122 Dúvida Item 7.1.5
d. Em caso de falha em um nó do cluster a perda não poderá ser superior a 10% das conexões clientes ativas;
7.1.5) d.1. A perda da conexão não poderá acarretar a perda da sessão com a aplicação.
Solicitamos que retirem este item.
Esclarecimento
123 Dúvida
h. Possibilitar a formação de clusters ativo-ativo, ou seja, uma mesma VIP (servidor virtual) seja atendida em todos os nós do cluster simultaneamente.
Solicitamos que retirem este item.
Esclarecimento
Permanece o disposto no Termo de Referencia. Não entendemos o motivo do pedido de retirada. Favor justificar.
124 Dúvida Item 7.1.6
a. Permitir limitar o número de conexões e requisições por IP de origem, requisição, VIP e url de destino para cada endereço IP Virtual. Solicitamos a validação em relação ao entendimento de “requisição”. A “URL de destino” significa toda a URL ou apenas do hostname?
Esclarecimento
URL de destino seria toda a url, incluindo hostname/ip e contexto. Texto será alterado para: Permitir limitar o número de conexões e requisições por IP de origem, requisição, VIP e URI de destino para cada endereço IP Virtual.
125 Dúvida
i. Suportar os protocolos HTTP/1.0, HTTP/1.1, HTTP/2.0, HTTP/3.0 e QUIC.
Sugerimos a seguinte adequação:
Suportar os protocolos HTTP/1.0, HTTP/1.1 e HTTP/2.0 do lado do cliente e do servidor. Suportar os protocolos HTTP/3 e QUIC (draft-ietf-quic-http-24 e draft-ietf-quic-transport-24) pelo menos do lado do cliente.
Esclarecimento
Permanece o disposto no Termo de Referencia.
126 Dúvida
j. Suportar Cookies v0 e v1. Sugestão de adequação ao item:
Suportar criptografia de cookies e utilização de cookies para persistência de sessões, incluindo o mapeamento de um cookie do servidor real para uma sessão, inserção de um cookie pelo ADC e substituição do cookie do servidor real por um cookie gerenciado pelo ADC;
Esclarecimento
Será parcialmente atendido. Conciderá suportar criptografia de cookies inseridos pela solução para persistências de sessões.
127 Dúvida
7.1.7) REQUISITOS DE DECRIPTAÇÃO DE TRÁFEGO SSL.
Sugerimos a inclusão das seguintes funcionalidades:
-Implementar orquestração de conexões TLS inbound e outbound, com a capacidade de criar políticas de encaminhamento do tráfego descriptografado para outros dispositivos, tais como firewalls, web application firewall, proxies web, IPS, ICAP e outros dispositivos em camada 2 e camada 3.
- Permitir classificar o tráfego em diferentes políticas de encaminhamento utilizando, pelo menos, os seguintes critérios: IP e rede de origem e destino, protocolo, porta de destino, hostname, domínio e geolocalização do IP
- Implementar função de SSL forward proxy
- Suportar conexões inbound e outbound utilizando TLS 1.2
- Suportar conexões inbound (da internet para a rede interna) em TLS 1.3 - Suportar a implantação outbound nos modos transparent proxy, explicit proxy e transparente em camada 2
- Suportar a implantação inbound nos modos reverse proxy e transparente em camada 2
- Permitir inserir a orquestração de TLS em um servidor virtual já configurado no ADC
Esclarecimento
128 Dúvida
b. Todas as cifras suportadas e ofertadas pela solução deverão ser processadas em hardware dedicado, ainda que não explicitadas neste edital.
Nem todos os algoritmos suportados pelo ADC são implementados em hardware e não é possível garantir que futuros algoritmos sejam acelerados pelo hardware atual.
