7.1.1.x.iii Remover o texto do item IMAP

(1)

1

7.1.1.o – Remover o item – “Suportar a utilização de parâmetros de

camada 2 (Mac address, VLAN ID) para identificar e diferenciar os fluxos de

conexão, permitindo que múltiplas conexões TCP com a mesma

quádrupla(4-tuple) de identificação possam coexistir na mesma instância

de ADC.”

Esclarecimento

Permanece o disposto no Termo de Referencia. Não ficou claro o motivo do pedido de retirada do item.

2

7.1.1.w – Remover o item - w. Possuir a capacidade de filtragem baseado

no campo “options” do TCP. Desejável também a capacidade de filtragem

baseado no campo “flags”.

Esclarecimento

3

7.1.1.x.iii – Remover o texto do item “IMAP”

Esclarecimento

Sugestão será avaliada, precificar como sugestão atendida

4

7.1.1.y – Remover o texto do item “inclusive nas situações de troca

dinâmica dos enlaces de dados disponíveis e em uso”

Esclarecimento

5

7.1.1.z - Alterar o texto para “Permitir criar políticas de balanceamento do

tráfego utilizando informações da conexão do cliente tais como Endereço

IP e Cabeçalhos do Protocolo HTTP”

Esclarecimento

6

7.1.1.dd – Alterar o texto para “Permitir balancear servidores NTP”

Esclarecimento

Permanece o disposto no Termo de Referencia. Item refere-se a capacidade de sincronização para o equipamento de horário por protocol NTP e não de balanceamento de servidores NTP.

(2)

7

7.1.1.ee – Solicitamos remover esse item, pois ele é referente somente ao

ADC de Hardware - “Permitir a criação de uma única instância/contexto

com o total dos recursos de hardware alocado para esta

instância/contexto, excetuado os recursos necessários

Administração/Gerência.”

Esclarecimento

Sugestão será avaliada, precificar como sugestão atendida.

8

7.1.1.gg – Remover o item. Não suporta port mirroring. “Espelhamento de

porta (Port mirroring) ou função similar que permita transmitir os dados

trafegados em uma porta para uma máquina remota.”

Esclarecimento

Item permanence sem alteração. Não ficou claro o motivo do pedido de retirada do item.

9

7.1.3.a – Solicitamos esclarecimento se somente a integração com Cisco

ACI será aceita, ou outros métodos de integração e provisionamento do

ADC poderão ser ofertadas?

Esclarecimento

Outros metodos podem ser ofertados, mas deverá obrigatoriamente possuir integração com ACI. O que se é entendido por integração com Cisco ACI, é a possibilidade de o ACI redirecionar o tráfego para os ADCs via service graph unmanaged.

10

7.1.4.c - Alterar o texto para “Implementar funções de segurança para

proteger contra ataques de DNS”

Esclarecimento

11

7.1.4.k.i – Remover item “anomalias de protocolo”

Esclarecimento

12

7.1.4.k.v – Remover item “Explorações Exploits”

Esclarecimento

13

7.1.4.n.III – Remover do texto o item “IMAP”

Esclarecimento

(3)

14

7.1.5.d – Remover o texto para “Em caso de falha em um nó do

cluster a perda não poderá ser superior a 10% das conexões clientes

ativas;”

Esclarecimento

15

7.1.5.d.1 – Remover o item “A perda da conexão não poderá

acarretar a perda da sessão com a aplicação.”

Esclarecimento

16

7.1.6.b – Alterar o texto para “Deve possui função para limitar o número de

conexões estabelecidas por um IP de origem em um intervalo de tempo”

Esclarecimento

17

7.1.6.l – Alterar o texto para “Suportar compressão de tráfego HTTP”

Esclarecimento

18

7.1.6.m – Remover o item pois não é suportado – “Permitir configurar ou

oferecer restrições para tamanho individual de arquivo.”

Esclarecimento

19

7.1.6.n – Remover o item pois não é suportado – “Permitir customizar a

lógica na inspeção de upload de arquivos.”

Esclarecimento

20

7.1.7.b – Alterar o texto para “Deve possui hardware dedicado para tratar

criptografia do tráfego TLS”

Esclarecimento

Atendido parcialmente. Exigência é que todas as cifras pertencentes ao grupo cifras default da solução ofertada, sejam processadas em hardware dedicado. Serão considerados o conjunto de cifras default incluída na solução até a data da homologação.

(4)

21

7.1.7.d – Alterar o texto para “Implementar o algoritmo de hash SHA,

SHA256 e SHA384”

Esclarecimento

22

7.1.7.g – Alterar o texto para “Possuir, no mínimo, os seguintes algoritmos:

ECDSA, ECDHE (P-256, P-384), DH, DHE, 3DES, RSA, 128 e

AES-256.” Removendo o “e P-521”

Esclarecimento

23

7.1.7.k – Alterar o texto para “Implementar políticas baseadas nos

atributos de um certificado. ”

Esclarecimento

24

7.1.7.l – Alterar o texto para “Possuir redundância ativo/standby com

sincronismo da persistência da sessão para a de atribuição do servidor.”,

removendo o “e ativo/ativo”

Esclarecimento

25

7.1.8.iv – Remover o item “Implementar VRRP v3 ou protocolo

equivalente;”

Esclarecimento

26

7.1.9.a – Solicitamos esclarecer se o objetivo desse item é escrever um

código Python e rodar dentro do ADC e da Plataforma de Gerência, ou se

pretende-se escrever uma aplicação em Python para poder utilizar as APIs

do ADC e Plataforma de gerenciamento?

Esclarecimento

Código Python para rodar dentro do ADC e da Plataforma de Gerência.

27

7.1.10 – Entendemos que todo o item 7.1.10 se refere a gerência do

próprio ADC e por esse motivo alguns itens estamos solicitando a

alteração, pois entendemos que cabem a gerencia centralizada.

Esclarecimento

(5)

28

7.1.10.b – Solicitamos remover esse item, pois entendemos que o item

7.1.10 se refere a gerência do próprio equipamento e não da plataforma de

gerenciamento centralizado. Então o equipamento em si não terá visão de

todos os ADCs instalados.

Esclarecimento

29

7.1.10.d – Solicitamos remover esse item.

Esclarecimento

Item indeferido. A política de segurança do Banco exige acesso a todos os equipamentos e Sistema usando o mecanismo de duplo fator de autenticação (2FA).

30

7.1.10.f – Solicitamos remover esse item, pois entendemos que ele não se

refere a gerência do próprio equipamento;

Esclarecimento

Item indeferido. Item não se refere somente a ferramenta de gerencia centralizada e também para os acessos GUI, CLI, Console do equipamento.

31

7.1.10.h. Solicitamos alterar o item para: “Suportar protocolos SNMPv2 e

v3”

Esclarecimento

32

7.1.10.j.10 – Solicitamos remover o item, pois não é suportado.

Esclarecimento

Sugestão será avaliada, precificar como sugestão atendida. Esclarecer melhor o que não é suportado.

33

7.1.10.j.11 – Solicitamos remover o item, pois não é suportado.

Esclarecimento

34

7.1.10.k.11 – Solicitamos alterar o texto para “Implementar mecanismos

para criar usuários com no privilégio administrativo e somente leitura para

acesso das configurações”

Esclarecimento

(6)

35

7.1.11.a) Solicitamos esclarecimento se será aceita solução de

Gerenciamento hospedada na Cloud do fabricante?

Esclarecimento

Permanece o disposto no Termo de Referencia. Não será aceito soluções de cloud fora do ambiente do Banco.

