en operación de los diversos componentes de la
Solución. Garantizando además la habilitación de las redundancias adquiridas
en los equipos y la funcionalidad de las herramientas de Sw.
Configuración de accesos de administración
La solución propuesta deberá incluir los suministros (Kit de montaje en rack,
bandejas, tapas ciegas, etc.), cableado estructurado (cableado - Cat 6, Fiber
Channel, Fibra óptica -, patch panel, patch cord, etc.), etiquetado, servicios de
instalación y otros requeridos para la instalación e interconexión de equipos en
gabinete(s) de acuerdo a normas internacionales, TIA/EIA 569, 508, 509, 606,
607.
Las actividades de implementación incluyen la entrega de documentación del
cableado estructurado y diagramas de instalación, interconexión (Física y lógica)
y distribución física de los equipos en formato editable (.vsd)
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
Integración Es responsabilidad del adjudicatario la integración entre los elementos de la
Solución, así como la integración de la Solución con la plataforma tecnológica
existente en COCESNA (Comunicación de datos e Internet, seguridad, AD
Corporativo, plataforma de correo, monitoreo, respaldo de datos, energía, etc.)
en todos los componentes que aplique.
Configuración del
Almacenamiento
Instalación y configuración de las HBA’s de los servidores de bases de datos
hacia la SAN, incluyendo la conexión a la SAN.
Instalación y configuración de las HBA’s de los servidores del cluster de VMWare
hacia la SAN, incluyendo la conexión a la SAN.
Creación e inicialización de las LUNs que serán usadas en cada uno de los
servidores, ya sean de bases de datos o del Cluster de VmWare.
Configuración de Base de
Datos y Servidor de
Aplicaciones
Instalación y Configuración del software de la base de datos en modo de alta
disponibilidad, usando las características de alta disponibilidad ya incluidas en
la versión adquirida, como Cluster, Servers with Group Replication y MySQL
Router. Se entiende que Replicación Master-Slave se considera como una
opción de contingencia y no de alta disponibilidad.
Instalación y Configuración de JBoss EAP en modo de Alta disponibilidad
(Cluster), en dos servidores virtuales, apuntando a un balanceador de carga. Si
se acepta la propuesta de adquirir el balanceador de carga provisto, se debe
configurar para apuntar hacia este cluster, si no, se debe configurar hacia un
servidor virtual configurado para este propósito.
El adjudicatario deberá configurar los diversos ambientes de producción,
desarrollo y pruebas de bases de datos usando la suscripción de licencia de
bases de datos provista
El adjudicatario será responsable de la configuración de la replicación de Base
de Datos desde el sitio principal hacia el sitio alterno de respaldo.
El Servidor de Base de Datos del Sitio Alterno deberá ser entregado y
configurado en la Sede COCESNA. Posterior a la configuración y ejecución de la
réplica COCESNA será responsable del envío e instalación física del equipo en el
Sitio Alterno y una vez realizada la implementación física, el Adjudicatario
deberá realizar las pruebas correspondientes de acuerdo al protocolo
aprobado, los resultados de las pruebas deberán ser aprobados por el personal
técnico de COCESNA
Configuración VMWare Configuración de HA, DRS cluster VMWARE, Instalación de licencias en la
Solución Propuesta.
Configuración de conexiones de la SAN en integración con VMWARE.
Configuración de SRM para el sitio remoto El Salvador
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
Migración El personal de COCESNA realizará las actividades de migración de los servidores
virtuales, sistemas, aplicaciones y servicios de la infraestructura actual hacia los
nuevos equipos. Sin embargo, el adjudicatario deberá brindar asesoría y
asistencia técnica para garantizar el proceso de la migración, el
aprovechamiento de los recursos, la puesta en marcha en la Solución adquirida
y la resolución de incidentes.
El adjudicatario será responsable de la documentación y ejecución de pruebas
de las funcionalidades HA, DRS y SRM y revisión de accesos de administración,
como parte de la validación de los servicios posterior a las actividades de
migración.
WAF y Balanceador de
Carga
El Adjudicatario será responsable de la implementación, configuración e
integración de los equipos WAF y Balanceador de Carga (Si aplica) con la
infraestructura de servicios web de la Corporación, tomando en consideración
todas las relaciones que se requieran para la habilitación de la plataforma de
servicios. Esta implementación incluye la optimización, fortalecimiento de
políticas de seguridad y actualización de nuevas versiones de la herramienta
Pruebas de la Solución El adjudicatario deberá elaborar el protocolo de pruebas de las diversas
funcionalidades y configuraciones realizadas para la Solución, incluyendo las
redundancias y pruebas de estrés de los diversos componentes solicitados.