Sugestão de redação:
Implementar aceleração em hardware de, pelo menos, os seguintes algoritmos de trocas de chaves e cifras:
- AES-CBC com chaves de 128,192 e 256 - AES-GCM com chaves de 128, 192 e 256 - AES-GMAC com chaves 128, 192 e 256 - DES e 3DES
- MD5 HMAC/SSL - SHA1 HMAC/SSL - SHA256, 384 e 512
- RSA com chaves de 1024 a 4096 bits - DSA
- DH - ECDSA - ECDH
Esclarecimento
Permanece o disposto no Termo de Referencia. A exigência é que todas as cifras que estejam no conjunto default de cifras da solução ofertada, que sejam processadas em hardware dedicado. Serão considerados o conjunto de cifras incluida na solução até a data da homologação.
129 Dúvida
d. Implementar o algoritmo de hash SHA1 e família SHA2, SHA3. Sugestão de adequação:
Implementar o algoritmo de hash SHA1 e SHA2;
Esclarecimento
130 Dúvida
m. Possibilitar configurar o equipamento para recriptografar em SSL a requisição ao enviar para o servidor real, utilizando um certificado interno privado diferente do certificado válido.
Sugestão de redação:
Possibilitar configurar o equipamento para recriptografar em SSL a requisição ao enviar para o servidor real, utilizando um certificado interno privado diferente do certificado público, inclusive utilizando versões diferentes do TLS e cifras diferentes
Esclarecimento
Permanece o disposto no Termo de Referencia
131 Dúvida “7.1.9) REQUISITOS DE PROGRAMABILIDADE
a. A solução de ADC físico, ADC virtual e a solução de gerenciamento centralizada deverão permitir a implementação de código em python3 para automatização de rotinas internas, tais como, mas não se limitando a criação de monitores customizados.”
O item não está claro sobre onde os scripts devem ser executados e pode haver restrições para execução de tarefas automáticas pelo sistema operacional. Nossa sugestão é que sejam separados os requisitos de criação de scripts dentro da plataforma e os requisitos para gerenciamento, administração e operação por scripts executados externamente.
Sugestão: A solução de ADC físico e ADC virtual deverão permitir a implementação de código em python, bash, tcl e perl para a criação de monitores customizados.
Esclarecimento
132 “b. A solução de ADC físico, ADC virtual e a solução de gerenciamento centralizada deverão implementar API padrão RESTful com capacidade para implementação de configurações bem como a coleta de dados de gerenciamento e estatísticos das soluções e objetos gerenciados tais como, mas não se limitando a servidores virtuais e servidores reais;”
A solução de ADC físico, o ADC virtual e a solução de gerenciamento centralizada deverão implementar API padrão REST com capacidade para implementação de configurações bem como a coleta de dados de gerenciamento e estatísticos das soluções e objetos gerenciados tais como, mas não se limitando a servidores virtuais e servidores reais.
Esclarecimento
Sugestão será avaliada. Precificar como atendido.
133 Dúvida
7.2.1) HARDWARE
a. Deve possuir disco de armazenamento do tipo SSD (Solid State Drives).
Sugestão:
Deve possuir, no mínimo, 2 (dois) discos de armazenamento do tipo SSD (Solid State Drives) configurados em RAID-1.
Esclarecimento
Sugestão será avaliada.
134 Dúvida
a. Permitir a virtualização de serviços através da criação de diferentes balanceadores virtuais independentes (instâncias), permitindo definir níveis de garantia de recursos para as instâncias. Deverá implementar, no mínimo, 18 instâncias.
Solicitamos que considerem 16 instâncias para o ADC tipo 1. Sugestão de redação:
Permitir a virtualização de serviços através da criação de diferentes balanceadores virtuais independentes (instâncias), permitindo definir níveis de garantia de recursos para as instâncias. Deverá implementar, no mínimo, 16 instâncias.
Esclarecimento
135 Dúvida
h. Possuir throughput mínimo de 180 Gbps para tráfego balanceado de camada 4 (L4) e camada 7 (L7).