36

7.1.11.a) Entendemos que para cada Lote deverá ser ofertada uma

gerência. Está correto o entendimento?

Esclarecimento

Entendimento correto para o caso de fabricantes distintos em cada lote.

37

7.1.11.p. – Solicitamos remover esse item pois não suportamos – “Para não

impactar na performance de gerenciamento, a parte de coleta de analítico

(Analytics) deve ser realizada em servidores específicos de logs da

solução.”

Esclarecimento

38

7.1.11.r.V – Solicitamos remover o texto “V. Visualização de saúde SSL

(Consumo de CPU SSL);”

Esclarecimento

39

7.1.11.x. – Solicitamos remover esse item – “Suportar uso de mecanismo

de segundo fator de autenticação (2FA).”

Esclarecimento

Permanece o disposto no Termo de Referencia. A política de segurança do Banco exige acesso a todos os equipamentos e Sistemas usando o mecanismo de duplo fator de autenticação (2FA).

40

7.2.3.d.i – Remover o item “i. Número de conexões simultâneas por

instância;”?

Esclarecimento

Permanece o disposto no Termo de Referencia. O requisito de full virtualization deve garantir o isolamento de recursos entre as instâncias, não permitindo a contaminação entre instâncias em situações de alta demanda. O texto será alterado para: Reservar ou Garantir recursos para cada instância ou VirtualServers, com base nos seguintes parâmetros.

(7)

41

7.2.3.i – Solicitamos alteração do texto de “5.000.000 conexões” para

“3.000.000 conexões”

Esclarecimento

42

7.2.3.j – Solicitamos alteração do texto de “6.500.000 transações” para

“5.500.000 conexões”;

Esclarecimento

Solicitação será parcialmente atendida. Considerar 6.000.000

43

7.2.3.l – Solicitamos inclusão do texto “O software licenciado para o

equipamento poderá ser do tipo perpétuo ou do tipo global/elástico; O

licenciamento global e elástico, baseado em throughput e/ou número de

instâncias, onde as licenças ficam desvinculadas dos equipamentos físicos e

virtuais, poderá ser alocado de acordo com a necessidade, desde que não

ultrapasse o somatório de throughput e/ou instâncias especificados para

os equipamentos do Tipo 1, Tipo 2 e Tipo3;”

Esclarecimento

Sugestão será avaliada, precificar como sugestão atendida. Contudo solicitamos esclarecimento da forma de licenciamento global/elástico, por exemplo após o fim da garantia/suporte, o equipamento ainda poderá ser utilizado pelo Banco com toda a capacidade e funcionalidades adquiridas?

44

7.2.5.a – Solicitamos alteração do texto de “360.000 transações SSL” para

“450.000 transações SSL

Esclarecimento

Permanece o disposto no Termo de Referencia.

45

7.2.5.b – Remoção do trecho “ainda que não explicitadas neste edital”;

?

Esclarecimento

Permanece o disposto no Termo de Referencia. A exigência é que todas as cifras que estejam no conjunto default de cifras da solução ofertada, que sejam processadas em hardware dedicado. Serão considerados o conjunto de cifras incluida na solução até a data da homologação.

46

7.3.3.c – Solicitamos o esclarecimento desse item, pois não está sendo

solicita porta de 40Giga nesse equipamento no item 7.3.2.

Esclarecimento

(8)

47

7.3.3.e.i – Remover o item “i. Número de conexões simultâneas por

instância;”?

Esclarecimento

Permanece o disposto no Termo de Referencia. O requisito de full virtualization deve garantir no mínimo que, durante a utilização da instância, os recursos alocados dinamicamente ou de forma manual em uma situação de alta demanda não haja contaminação entre as demais instancias do mesmo appliance/solução.

48

7.3.3.j – Solicitamos alteração do texto de “6.000.000 conexões” para

“2.500.000 conexões”?

Esclarecimento

49

7.3.3.k – Solicitamos alteração do texto de “2.500.000 transações” para

“5.000.000 conexões”;

Esclarecimento

50

7.3.3.m – Solicitamos inclusão do texto “O software licenciado para o

equipamento poderá ser do tipo perpétuo ou do tipo global/elástico; O

licenciamento global e elástico, baseado em throughput e/ou número de

instâncias, onde as licenças ficam desvinculadas dos equipamentos físicos e

virtuais, poderá ser alocado de acordo com a necessidade, desde que não

ultrapasse o somatório de throughput e/ou instâncias especificados para

os equipamentos do Tipo 1, Tipo 2 e Tipo3;

Esclarecimento

51

7.3.4.b – Solicitamos alteração do texto de “200.000 transações SSL” para

“250.000 transações SSL”

Esclarecimento

52

7.3.4.e – Solicitamos a inclusão do texto “Possuir throughput SSL de, no

mínimo, 70 Gbps”

Esclarecimento

(9)

53

7.4.3.f – Solicitamos inclusão do texto “O software licenciado para o

equipamento poderá ser do tipo perpétuo ou do tipo global/elástico; O

licenciamento global e elástico, baseado em throughput e/ou número de

instâncias, onde as licenças ficam desvinculadas dos equipamentos físicos e

virtuais, poderá ser alocado de acordo com a necessidade, desde que não

ultrapasse o somatório de throughput e/ou instâncias especificados para

os equipamentos do Tipo 1, Tipo 2 e Tipo3;”

Esclarecimento

54

7.8.1) - Solicitamos alterar o texto para “O PROPONENTE concederá ao

BANCO garantia integral “on-site”, com prazo de 60 (Sessentao) meses,

com atendimento 24 x 7 (vinte e quatro horas por dia e sete dias por

semana) a contar da data da entrega da solução.

Esclarecimento

Será avaliado a redução para 5 anos (60 meses). Favor enviar a precificação com 60 e com 84 meses.

55

7.8.8 – Solicitamos alterar o texto para “O PROPONENTE deve garantir por,

no mínimo, 60 (Sessenta) meses o fornecimento dos componentes de

hardware, para manutenções e suporte técnico de forma que possam ser

mantidas no mínimo todas as funcionalidades inicialmente contratadas.

Caso haja neste período a descontinuidade de fabricação de componentes,

deve ser também garantida a total compatibilidade dos itens substitutos

com os originalmente fornecidos. Não havendo compatibilidade de peças,

o equipamento deverá ser substituído.

Esclarecimento

(10)

56 Dúvida

Com relação aos itens 4.4.1.5 e 7.8.21:

“4.4.1.5 O PROPONENTE deverá apresentar uma declaração com informação pública relativa ao ciclo de vida da solução do produto oferecido. Não serão aceitas soluções que tenham ciclo de vida declarados pelo fabricante com o status (End-of- Life, End-of-sale ou End-of-Support) até o momento do aceite de implementação. O PROPONENTE deverá garantir que a solução e seus componentes, caso entrem em situação de (Life, sale ou End-of-Support) pelo fabricante, e no caso de ocorrer necessidade de manutenção do equipamento por parada, atualização, mal funcionamento sem mais qualquer suporte do fabricante durante o prazo de garantia, trocará o equipamento por outro que atendam aos requisitos anteriormente contratados de forma igual ou superior sem quaisquer ônus ao Banco.

7.8.21) A PROPONENTE deverá apresentar documentação referente ao “Roadmap” dos equipamentos que compõe a solução objeto deste edital, com informações relativas ao ciclo de vida (“End-of-Life”, “End-of-Sale” e “End-of- Support”) de cada um deles e dos seus componentes (módulos, supervisoras etc.). A PROPONENTE deverá garantir que os equipamentos e seus componentes não entrem em situação “End-of-Support” durante o prazo de garantia estabelecido neste edital.”