Estos protocolos serán revisado y aprobados por COCESNA y su ejecución y
resultados será supervisado y validado por el personal técnico de COCESNA.
Capacitación Capacitación presencial de al menos 40 horas para no menos de cuatro
empleados de COCESNA, sobre la instalación, configuración y los diversos
elementos de hardware que componen la solución para su administración y
troubleshooting.
Capacitación presencial de al menos 20 horas para no menos de cuatro
empleados de COCESNA, sobre la administración, mantenimiento,
optimización, fortalecimiento de políticas de seguridad y actualización de
nuevas versiones de los equipos WAF
Capacitación presencial de al menos 20 horas para no menos de cuatro
empleados de COCESNA, sobre la administración, mantenimiento,
optimización, fortalecimiento de políticas de seguridad y actualización de
nuevas versiones del Balanceador de Carga (Si aplica)
Capacitación presencial de al menos 40 horas para no menos de cuatro
empleados de COCESNA, sobre la instalación, administración, mantenimiento,
optimización y troubleshooting de VMWare VCloud Suite Advanced (Si aplica)
Todas las capacitaciones deberán ser impartidas por personal certificado en el
área que le competa al curso que brinde
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
En la medida de lo posible capacitaciones se deberán realizar fuera de las
instalaciones de COCESNA para mayor aprovechamiento de la misma
Las capacitaciones que se realicen en COCESNA con los equipos y elementos de
la solución, deberán realizarse en ambientes controlados y sin afectación de los
servicios de la Corporación
La material y documentación de las capacitaciones deberá ser en formato digital
En caso de que no se llegue a utilizar todo el tiempo establecido para
capacitaciones, las horas restantes serán destinadas a soporte y atención de
incidentes y consultas del personal técnico de COCESNA
Capacitaciones Certificadas El adjudicatario deberá suministrar capacitación certificada por el fabricante
para al menos un empleado de COCESNA, sobre las siguientes:
• MySQL Fundamentals
• MySQL for Database Administrators
• MySQL Performance Tuning
• MySQL Cluster
• Red Hat JBoss Application Aministration I (JB248)
• Red Hat JBoss Application Aministration I (JB348)
Licenciamiento Todas las licencias deberán incluir la suscripción de actualización de Software
por el período de tiempo definido para cada ítem
El servicio propuesto deberá incluir las actualizaciones, parches y
vulnerabilidades de seguridad
Garantía Todos los elementos de Hw deberá contar con una garantía por el período de
tiempo definido para cada ítem
La garantía debe incluir el reemplazo de piezas y de equipos
Debe contar con disponibilidad de repuestos de acuerdo con la tabla de
criticidad de equipos.
El soporte en sitio debe tener un máximo tiempo de respuesta de acuerdo con
la tabla de criticidad de equipos.
Mantenimiento Preventivo El mantenimiento preventivo una vez levantada el Acta de Aceptación Final de
los Equipos y Licencias, será responsabilidad de COCESNA.
Para no afectar la garantía de los equipos el adjudicatario deberá entregar las
rutinas de mantenimiento a seguir por parte del personal de COCESNA
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
Soporte Soporte 24x7x365 para equipos críticos y severidad grave y 8x5 (lunes a viernes)
para equipos de impacto alto y medio y severidad Alta, Media y Baja (Ver tablas
de Criticidad de Equipos y Clasificación de Servicios).
El adjudicatario deberá contar localmente con personal certificado para los
elementos críticos de la Solución propuesta (Ver tabla de criticidad de equipos).
Tiempo de atención requerido durante el período de soporte del adjudicatario
será de acuerdo con el nivel de servicio establecido (Ver tabla de Clasificación
de servicios)
Una vez realizada la adjudicación se establecerá en consenso entre COCESNA y
el Adjudicatario los SLA para el soporte de las diversas situaciones y la
clasificación de las mismas.
El período de soporte de toda la solución y de los servicios conexos
suministrados, estará vigente hasta trece (13) meses contados a partir de la
recepción del proyecto, de acuerdo con lo establecido en la Garantía de Calidad.
El período de soporte de los equipos y licencias adquiridas está de acuerdo con
el tiempo de validez y las condiciones establecidas en la garantía definida para
cada ítem (Soporte del fabricante).