Solicitamos que consideram os seguintes valores de Throughput:
Possuir throughput mínimo de 80 Gbps para tráfego balanceado de camada 4 (L4) e 70 Gbps de camada 7 (L7).
Esclarecimento
Permanece o disposto no Termo de Referencia.
136 Dúvida
i. Implementar, no mínimo, 5.000.000 conexões por segundo (CPS) Layer 4 TCP.
Solicitamos que consideram o seguinte valor:
Implementar, no mínimo, 2.000.000 conexões por segundo (CPS) Layer 4 TCP.
Esclarecimento
Permanece o disposto no Termo de Referencia. Texto será adequado para 3.000.000.
137 Dúvida
j. Possuir capacidade mínima de tratar 6.500.000 transações por segundo (TPS) Layer 7.
Solicitamos que consideram o seguinte valor:
Possuir capacidade mínima de tratar 5.500.000 transações por segundo (TPS) Layer 7.
Esclarecimento
Permanece o disposto no Termo de Referencia. O Texto será adequado para 6.000.000
138 Dúvida
k. Possuir no mínimo 20 Gbps de compressão de tráfego. Solicitamos que considerem a seguinte capacidade:
Possuir no mínimo 50 Gbps de compressão de tráfego acelerado por hardware específico.
Esclarecimento
139 Dúvida
a. Implementar SSL OFFLOAD em hardware para todas as cifras.
Este item não deixa claro quais são as reais necessidades do Banco. Sugerimos a seguinte redação:
Implementar aceleração em hardware de, pelo menos, os seguintes algoritmos de trocas de chaves e cifras:
- AES-CBC com chaves de 128,192 e 256 - AES-GCM com chaves de 128, 192 e 256 - AES-GMAC com chaves 128, 192 e 256 - DES e 3DES
- MD5 HMAC/SSL - SHA1 HMAC/SSL - SHA256, 384 e 512
- RSA com chaves de 1024 a 4096 bits - DSA
- DH - ECDSA - ECDH
Esclarecimento
Permanece o disposto no Termo de Referencia. A exigência é que todas as cifras que estejam no conjunto default de cifras da solução ofertada, que sejam processadas em hardware dedicado. Serão considerados o conjunto de cifras incluida na solução até a data da homologação.
140 Dúvida
b. Todas as cifras suportadas e ofertadas pela solução deverão ser processadas em hardware dedicado, ainda que não explicitadas neste edital.
Sugerimos retirar item, pois está redundante com o anterior
Esclarecimento
Permanece o disposto no Termo de Referencia. A exigência é que todas as cifras que estejam no conjunto default de cifras da solução ofertada, que sejam processadas em hardware dedicado. Serão considerados o conjunto de cifras incluida na solução até a data da homologação.
141 Dúvida
d.c. Possuir capacidade de, no mínimo, 360.000 transações SSL por segundo (TPS) com chave 2048 bits.
Solicitamos que consideram a seguinte capacidade:
Possuir capacidade de, no mínimo, 280.000 transações por segundo com chaves RSA de 2.048 bits
Esclarecimento
Permanece o disposto no Termo de Referencia.
142 Dúvida
c. Possuir capacidade de, no mínimo, 180.000 transações de curvas elípticas (SSL ECDHE e SSL ECDSA).
Solicitamos que consideram a seguinte capacidade:
Possuir capacidade de, no mínimo, 200.000 transações por segundo testadas com o conjunto de cifras ECDHE-ECDSA-AES128-SHA256 P-256 ou mais robusto.
Esclarecimento
Permanece o disposto no Termo de Referencia.
143 Dúvida
d. Possuir throughput SSL de, no mínimo, 80 Gbps.
Solicitamos que consideram a seguinte capacidade: Possuir throughput SSL de, no mínimo, 70 Gbps.
Esclarecimento
144 Dúvida
7.3.1) HARDWARE
a. Deve possuir disco de armazenamento do tipo SSD (Solid State Drives).