Com relação a apresentação de ‘Roadmap’, esta informação não é pública e é de conhecimento restrito à engenharia de cada fabricante. As informações com relação a EoL (End-of-Life), EoM (End-of-Maintenance) e EoS (End-of-Support) não é possível garantir por um prazo maior que 60 meses. Se mantiver os referidos itens, corrigindo o prazo de garantia técnica para 60 meses, fica assegurado o atendimento.

Esclarecimento

57 Dúvida

Com relação ao item:

“4.8.2) Quantitativo mínimo exigido no atestado:

Comprovação de que o interessado forneceu, sem restrição, no mínimo a quantidade de uma solução de Application Delivery Controller (ADC). A comprovação será feita por meio de atestado fornecido por empresa de direito público ou privado, registrado na entidade profissional competente, se houver.”

Entendemos que dado quantitativo estimado de contratação, será aceito somatório de atestados para comprovar fornecimento do quantitativo previsto. Está correto nosso entendimento?

Esclarecimento

(11)

58 Dúvida _{“10.10) Vigência contratual.}

a. A Ata de Registro de Preços terá validade de 24 (vinte e quatro) meses contados a partir da assinatura dela;

b. A vigência do contrato de acionamento inicia-se com a assinatura do contrato e estender-se-á por 60 (sessenta) meses.

c. A garantia técnica terá vigência de 84 (oitenta e quatro) meses. Caso seja necessária que a vigência ultrapasse os cinco anos, justifique:

Justificativa:

Os equipamentos têm ciclo de vida superior aos 5 (cinco) anos padrão dos contratos, sendo possível a manutenção deles por mais tempo.”

É de amplo conhecimento que as soluções têm ciclo de vida superior a 5 (cinco) anos, porém não é possível garantir essa garantia ampliada no momento da aquisição. Então, para manter a competitividade do certame e o melhor custo-benefício para o Banco do Brasil, sugere-se corrigir o período para 60 meses, assim como o período contratual. Custo-benefício atrelado ao risco que cada PROPONENTE teria ao contemplar em sua composição de custos, previsão para substituição de equipamentos que porventura venha a entrar em End-of-Maintenance a partir do sexagésimo primeiro mês após o fornecimento. Entendemos que seria mais interessante contemplar o valor anual estimado para renovação dos anos subsequentes e manter a garantia inicial de 60 meses, está correto nosso entendimento?

Esclarecimento

59 Com relação ao item: _{“7.1.11) FERRAMENTA DE GERÊNCIA E ANALYTICS CENTRALIZADA COM, NO MÍNINO,} AS SEGUINTES FUNCIONALIDADES:

a. O PROPONENTE deverá fornecer a solução de gerenciamento centralizado no formato de appliance físico. Caso o PROPONENTE possua apenas soluções no formato de appliance virtual, o PROPONENTE deverá fornecer servidores físicos para a instalação com recursos de hardware suficientes para garantir o desempenho ótimo da solução.”

Sendo fornecido o HW e o SW da gerência, entendemos que será possível entregar a gerência com todas as redundâncias exigidas neste documento em uma cloud pública, incluindo HW, SW e licenciamento com toda a redundância e disponibilidade.

Esclarecimento

Entendimento incorreto. Não será possível hospedagem em clouds publicas ou privadas fora do ambiente do Banco.

(12)

60 Com relação aos seguintes subitens do item 7.2.3 a. Permitir a virtualização de serviços através da criação de diferentes balanceadores virtuais independentes (instâncias), permitindo definir níveis de garantia de recursos para as instâncias. Deverá implementar, no mínimo, 18 instâncias.

h. Possuir throughput mínimo de 180 Gbps para tráfego balanceado de camada 4 (L4) e camada 7 (L7).

i. Suportar, no mínimo, 5.000.000 conexões por segundo (CPS) Layer 4 TCP. j. Possuir capacidade mínima de tratar 6.500.000 transações por segundo (TPS)

Layer 7.

E aos seguintes subitens do item 7.2.5:

“c. Possuir capacidade de, no mínimo, 360.000 transações SSL por segundo (TPS) com chave 2048 bits.

d. Possuir capacidade de, no mínimo, 180.000 transações de curvas elípticas (SSL ECDHE e SSL ECDSA).

e. Possuir throughput SSL de, no mínimo, 80 Gbps. “

Estamos entregando capacidade superior em instâncias de 18 para 115, de 180 Gbps entregamos 200 Gbps, ao invés de entregarmos capacidade de transações SSL com chave 2048 bits de 360.000 estamos fornecendo equipamento que suporta mais de 500.000, para transações de curvas elípticas o montante acima de 220.000 ao invés dos 180.000 solicitados e o throughput SSL 50% superior ao solicitado (120Gbps ante 80 Gbps). Ao que se percebe, estamos entregando um equipamento robusto e de alta capacidade atendendo quase na totalidade os itens (com certa superioridade ao exigido), contudo, solicitamos a alteração no valor de conexões por segundo Layer 4 TCP (item 7.2.3 subitem i) para 3.000.000 e transações por segundo L7 (item 7.2.3 subitem j) para 5.000.000.

Esclarecimento

Para o item 7.2.3.i considerar como atendido a solicitação.

(13)

61 Com relação aos seguintes subitens do item 7.3.3: b. Permitir a virtualização de serviços através da criação de diferentes balanceadores virtuais independentes (contexto), permitindo definir níveis de garantia de recursos para os contextos. Deverá implementar, no mínimo, 40 contextos ou 18 instâncias.

i. Possuir throughput mínimo de 180 Gbps para tráfego balanceado de camada 4 (L4) e camada 7 (L7).

j. Suportar, no mínimo, 6.000.000 conexões por segundo (CPS) Layer 4 TCP. k. Possuir capacidade mínima de tratar 2.500.000 transações por segundo (TPS)

Layer 7.

E aos seguintes subitens do item 7.3.4:

“c. Possuir capacidade de, no mínimo, 200.000 transações SSL por segundo (TPS) com chave 2048 bits.

d. Possuir capacidade de, no mínimo, 100.000 transações de curvas elípticas (SSL ECDHE e SSL ECDSA).

Estamos entregando capacidade superior em instâncias de 18 para 115, de 180 Gbps entregamos 200 Gbps, ao invés de entregarmos capacidade de transações SSL com chave 2048 bits 200.000 estamos fornecendo equipamento que suporta mais de 300.000 (50% acima), para transações de curvas elípticas o montante acima de 125.000 ao invés dos 100.000 solicitados. Ao que se pode perceber, estamos entregando um equipamento robusto e de alta capacidade atendendo quase na totalidade os itens (com certa superioridade ao exigido), contudo, solicitamos a alteração no valor de conexões por segundo Layer 4 TCP (item 7.3.3 subitem j) para 2.500.000 e transações por segundo L7 (item 7.3.3 subitem k) para 5.000.000.

Esclarecimento

7.3.3j Solicitação será parcialmente atendida. Considerar 3.000.000 7.3.3k Solicitação será parcialmente atendida. Considerar 6.000.000

62 É sabido que a especificação tem, em sua especificação, uma grande coerência nas proporções exigidas de decriptação de tráfego SSL – tanto nos itens 7.2.5 “c” e “d” quanto nos itens 7.3.4 “c” e “d”. A proporção dos subitens c (transações SSL com chave 2048) e dos subitens d (transações de curvas elípticas) segue o dobro, como estudos e usualmente identificado no tráfego internet. Gostaríamos de esclarecer se continuará a mesma proporção, caso altere algum valor.