El soporte de los equipos WAF y Balanceador de Carga (Si aplica) incluye el
mantenimiento, optimización, fortalecimiento de políticas de seguridad y
actualización de nuevas versiones, parches o remediación de vulnerabilidades
de la herramienta
El servicio propuesto deberá incluir canales de atención inmediata (en línea,
teléfono, etc.). Explique y presente procesos y/o diagramas de atención
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
Criticidad de los Equipos (Garantía)
Tipo de
Criticidad
Descripción Tiempo
Max. de
Respuesta
Tiempo
Max. de
Resolución
Disponibilidad
de Repuestos
1. Equipo Crítico
Nivel Máximo de Criticidad Este hace referencia a los equipos y elementos que tienen una incidencia alta en la infraestructura y en la prestación de los servicios de la Corporación y representan un punto único de fallo. Para la Solución propuesta los equipos críticos son:
• Almacenamiento Centralizado (SAN)
• WAF
2 Horas
Será propuesto por el oferente en base a los SLA de los fabricantes para este tipo de equipos
Repuesto local (Honduras) y disponibilidad inmediata
2. Impacto Alto
Nivel de Complejidad Alto Son equipos que tienen una incidencia alta en la infraestructura y en la prestación de los servicios de la Corporación, pero disponen de redundancias y configuraciones que permiten mantener la continuidad de los servicios, aunque sea de forma degradada. Para la Solución propuesta los equipos críticos son:
• Servidores de DB
• Servidores del Cluster de Vmware
• Switches de 24 puertos para conexión de SAN (De acuerdo al escenario de SAN ofertada)
• Balanceador de carga configurados en modo redundante (Opcional)
4 Horas
Será propuesto por el oferente en base a los SLA de los fabricantes para este tipo de equipos
No necesariamente debe tener repuesto local, pero si debe contar con servicio de envío expedito
3. Impacto Medio
Impacto moderado. Lo representan equipos que tienen poca incidencia en la infraestructura y en la prestación de los servicios en condiciones normales. Son equipos que no están directamente involucrados en la prestación de servicios o están destinados para situaciones de contingencia.
• Servidores de DB - Sitio Alterno
• Servidores de Documentos y Actualizaciones
24 Horas
Será propuesto por el oferente en base a los SLA de los fabricantes para este tipo de equipos
No requiere disponibilidad local, el suministro va de acuerdo a las políticas del fabricante
“Formato”
“ESPECIFICACIONES TECNICAS” Código GTI-ESTE-007/07-DG
Edición 001
Clasificación de Servicios (Soporte Técnico)
Tipo de
Severidad
Descripción Tiempo Max.
de Respuesta
Tiempo Max. de
Resolución
1. Grave
Nivel Máximo de Gravedad Problemas que impliquen la caída total del Sistema o Aplicación, que afecte la prestación de los servicios de la Corporación a lo interno y externo y no existe alternativa de solución razonable por el momento.
2 Horas
Será propuesto por el oferente en base a sus SLA para este nivel de severidad
2. Alta
Nivel de Complejidad Alto Sistema Operacional, pero alguno de los servicios o elementos de funcionamiento crítico está gravemente degradado afectando aspectos significativos de la Corporación, sin lograr una solución momentánea, impidiendo la operación normal.
4 Horas
Será propuesto por el oferente en base a sus SLA para este nivel de severidad
3. Media
Impacto moderado a un Elemento. Un problema limitado, no crítico, no existe pérdida de datos, el sistema no presenta fallas, y el servicio, aplicación o sistema se mantiene operando. No afecta la operación normal o la situación puede ser evitada utilizando una solución alterna aceptable.
24 Horas
Será propuesto por el oferente en base a sus SLA para este nivel de severidad
4. Baja
No hay Impacto El problema no es crítico, se trata de una pregunta o asistencia general, un requerimiento de mejora, o problemas de documentación
48 Horas
Será propuesto por el oferente en base a sus SLA para este nivel de severidad
Los tiempos de atención para el soporte y garantía se definen de acuerdo con el grado de severidad
del problema expuesto por COCESNA. Se entiende como Tiempo de Respuesta al tiempo
transcurrido entre el registro inicial del caso reportado por COCESNA y la primera actividad realizada
por el Adjudicatario y/o Fabricante. El tiempo de resolución del caso se entiende como el tiempo
transcurrido entre el registro inicial del caso reportado por COCESNA y la resolución efectiva del
incidente reportado, cuya solución debe ser aceptada por parte del personal técnico de COCESNA
Los tiempos máximos de resolución, tanto para Criticidad de los Equipos como para la Clasificación
de Servicios, están establecidos de acuerdo al nivel de soporte solicitado: 24x7x365 para equipos
críticos y 8x5 (lunes a viernes) para equipos de impacto alto y medio
Los tiempos de resolución los deberá establecer el oferente de acuerdo con el nivel de criticidad de
los equipos y de severidad de los incidentes de soporte. Estos tiempos en ninguna circunstancia
deberán ser iguales para todas las clasificaciones expuestas y deberán cotizarse en función de los
SLA de los fabricantes y oferentes. Este elemento estará sometido a evaluación dentro del proceso
de licitación y se asignará mayor porcentaje a la mejor propuesta.