Sugestão:
Deve possuir, no mínimo, 2 (dois) discos de armazenamento do tipo SSD (Solid State Drives) configurados em RAID-1.
Esclarecimento
Sugestão será Avaliada
145 Dúvida
a. Possuir no mínimo 4 (quatro) portas 10GBASE-SR (short range), em fibra óptica do tipo SR.
b. Possuir no mínimo 16 (dezesseis) portas 10GBASE-SR (short range), em fibra óptica do tipo SR.
Entendemos que o subitem B está com erro de digitação.
Devemos considerar 16 portas de 40G. Está correto o entendimento?
Esclarecimento
Será corrigido o texto. Considerar 4 portas de 40G e 16 portas de 10G.
146 Dúvida
a. Permitir a virtualização de serviços através da criação de diferentes balanceadores virtuais independentes (contexto), permitindo definir níveis de garantia de recursos para os contextos. Deverá implementar, no mínimo, 40 contextos ou 18 instâncias.
Solicitamos considerar a seguinte capacidade:
Permitir a virtualização de serviços através da criação de diferentes balanceadores virtuais independentes (contexto), permitindo definir níveis de garantia de recursos para os contextos. Deverá implementar, no mínimo, 40 contextos ou 12 instâncias.
Esclarecimento
147 Dúvida
i. Possuir throughput mínimo de 180 Gbps para tráfego balanceado tanto para camada 4 (L4) como camada 7 (L7).
Solicitamos considerar as seguintes capacidades:
Possuir throughput mínimo de 80 Gbps para tráfego balanceado de camada 4 (L4) e 70 Gbps de camada 7 (L7).
Esclarecimento
Permanece o disposto no Termo de Referencia.
148 Dúvida
7.3.4) REQUISITOS DE DECRIPTAÇÃO DE TRÁFEGO SSL a. Implementar SSL OFFLOAD em hardware.
O item não deixa clara a necessidade do Banco. Sugerimos a seguinte redação:
Implementar aceleração em hardware de, pelo menos, os seguintes algoritmos de trocas de chaves e cifras:
- AES-CBC com chaves de 128,192 e 256 - AES-GCM com chaves de 128, 192 e 256 - AES-GMAC com chaves 128, 192 e 256 - DES e 3DES
- MD5 HMAC/SSL - SHA1 HMAC/SSL - SHA256, 384 e 512
- RSA com chaves de 1024 a 4096 bits - DSA
- DH - ECDSA - ECDH
Esclarecimento
Permanece o disposto no Termo de Referencia. A exigência é que todas as cifras que estejam no conjunto default de cifras da solução ofertada, que sejam processadas em hardware dedicado. Serão considerados o conjunto de cifras incluida na solução até a data da homologação.
149 Dúvida
b. Possuir capacidade de, no mínimo, 200.000 transações SSL por segundo (TPS) com chave 2048 bits.
Solicitamos que considerem a seguinte capacidade:
Possuir capacidade de, no mínimo, 135.000 transações por segundo com chaves RSA de 2.048 bits
Esclarecimento
Permanece o disposto no Termo de Referencia.
150 Dúvida
c. Possuir capacidade de, no mínimo, 100.000 transações de curvas elípticas em hardware.
Possuir capacidade de, no mínimo, 100.000 transações por segundo testadas com o conjunto de cifras ECDHE-ECDSA-AES128-SHA256 P-256 ou mais robusto.
Esclarecimento
Permanece o disposto no Termo de Referencia.
151 Dúvida
7.1.9)d.9. A API deverá garantir a idempotência das configurações; Sugerimos a seguinte redação:
É desejável que a API seja idempotente;
Esclarecimento
Permanece o disposto no Termo de Referencia.
152 Dúvida
7.1.9)d.11. Implementar operação por ferramentas de automação e gestão de configuração tais como Ansible, Puppet, Rundeck e Terraform.