Esclarecimento

Entendimento correto.

63 ITEM 4.4.1.5 – Entendemos que uma carta do fabricante informando que nenhum dos equipamentos fornecidos encontram-se em EoS/EoL/EoSupport basta para cumprir com o item?

Esclarecimento

(14)

64 Item 7.8.33 - subitem f: Estamos entendendo que faz parte do escopo de suporte e manutenção a monitoração proativa e a abertura de chamados automaticamente e tratamento proativo do respectivo alerta/incidente pela contratada. O nosso entendimento está correto?

Esclarecimento

Entendimento correto.

65 Item 7.8.33 - subitem f : Quais são os recursos de hardware e aplicação que devem ser monitorados proativamente?

Esclarecimento

Todos os componentes da solução ofertada neste edital, seja Hardware e/ou softwares.

66 Item 7.9.23 – Entendemos que a multa será aplicada no valor base do equipamento impactante, nosso entendimento está correto?

Esclarecimento

Entendimento incorreto. O valor será em cima do valor completo do equipamento, incluindo hardware, softwares, licenciamento, etc, necessários para seu correto funcionamento.

67 Item 7.1.1.ff – Visando aumentar a competitividade solicitamos ao BB a retirada do item para um melhor resultado do certame.

Esclarecimento

68 Item 7.1.2.f – Visando aumentar a competitividade solicitamos ao BB a retirada do item para um melhor resultado do certame.

Esclarecimento

Permanece o disposto no Termo de Referencia. Considerar texto “Permitir implementação de scripts para monitores”.

69 Item 7.1.4.k.I – Visando aumentar a competitividade solicitamos ao BB a retirada do item “Anomalias de Protocolo” para um melhor resultado do certame.

Esclarecimento

(15)

70 Dúvida

Item 7.1.2.f – Visando aumentar a competitividade solicitamos ao BB a retirada do item para um melhor resultado do certame.

Esclarecimento

Permanece o disposto no Termo de Referencia. Considerar texto “Permitir implementação de scripts para monitores”.

71 Dúvida _{Item 7.1.5.d e d1 – Visando aumentar a competitividade solicitamos ao BB} a retirada do item para um melhor resultado do certame.

Esclarecimento

72 Dúvida

Item 7.1.6.m – Visando aumentar a competitividade solicitamos ao BB a retirada do item para um melhor resultado do certame.

Esclarecimento

73 Dúvida

Item 7.1.6.n – Visando aumentar a competitividade solicitamos ao BB a retirada do item para um melhor resultado do certame.

Esclarecimento

74 Dúvida

Item 7.1.7.b – Visando aumentar a competitividade solicitamos ao BB a retirada do trecho “ainda que não explicitadas nesse edital” para um melhor resultado do certame, visando uma definição mais explicita das cifras suportadas e seu processamento via hardware.

Esclarecimento

Atendido parcialmente. Exigência é que todas as cifras pertencentes ao grupo cifras default da solução ofertada, sejam processadas em hardware dedicado. Serão considerados o conjunto de cifras default incluida na solução até a data da homologação.

75 Dúvida

Item 7.1.7.g – Visando aumentar a competitividade solicitamos ao BB a retirada da cifra P-521 para um melhor resultado do certame.

Esclarecimento

76 Dúvida

Item 7.1.7.b – Visando aumentar a competitividade solicitamos ao BB a retirada do requisito “ativo/ativo” para um melhor resultado do certame.

Esclarecimento

Permanece o disposto no Termo de Referencia. Não ficou claro o motivo do pedido de retirada do item. Esse questionamento refere-se ao item 7.1.7.l?

(16)

77 Dúvida

Item 7.1.8.iv – Visando aumentar a competitividade solicitamos ao BB a retirada do item para um melhor resultado do certame.

Esclarecimento

Sugestão será avaliada, precificar como sugestão atendida. Entendemos que se trata do Item 7.1.8.k.iv

78 Dúvida

Item 7.1.4.n – Visando aumentar a competitividade solicitamos ao BB a retirada do requisito “IMAP” para um melhor resultado do certame.

Esclarecimento

79 Dúvida

Item 7.1.1.gg – Visando aumentar a competitividade solicitamos ao BB a retirada do item para um melhor resultado do certame.

Item permanence sem alteração. Não ficou claro o motivo do pedido de retirada do item.

80 Dúvida

Item 7.1.1.hh – Visando aumentar a competitividade solicitamos ao BB a retirada do item para um melhor resultado do certame.

81 Dúvida

Item 7.1.10.j.4 – Visando aumentar a competitividade solicitamos ao BB a retirada do item para um melhor resultado do certame.

Esclarecimento

82 Dúvida

Item 7.1.11.x – Visando aumentar a competitividade solicitamos ao BB a retirada do item para um melhor resultado do certame.

Esclarecimento

Item indeferido. A política de segurança do Banco exige acesso a todos os equipamentos e Sistema usando o mecanismo de duplo fator de autenticação (2FA).

83 Item 7.8.1 – Sugerimos ao BB trabalhar com o Prazo de Garantia de 60 meses que corresponde ao lifecycle mínimo já praticado pelo mercado pela maioria dos fabricantes de ADC, dessa forma se adequando automaticamente e dessa forma protegendo o investimento realizado da melhor maneira possível.

Esclarecimento

(17)

84 j. Implementar capacidade de balanceamento de carga de túneis VPN. Conforme o item apresentado gostaríamos de maiores esclarecimentos , já que , no equipamento da A10Networks é possível habilitar a “feature IPSEC Scaleout” que seria a configuração IPSEC VPN, além do suporte ao “Next Hop Load Distributor”, que seria um balanceamento baseado no “next-hop”.

Esclarecimento

O que o Banco espera é que seja feito um balanceamento entre os terminadores de túneis VPN e DMVPN.

85 bb. Possuir algoritmo de balanceamento de carga de servidores baseado _{nos métodos Round-Robin, menor número de conexões (least} connections), atribuição de pesos diferentes, baseado em endereços IP de origem e destino, URL, Token e tempo de resposta.

Não houve um entendimento a respeito do termo “Token”. Trata-se de uso com certificado? É possível fazer uma referência de uso?

Esclarecimento

Captura de tokens HTTP como por exemplo um token de sessão.

86 7.1.3- A) A solução deverá se integrar com a solução de SDN Cisco _{Application Centric Infrastructure (ACI), na versão de firmware 4.2(5n) e} posteriores da Application Policy Infrastructure Controller (APIC), devendo implementar, pelo menos, o modo Cisco ACI Network Policy Mode (unmanaged service graph).

Seria possível especificar melhor a integração entre o ACI da CISCO e o balanceador, entendemos que o fato do balanceador ofertado possuir acesso via API é possível integrar a ferramenta do ACI elaborando os scripts necessários.

Esclarecimento

Outros metodos podem ser ofertados, mas deverá obrigatoriamente possuir integração com ACI. O que se é entendido por integração com Cisco ACI, é a possibilidade de o ACI redirecionar o tráfego para os ADCs via service graph unmanaged.

87 7.1.3-C) A solução deverá suportar integração com clouds publicas pelo menos com as seguintes:

7.1.3)c.1. AWS 7.1.3)c.2. AZURE 7.1.3)c.3. Google Cloud 7.1.3)c.4. IBM Cloud

Se possível especificar o tipo das integrações esperadas do balanceador com as nuvens informadas.

Esclarecimento

O entendimento do Banco é que caso deseje rodar um workload balanceado, em uma cloud publica,seja possivel implementar uma instancia de ADC na respectiva cloud utlizando o licenciamento (ou parte da capacidade contratada) comum dos equipamentos adquiridos.

(18)

88 Item 7.1.4 Items _{II - Permitir preservar o endereço IP da subnet do cliente ao invés de LDNS} para tomar decisões com base no ECS.

III - Realizar persistência baseado no endereço IP do cliente (ECS), significando que se o cliente mudar de LDNS resolver, o GSLB deve usar a persistência existente para manter o cliente no mesmo datacenter.

Atualmente na solução da A10 é possível usar a política de “Geolocation” baseada no ECS para responder a uma query DNS feita por um cliente. O entendimento está correto? Favor exemplificar.

Esclarecimento Entedimento correto.

89 i. Suportar os protocolos HTTP/1.0, HTTP/1.1, HTTP/2.0, HTTP/3.0 e QUIC.

Na solução da A10Networks ainda está em “roadmap” o suporte para HTTP/3.0 e QUIC, e ainda não há uma data para a Release.

É possível fazer a referência do “roadmap” do Fabricante para comprovação do item?

Esclarecimento

Permanece o disposto no Termo de Referencia. Deverá comprovar suporte até a data da homologação.

90 m. Permitir configurar ou oferecer restrições para tamanho individual de arquivo.

n. Permitir customizar a lógica na inspeção de upload de arquivos.

Tais “features” só são possíveis com a licença especifica e o uso de “Aflex (Linguagem TCL)”. Com isso devido a esse item o custo será incrementado em toda solução.

Seria possível a retirada deste item para que houvesse uma maior competitividade entre os fabricantes?

Esclarecimento

(19)

91 g. Possuir, no mínimo, os seguintes algoritmos: ECDSA, ECDHE (256, P-384 e P-521), DH, DHE, 3DES, RSA, AES-128 e AES-256.

O algoritmo ECDHE (P-521) formalmente chamado de “secp521r1” e que “NIST FIPS 186-4” chama de “P-521”, desta forma, uma curva elíptica é um domínio matemático usado pelo algoritmo de curva elíptica, como ECDH e ECDSA.

As curvas são geralmente conhecidas por um nome que inclui algumas informações sobre o tipo de curva e o tamanho da chave. As letras “sec” representam SECG (Standards for Efficient Cryptography Group) e, especificamente, as curvas descritas em SEC2. O seguinte P é porque a curva está sobre um campo primo (um corpo finito cujo número de elementos é primo). 521 é o tamanho do bit associado à curva. OR indica que certos parâmetros da curva foram gerados aleatoriamente, e o 1 final é porque esta é a primeira (e até agora a única) curva secp521r.

Os parâmetros da curva são normalmente escolhidos de forma a tornar os cálculos mais rápidos, dadas as restrições matemáticas para garantir que os parâmetros tenham as propriedades de segurança necessárias. Em particular, ajuda se o tamanho do campo difere de uma potência de 2 pelo mínimo de bits possível, porque isso permite uma redução rápida do módulo. Acontece que 2521-1 é primo. Não há nenhum primo que seja tão bom e tenha 512 bits ou um pouco menos. Em termos de tamanhos, hoje, 256 bits são considerados suficientes para curvas elípticas para troca de chave efêmera (ECDH) e assinatura (ECDSA). Como de costume, tamanhos maiores oferecem mais resistência (mais resistente do que “inquebrável na prática” não é um benefício prático) ao custo de menos desempenho. Dito isso pedimos a retirado do P-521.

Esclarecimento

(20)

92 7.1.9)d.10. A API deverá implementar proteção para manipulação de objetos compartilhados tais como, mas não se limitando a exclusão de servidor real utilizado por mais de um servidor virtual, grupo de serviço ou pool;

Não há suporte ainda a este recurso devido a CLI ser baseada em “Cisco-like”.

Desta forma pedimos a retirada do item. Caso seja imprescindível , favor, exemplificar a necessidade do item.

Esclarecimento

Permanece o disposto no Termo de Referencia. Boa parte das configurações dos elementos de balanceamento são realizadas via automações necessitando assim que a própria API implemente proteções para evitar manipulação de objetivos indevidas e com isso indisponibilização de serviços criticos do Banco.

93 7.1.9)d.11.Implementar operação por ferramentas de automação e gestão _{de configuração tais como Ansible, Puppet, Rundeck e Terraform.} Não uma referência documental com a ferramenta Rundeck. É possível a retirada para uma maior competitividade entre os fabricantes?

Esclarecimento

Permanece o disposto no Termo de Referencia. A automação poderá ser realizada por APIs.

94 7.1.10) REQUISITOS DE GERENCIAMENTO

d. Suportar uso de mecanismo de segundo fator de autenticação (2FA).

7.1.10)j.4. Percentual de utilização de tabelas de persistência; 7.1.10)j.6.3 Processamento SSL em hardware criptográfico;

A solução proposta não possui suporte a tal tipo de gerenciamento, pedimos a retirada do item. Caso a necessidade de tal funcionalidade seja imprescindível ao ambiente, favor exemplificar sua utilização.

Esclarecimento

7.1.10.d Item indeferido. A política de segurança do Banco exige acesso a todos os equipamentos e Sistemas usando o mecanismo de duplo fator de autenticação (2FA).

(21)

95 7.1.11)FERRAMENTA DE GERÊNCIA E ANALYTICS CENTRALIZADA _{COM, NO MÍNINO, AS SEGUINTES FUNCIONALIDADES:} x.Suportar uso de mecanismo de segundo fator de autenticação (2FA). ii. Deve ser possível fazer consultas informando uma entrada (pelo menos IP e nome) e retornar informações como IP e nome da instância/contexto, protocolo utilizado, health status, entre outros.

A solução proposta não possui suporte a tal tipo de gerenciamento, pedimos a retirada do item. Caso a necessidade de tal funcionalidade seja imprescindível ao ambiente, favor exemplificar sua utilização.

Esclarecimento

x. Item indeferido. A política de segurança do Banco exige acesso a todos os equipamentos e Sistemas usando o mecanismo de duplo fator de autenticação (2FA).

ii. Permanece o disposto no edital.

96 oo. Todos os logs produzidos pela solução devem ser enviados para um servidor de SIEM por meio da sua respectiva console centralizada.

Na nossa solução é possível configurar o envio dos logs para várias ferramentas, porém, nossa solução de gerenciamento centralizada executa diversas análises. Desta forma os equipamentos podem enviar “logs” a mais de uma ferramenta de análise, ou seja, a ferramenta de gerência centralizada executada várias funções e não encaminha os logs recebidos para outra ferramenta, já que sua função é realizar analise centralizada desses logs. Desta forma estaríamos atendendo ao item?

Esclarecimento

(22)

97 7.3.4) REQUISITOS DE DECRIPTAÇÃO DE TRÁFEGO SSL

c.Possuir capacidade de, no mínimo, 100.000 transações de curvas elípticas em hardware.

Não foi especificado exatamente qual o “Cipher”.

Atualmente umas das maiores curva Elíptica de Mercado é a ECDHE-ECDSA (P256). Com esta chave o equipamento ofertado faz 65.000 transações, ou seja, alterar o item para transações com a maior chave utilizada no mercado para o texto abaixo:

c. Possuir capacidade de, no mínimo, 65.000 transações de curvas elípticas em hardware utilizando chave ECDHE-ECDSA (P256).