Sugerimos a seguinte redação:
Ser compatível com ferramentas de automação capazes de realizar as chamadas de API via HTTP ou possuir módulos/add-nos de plataformas, tais como Ansible, Puppet, Rundeck, Terraform
Esclarecimento
153 Dúvida
7.1.9)d.1. Criação, alteração e exclusão de instâncias virtualizadas ou contextos ;
7.1.9)e.4. Total de transações SSL por segundo; 7.1.9)e.5. Total de entradas em tabelas de persistência;
7.1.9)e.8. Transações SSL por segundo por servidor virtual e grupo de serviço ou pool;
7.1.9)e.15. Percentual de servidores reais habilitados, desabilitados ou down por grupo de serviço ou pool;
Solicitamos que retirem os itens.
Esclarecimento
Permanece o disposto no Termo de Referencia
154 Dúvida
d. Suportar uso de mecanismo de segundo fator de autenticação (2FA).
Solicitamos que retirem este item.
Esclarecimento
Item indeferido. A política de segurança do Banco exige acesso a todos os equipamentos e Sistema usando o mecanismo de duplo fator de autenticação (2FA).
155 Dúvida
j. A solução deverá gerar alarmes e traps SNMP no mínimo para os seguintes eventos:
Sugerimos a seguinte redação: A solução deverá gerar alarmes e traps SNMP de forma nativa ou através de capturas de eventos no sistema, como syslog, para no mínimo para os seguintes eventos:
Esclarecimento
Sugestão será avaliada. Precificar como atendido e considerar o seguinte texto:
A solução deverá gerar alarmes e traps SNMP, de forma nativa ou através de capturas de eventos no sistema (como syslog), para no mínimo para os seguintes eventos:
156 Dúvida
7.1.10)j.4. Percentual de utilização de tabelas de persistência; Solicitamos que retirem este item.
Esclarecimento
157 Dúvida
7.1.10)j.5. Estouro de buffer de memória para criação de novas conexões; Solicitamos que retirem este item.
É possível monitorar a memória da plataforma através de comandos SNMP GET
Esclarecimento
Permanece o disposto no Termo de Referencia.
158 7.1.10)j.6. Atingimento de limites de licenciamento ou arquitetura, tais como mas não se limitando a:
7.1.10)j.6.1. Transações L4; 7.1.10)j.6.2. Transações L7;
7.1.10)j.6.3. Processamento SSL em hardware criptográfico; 7.1.10)j.6.4. Transações SSL;
7.1.10)j.6.5. Throughput; Sugestão de redação:
Atingimento de limites de licenciamento, arquitetura ou limites estabelecidos tais como mas não se limitando a:
- Taxa de conexões totais a um servidor real
- Taxa de conexões a um servidor real de um servidor virtual - Taxa de conexões a um servidor virtual
- Alteração de disponibilidade de um servidor real - Alteração de disponibilidade de um servidor virtual - Validação de licenças
Esclarecimento
Permanece o disposto no Termo de Referencia.
159 7.1.10)j.11. Para eventos de sistema de arquivos a solução deverá permitir a seleção dos sistemas de arquivos críticos, evitando gerar alarmes para sistemas de arquivos não críticos para o correto funcionamento da solução.
Não atendemos este item. Solicitamos retirar.
Esclarecimento
160 w. O PROPONENTE deverá entregar a MIB bem como os respectivos modelos/templates atualizados para a versão atual do sistema operacional da solução ADC ofertada.
Entendemos que a integração com ferramentas de monitoração é de competência dos fabricantes de ferramentas de monitoração e devem utilizar os métodos de coleta disponibilizados pelo fabricante do ADC. Dessa forma, solicitamos a alteração do item para:
O PROPONENTE deverá entregar a MIB bem como os respectivos modelos/templates atualizados para a versão atual do sistema operacional da solução ADC ofertada.
Esclarecimento
Permanece o disposto no Termo de Referencia. Não houve alteração na solicitação relativo ao texto original.