Esclarecimento

Permanece o disposto no Termo de Referencia

98 Dúvida

Sobre o item 7.8.8) O PROPONENTE deve garantir por, no mínimo, 84(oitenta e quatro) meses o fornecimento dos componentes de hardware, para manutenções e suporte técnico de forma que possam ser mantidas no mínimo todas as funcionalidades inicialmente contratadas. Caso haja neste período a descontinuidade de fabricação de componentes, deve ser também garantida a total compatibilidade dos itens substitutos com os originalmente fornecidos. Não havendo compatibilidade de peças, o equipamento deverá ser substituído.

Esclarecemos que a CONTRATADA não tem o poder de garantir que não haja descontinuidade da solução pelo período de 7 anos.

Entendemos que a empresa não deve ser punida e não deve haver obrigatoriedade de substituição dos equipamentos a serem adquiridos, pois este ponto foge à alçada da empresa e aumenta consideravelmente o risco financeiro envolvido no projeto

-

Esclarecimento

(23)

99 Dúvida

7.8.21) A PROPONENTE deverá apresentar documentação referente ao “Roadmap” dos equipamentos que compõe a solução objeto deste edital, com informações relativas ao ciclo de vida (“End-of-Life”, “End-of-Sale” e “End-of-Support”) de cada um deles e dos seus componentes (módulos, supervisoras etc.). A PROPONENTE deverá garantir que os equipamentos e seus componentes não entrem em situação “End-of-Support” durante o prazo de garantia estabelecido neste edital.

- Esclarecemos que a CONTRATADA não tem o poder de garantir que os equipamentos não entrarão em end-of-life/sale pelo período de 84 meses (7 anos).

A única garantia possível é que no momento da aquisição (dia dos lances do edital), os equipamentos ofertados não estarão listados em end-of-sale e end-of-sale.

Sugerimos que o item seja modificado no sentido de manter a obrigatoriedade relativas ao ciclo de vida dos equipamentos considerando a data da licitação.

Esclarecimento

100 7.8.38) Caberá exclusivamente ao Banco do Brasil definição da criticidade/impacto no ato da abertura do chamado.

Entendemos que este item vai contra o que é disposto nos termos de classificação do item 7.8.22.

Solicitamos que retirem este item.

Esclarecimento

(24)

101 Dúvida

Sobre o item 4.14.17 Os equipamentos deverão ser instalados pelo PROPONENTE no prazo de até 30 (trinta) dias corridos contados a partir da aprovação do Plano de Instalação pelo Banco do Brasil, entre o horário das 22:00 às 06:00 horas em dias úteis. Havendo acordo de ambas as partes a instalação poderá ocorrer em dias não úteis. Durante, e ao final da instalação, o PROPONENTE deve deixar o ambiente limpo, tomando os devidos cuidados na retirada das embalagens e objetos descartados. Solicitamos esclarecimento em relação ao horário de instalação. Será permitida a instalação somente considerando 22:00 às 6:00? Não haverá possiblidade de se realizar a instalação física/cabeamento e setup e testes durante horário comercial em nenhuma situação?

Esclarecimento

Todo o processo de instalação física e cabeamento dentro dos datacenter serão realizadas dentro do horário informado no edital. Demais atividades, como configuração da instancia, gerenciamento, será realizada em horário comercial desde que não haja risco de impactos ao ambiente de produção.

102 Dúvida

Sobre o item 4.14.19.1 Montagem completa dos equipamentos nos locais definidos pelo Banco do Brasil. Os equipamentos deverão ser fixados em rack 19 polegadas, conforme orientação da Área de Engenharia do Banco. Caso o PROPONENTE opte por utilizar equipamentos tipo “de mesa”, ela também deve fornecer e instalar as bandejas necessárias para instalação dos equipamentos nos racks. As bandejas devem ser do mesmo padrão dos racks existentes.

- Solicitamos esclarecimento sobre o que o Banco do Brasil considera equipamento tipo “de mesa”? Quais são as dimensões consideradas?

Esclarecimento

Equipamentos tipo mesa são equipamentos que não possuem suporte para fixação em rack 19”. Por isso é preciso instalar uma bandeja para o rack 19” e colocar o equipamento em cima dessa bandeja.

103 Dúvida

Sobre o item 4.14.19.5 Interligação da solução de acordo com a topologia definida pelo Banco.

É possível disponibilizar a topologia pretendida pelo Banco?

Existe uma distância máxima para este cabeamento? Haverá cabeamento entre salas e andares (cabeamento vertical)?

Esclarecimento

A topologia só será fornecida em tempo de implantação do projeto. O cabeamento entre salas e andares é provido pelo Banco.

(25)

104 Dúvida

Sobre o item 4.14.21 O PROPONENTE deve executar o processo de integração dos novos equipamentos com os já existentes, respeitando o cronograma de instalação e fazendo a devida compatibilidade técnico-operacional, garantindo desta forma que o ambiente atual possa ser integrado ao novo. Qualquer problema ou incompatibilidade é de responsabilidade do PROPONENTE e por ele deve ser resolvido.

• Será de responsabilidade da CONTRATADA a configuração/preparação do ambiente atual para os novos equipamentos de ADC que serão adquiridos?

• Será de responsabilidade da CONTRATADA a integração com todas as soluções legadas do Banco? Se sim, solicitamos maior detalhamento sobre as soluções legadas.

Esclarecimento

A configuração da solução deverá ser excutada pela CONTRATADA de forma a garantir correta interoperabilidade com os equipamentos de rede conforme arquitetura atual do Datacenter do CONTRATANTE.

105 Dúvida

Em relação ao item 4.14.27 Para a implantação o PROPONENTE, junto com o fabricante da solução, deverá estar disponível in loco, sem ônus adicional para o Banco, durante o período de 180 (cento e oitenta) dias corridos, a contar da data do primeiro aceite de instalação de cada item acionado, 8 (oito) horas por dia, 5 (cinco) dias por semana, para prestação dos seguintes serviços, no mínimo:

4.14.27.1 Administração da solução. 4.14.27.2 Realização de Health Checks. 4.14.27.3 Técnicas de troubleshoot. 4.14.27.4 Otimização do ambiente.

4.14.27.5 Configuração da ferramenta de gerência.

4.14.27.6 Configuração/alteração de quaisquer funcionalidades dos controladores de rede e integração com outras ferramentas existentes, como CACTI, GRAFANA, entre outros.

- Solicitamos maior detalhamento do subitem 4.14.27.6. Qual é o escopo de configuração/integração com outras ferramentas?

Esclarecimento

A CONTRATADA deverá fornecer os templates atualizados de forma que seja possível visualizar dados do equipamento, como throughput, numero de conexões, entre outros diversos dados disponíveis via MIB/SNMP disponiveis no equipamento.

Ferramentas como CACTI, ZABBIX por exemplo exige uma configuração de um template para prover essa coleta e visualização das informações.

(26)

106 Dúvida

4.14.29 Os períodos de eventuais congelamentos que vierem a ocorrer dentro dos 180 (cento e oitenta) dias deverão ser acrescidos ao final do período.

Solicitamos esclarecimento de como funciona o período de congelamento do Banco do Brasil.

Esclarecimento

Congelamento são datas especiais que o Banco bloqueia toda e qualquer modificação no ambiente. Existe o congelamento oficial que são datas especificas, como dia das mães, pais, natal, etc, porém outros congelamentos extraordinários podem surgir a qualquer momento. Durante a fase de implantação, poderá ser fornecido o cronograma dos congelamentos oficiais.

107 Dúvida

5 - Será permitida a subcontratação do fabricante dos equipamentos para os serviços de: - Entrega da garantia e assistência técnica; - Prestação dos serviços de manutenção e suporte técnico.

Entendemos que será permitida a subcontratação para instalação física a ser adquirida. Está correto o entendimento?

Esclarecimento

Entendimento incorreto. Será permitida a subcontratação do FABRICANTE e não de empresas terceiras. A instalação física deverá ser feita pelo CONTRATADO podendo ser acompanhada pelo FABRICANTE da solução.

108 Dúvida

4.4.1.6 Caso o fabricante publique o anúncio de End-of-Life da solução antes do aceite de implantação, o FORNECEDOR deve entregar o modelo equivalente ou superior da solução de ADC que entrou em fim de linha. Entendemos que a exigência deve ser feita considerando a data do pregão. As empresas LICITANTES não devem ofertar equipamentos listados em fim de vida. Entendemos que a empresa CONTRATADA não deve ser punida e não deve haver obrigatoriedade de substituição dos equipamentos a serem adquiridos, pois este ponto foge à alçada da empresa e aumenta consideravelmente o risco financeiro envolvido no projeto.

Esclarecimento

Permanece o disposto no Termo de Referencia. Será alterado para data de acionamento.

(27)

109 Dúvida

4.4.1.7 Caso o PROPONENTE não seja mais autorizado a prestar serviços de suporte e garantia, ficará a cargo do fabricante da solução a continuidade do serviço pelo tempo restante do contrato.

Sugestão de redação:

4.4.1.7 Caso o PROPONENTE não seja mais autorizado a prestar serviços de suporte e garantia, será adotada a garantia fornecida pelo fabricante pelo tempo restante do contrato.

Esclarecimento

110 Dúvida Item 7.1.1)

f. Possuir mecanismo de manutenção dos estados das conexões com um ADC do mesmo modelo, quando ocorrer indisponibilidade do ADC principal e ativação do ADC standby. Deve ser possível a seleção de qual tipo de tráfego terá o tratamento para a manutenção dos estados das conexões.

Para atendimento ao item, solicitamos adequação do texto.

f. Possuir mecanismo de manutenção dos estados das conexões com um ADC do mesmo modelo, quando ocorrer indisponibilidade do ADC principal e ativação do ADC standby. Deve ser possível definir qual tráfego ou virtual server terá o tratamento para a manutenção dos estados das conexões.

Esclarecimento

Sugestão será avaliada. Precificar como atendido.

111 Dúvida Subitem

o. Suportar a utilização de parâmetros de camada 2 (Mac address, VLAN ID) para identificar e diferenciar os fluxos de conexão, permitindo que múltiplas conexões TCP com a mesma quádrupla(4-tuple) de identificação possam coexistir na mesma instância de ADC.

Para atendimento ao item, solicitamos adequação do texto.

o. Implementar mecanismos para identificar e diferenciar os fluxos de conexão, permitindo que múltiplas conexões TCP com a mesma quádrupla (4-tuple, IP e porta de origem, IP e porta de destino) de identificação possam coexistir na mesma instância de ADC.

Esclarecimento

(28)

112 Dúvida Subitem

v. Suportar HTTP/2 no mínimo do lado do cliente.

Como forma de complementar o item, sugerimos a adequação:

v. Implementar tratamento de HTTP/2 no lado do cliente e do servidor e apenas do lado do cliente.

Esclarecimento

113 Dúvida

y. Implementar a funcionalidade de Domain Name System (DNS) de forma ser capaz de responder autoritativamente pelos domínios utilizados pelo Banco, inclusive nas situações de troca dinâmica dos enlaces de dados disponíveis e em uso.

Sugerimos a seguinte adequação:

Implementar a funcionalidade de Domain Name System (DNS) de forma ser capaz de responder autoritativamente pelos domínios utilizados pelo Banco, inclusive nas situações de troca dinâmica dos enlaces de dados disponíveis e em uso, e implementar DNS recursivo.

Esclarecimento

114 Dúvida

ee. Permitir a criação de uma única instância/contexto com o total dos recursos de hardware alocado para esta instância/contexto, excetuado os recursos necessários Administração/Gerência.

Sugerimos a seguinte redação para atendimento ao item:

Permitir que o appliance físico seja utilizado como uma única instância/contexto, ou seja, consumindo todos os recursos em hardware disponíveis no appliance ou a criação de uma instância/contexto com alocação de todo hardware disponível. A qualquer momento, o Banco poderá alternar entre uma única instância/contexto e múltiplas instâncias/contextos.

Esclarecimento

Sugestão será avaliada. Considere o texto: Permitir que o appliance físico seja utilizado como uma única instância/contexto, ou seja, consumindo todos os recursos em hardware disponíveis no appliance ou a criação de uma instância/contexto com alocação de todo hardware disponível.

(29)

115 Dúvida

gg. Espelhamento de porta (Port mirroring) ou função similar que permita transmitir os dados trafegados em uma porta para uma máquina remota. Sugerimos a seguinte adequação:

gg. Espelhamento de porta (Port mirroring) ou função similar que permita transmitir os dados trafegados em uma porta para uma máquina remota e espelhamento de tráfego de um virtual server, incluindo o lado do servidor e o lado do cliente.

Esclarecimento

116 Dúvida

h. Permitir a configuração de servidor backup, que somente será ativado em caso de queda do servidor principal.

Sugerimos adequação do item para:

Permitir a configuração de servidores que somente serão ativados em caso de indisponibilidade de todos os outros servidores do pool.

Esclarecimento

117 Dúvida Item 7.1.3

b. A solução deverá ter integração com OpenShift e Kubernets. Sugerimos a seguinte adequação:

A solução deve possuir integração automática com Kubernets e OpenShift, incluindo a configuração de servidores virtuais para encaminhamento do tráfego nos seguintes modos:

- para uma porta do node, utilizando o kube-proxy.

- para para um pod diretamente, sem utilizar o kube-proxy. Neste caso, a solução deve ser capaz de ajustar os servidores reais de um servidor virtual de acordo com a disponibilidade dos pods.

Esclarecimento

(30)

“c. A solução deverá suportar integração com clouds publicas pelo menos com as seguintes: “

A solução deve possuir versões virtuais compatíveis como clouds públicas, incluindo pelo menos as seguintes:

Esclarecimento

Sugestão será avaliada. Precificar como atendido.

119 Dúvida

7.1.4) REQUISITOS DE SERVIÇOS DE DNS, PROTEÇÃO DE SERVIÇOS DNS E BALANCEAMENTO GLOBAL.

Como forma de complementar as funcionalidades listadas no item 7.1.4, sugerimos incluir os seguintes itens:

- Implementar função de servidor de DNS, balanceador de servidores de DNS e servidor recursivo de DNS, com resolução de nomes para IPv4 e IPv6.

Implementar DNS recursivo com a capacidade de consultar um servidor de DNS para resoluções de nomes com mapeamento de IPv4 para IPv6 nos seguintes modos:

- Cliente envia consulta AAAA, a solução encaminha a consulta com A e AAAA e responde com um prefixo + A e AAAA

- Cliente envia consulta AAAA, a solução encaminha a consulta com A, caso não tenho resposta, faz a consulta com AAAA, responde para o cliente um prefixo + A e AAAA

- Cliente envia consulta AAAA, a solução encaminha uma consulta como A e responde um prefixo + AAAA

- Implementar função de DNS

Esclarecimento

Permanece o disposto no Termo de Referencia. Será alterado o texto para Implementar função de servidor de DNS, balanceador de servidores de DNS, com resolução de nomes para IPv4 e IPv6.