161 e. A solução de gerência deverá funcionar com alta disponibilidade em cada site do banco. A solução será instalada em dois sites. Atualmente, a ferramenta de gerenciamento centralizada é limitada a dois sistemas. Dessa forma, solicitamos a alteração do item para:
A solução de gerência deverá funcionar com alta disponibilidade, podendo ser instalada em diferentes sites do Banco caso sejam atendidos os requisitos de latência e banda necessários.
Esclarecimento
Sugestão será avaliada. Precificar como atendido.
162 x. Suportar uso de mecanismo de segundo fator de autenticação (2FA).
Solicitamos que retirem este item.
Esclarecimento
Item indeferido. A política de segurança do Banco exige acesso a todos os equipamentos e Sistema usando o mecanismo de duplo fator de autenticação (2FA).
163 ff. Atualização do status dos itens gerenciados deverá ser online/automática (sem retardo perceptível pelo usuário).
Sugestão de redação:
Atualização do status dos itens gerenciados de forma automática, sendo aceito um retardo na atualização que não comprometa a capacidade de monitoração.
Esclarecimento
Sugestão será avaliada. Será alterado o texto para ser aceito um retardo máximo de 2 minutos.
164 oo. Todos os logs produzidos pela solução devem ser enviados para um servidor de SIEM por meio da sua respectiva console centralizada.
Sugestão de redação:
Permitir a configuração de políticas centralizadas para envio de logs da solução para um servidor de SIEM.
Esclarecimento
Sugestão será avaliada. Precificar como atendido.
165 b. Possuir throughput mínimo de 60Gbps para tráfego balanceado de Layer 7 e Layer 4.
Sugestão:
Possuir throughput mínimo de 60Gbps para tráfego balanceado de Layer 4.
Esclarecimento
Permanece o disposto no Termo de Referencia.
166 d. Possuir capacidade mínima de tratar 800.000 transações por segundo (TPS) Layer 7.
Sugestão de redação:
Possuir capacidade mínima de tratar 4.000.000 transações por segundo (TPS) Layer 7.
Esclarecimento
Permanece o disposto no Termo de Referencia.
167 b. Aceleração SSL/Troca de chaves/criptografia pode ser feita com aceleração em software.
Sugestão de redação:
Aceleração SSL/Troca de chaves/criptografia pode ser feita com aceleração em software e suportar a utilização de hardware com a tecnologia Intel QAT
Esclarecimento
Permanece o disposto no Termo de Referencia. Texto será alterado para Aceleração SSL/Troca de chaves/criptografia pode ser feita com aceleração em software e desejável suporte a utilização de hardware com a tecnologia Intel QAT
168 f. Realizar SSL Inspection Outbound, ou seja, possibilidade de decriptar o pacote e enviar para uma solução de terceiro (IPS etc.) e após o retorno, recriptografar para enviar para o servidor.
Sugestão de inclusão:
-Implementar orquestração de conexões TLS inbound e outbound, com a capacidade de criar políticas de encaminhamento do tráfego
descriptografado para outros dispositivos, tais como firewalls, web application firewall, proxies web, IPS, ICAP e outros dispositivos em camada 2 e camada 3.
- Permitir classificar o tráfego em diferentes políticas de encaminhamento utilizando, pelo menos, os seguintes critérios: IP e rede de origem e
destino, protocolo, porta de destino, hostname, domínio e geolocalização do IP
- Implementar função de SSL forward proxy
- Suportar conexões inbound e outbound utilizando TLS 1.2
- Suportar conexões inbound (da internet para a rede interna) em TLS 1.3 - Suportar a implantação outbound nos modos transparent proxy, explicit proxy e transparente em camada 2
- Suportar a implantação inbound nos modos reverse proxy e transparente em camada 2
- Permitir inserir a orquestração de TLS em um servidor virtual já configurado no ADC
Esclarecimento
Permanece o disposto no Termo de Referencia.
169 Dúvida Esclarecimento