(31)

b. Implementar as seguintes funcionalidades de balanceamento global (GLSB):

Como forma de complementar as funcionalidades listadas no item 7.1.4 subitem b, sugerimos incluir os seguintes itens:

- Pacotes por segundo - Kilobytes por segundo

- Descartar a requisição e utilizar uma resolução alternativa configurada previamente

- Saltos entre o DNS do cliente e cada Data Center

- Latência (Round Trip) entre o servidor de DNS do cliente e o Data Center - Rede de origem (CIDR) do servidor de DNS do cliente

Esclarecimento

(32)

121 Dúvida

n. Implementar os seguintes métodos de monitoramento dos servidores reais, de forma nativa ou através do uso de monitores personalizados:

I. Layer 3 – ICMP;

II. Layer 4 – Conexões TCP e UDP pela porta respectiva no servidor; III. Layer 7 – Verificação específica ao protocolo de aplicação, suportando, no mínimo: HTTP, HTTPS, HTTP/2, FTP, SMTP, SQL, LDAP, IMAP, POP3, SIP, SNMP.

Implementar os seguintes métodos de monitoramento de Data Centers participantes do balanceamento global:

- ICMP - TCP - HTTP e HTTPS - DNS - SMTP - Scripts

- Proprietário da solução capaz de monitorar os recursos localmente

Esclarecimento

Solicitação será avaliada e atendida parcialmente, excetuando o item Proprietário da solução capaz de monitorar os recursos localmente.

d. Em caso de falha em um nó do cluster a perda não poderá ser superior a 10% das conexões clientes ativas;

7.1.5) d.1. A perda da conexão não poderá acarretar a perda da sessão com a aplicação.

Solicitamos que retirem este item.

Esclarecimento

(33)

123 Dúvida

h. Possibilitar a formação de clusters ativo-ativo, ou seja, uma mesma VIP (servidor virtual) seja atendida em todos os nós do cluster simultaneamente.

Solicitamos que retirem este item.

Esclarecimento

Permanece o disposto no Termo de Referencia. Não entendemos o motivo do pedido de retirada. Favor justificar.

a. Permitir limitar o número de conexões e requisições por IP de origem, requisição, VIP e url de destino para cada endereço IP Virtual. Solicitamos a validação em relação ao entendimento de “requisição”. A “URL de destino” significa toda a URL ou apenas do hostname?

Esclarecimento

URL de destino seria toda a url, incluindo hostname/ip e contexto. Texto será alterado para: Permitir limitar o número de conexões e requisições por IP de origem, requisição, VIP e URI de destino para cada endereço IP Virtual.

125 Dúvida

i. Suportar os protocolos HTTP/1.0, HTTP/1.1, HTTP/2.0, HTTP/3.0 e QUIC.

Suportar os protocolos HTTP/1.0, HTTP/1.1 e HTTP/2.0 do lado do cliente e do servidor. Suportar os protocolos HTTP/3 e QUIC (draft-ietf-quic-http-24 e draft-ietf-quic-transport-24) pelo menos do lado do cliente.

Esclarecimento

126 Dúvida

j. Suportar Cookies v0 e v1. Sugestão de adequação ao item:

Suportar criptografia de cookies e utilização de cookies para persistência de sessões, incluindo o mapeamento de um cookie do servidor real para uma sessão, inserção de um cookie pelo ADC e substituição do cookie do servidor real por um cookie gerenciado pelo ADC;

Esclarecimento

Será parcialmente atendido. Conciderá suportar criptografia de cookies inseridos pela solução para persistências de sessões.

(34)

127 Dúvida

7.1.7) REQUISITOS DE DECRIPTAÇÃO DE TRÁFEGO SSL.

Sugerimos a inclusão das seguintes funcionalidades:

-Implementar orquestração de conexões TLS inbound e outbound, com a capacidade de criar políticas de encaminhamento do tráfego descriptografado para outros dispositivos, tais como firewalls, web application firewall, proxies web, IPS, ICAP e outros dispositivos em camada 2 e camada 3.

- Permitir classificar o tráfego em diferentes políticas de encaminhamento utilizando, pelo menos, os seguintes critérios: IP e rede de origem e destino, protocolo, porta de destino, hostname, domínio e geolocalização do IP

- Implementar função de SSL forward proxy

- Suportar conexões inbound e outbound utilizando TLS 1.2

- Suportar conexões inbound (da internet para a rede interna) em TLS 1.3 - Suportar a implantação outbound nos modos transparent proxy, explicit proxy e transparente em camada 2

- Suportar a implantação inbound nos modos reverse proxy e transparente em camada 2

- Permitir inserir a orquestração de TLS em um servidor virtual já configurado no ADC

Esclarecimento

(35)

128 Dúvida

b. Todas as cifras suportadas e ofertadas pela solução deverão ser processadas em hardware dedicado, ainda que não explicitadas neste edital.

Nem todos os algoritmos suportados pelo ADC são implementados em hardware e não é possível garantir que futuros algoritmos sejam acelerados pelo hardware atual.

Implementar aceleração em hardware de, pelo menos, os seguintes algoritmos de trocas de chaves e cifras:

- AES-CBC com chaves de 128,192 e 256 - AES-GCM com chaves de 128, 192 e 256 - AES-GMAC com chaves 128, 192 e 256 - DES e 3DES

- MD5 HMAC/SSL - SHA1 HMAC/SSL - SHA256, 384 e 512

- RSA com chaves de 1024 a 4096 bits - DSA

- DH - ECDSA - ECDH

Esclarecimento

Permanece o disposto no Termo de Referencia. A exigência é que todas as cifras que estejam no conjunto default de cifras da solução ofertada, que sejam processadas em hardware dedicado. Serão considerados o conjunto de cifras incluida na solução até a data da homologação.

129 Dúvida

d. Implementar o algoritmo de hash SHA1 e família SHA2, SHA3. Sugestão de adequação:

Implementar o algoritmo de hash SHA1 e SHA2;

Esclarecimento

(36)

130 Dúvida

m. Possibilitar configurar o equipamento para recriptografar em SSL a requisição ao enviar para o servidor real, utilizando um certificado interno privado diferente do certificado válido.

Possibilitar configurar o equipamento para recriptografar em SSL a requisição ao enviar para o servidor real, utilizando um certificado interno privado diferente do certificado público, inclusive utilizando versões diferentes do TLS e cifras diferentes

Esclarecimento

131 Dúvida _{“7.1.9) REQUISITOS DE PROGRAMABILIDADE}

a. A solução de ADC físico, ADC virtual e a solução de gerenciamento centralizada deverão permitir a implementação de código em python3 para automatização de rotinas internas, tais como, mas não se limitando a criação de monitores customizados.”

O item não está claro sobre onde os scripts devem ser executados e pode haver restrições para execução de tarefas automáticas pelo sistema operacional. Nossa sugestão é que sejam separados os requisitos de criação de scripts dentro da plataforma e os requisitos para gerenciamento, administração e operação por scripts executados externamente.

Sugestão: A solução de ADC físico e ADC virtual deverão permitir a implementação de código em python, bash, tcl e perl para a criação de monitores customizados.

Esclarecimento