PLIEGO PRESCRIPCIONES TÉCNICAS Suministro e instalación de una nueva Plataforma de Navegación 1
INDICE ANTECEDENTES... 3 OBJETO... 3 ALCANCE... 3 REQUISITOS TÉCNICOS... 4 ACTIVIDADES A CONSIDERAR... 8 GARANTIA... 9 2
ANTECEDENTES Mantener un nivel óptimo de seguridad exige la optimización continua de la infraestructura de seguridad, con el claro objetivo de contar con el grado más aceptable de protección frente a determinados eventos maliciosos, mitigar los efectos en los sistemas, identificar el origen y guardar un registro de lo ocurrido. Actualmente Adif dispone de una plataforma de navegación que es necesario cambiar por obsolescencia tecnológica. OBJETO Suministro e instalación de una plataforma de navegación que sustituya la actual infraestructura de navegación por obsolescencia de la misma. ALCANCE Actualmente Adif dispone de una infraestructura que proporciona a la organización una manera segura de navegación hacia Internet. Entre las principales características de dicho servicio están: Gestión y despliegue centralizado de las distintas políticas que se aplican a los usuarios acorde a las distintas necesidades de la empresa. Mecanismos y funcionalidades para que se realice de forma segura y optimizada. Registro centralizado de todos los accesos para informes y posibles auditorias. La infraestructura actual da servicio a los 14.000 usuarios distribuyéndose el mismo entre los siguientes componentes del fabricante Blue Coat: 3 nodos proxy-cache modelo SG-810-20 1 nodo proxy-cache modelo SG-900-20 3 nodos proxy-av modelo AV-1400 1 Director (Gestión centralizada) 1 Enteprise Reporter. (Herramienta de Informe Centralizada). 3
Debido a la obsolescencia de los siguientes componentes (3 nodos proxy-cache modelo SG-810-20, 3 nodos proxy-av modelo AV-1400 y gestión centralizada) se hace necesario la renovación de la arquitectura para poder seguir proporcionando un servicio acorde a las necesidades corporativas. REQUISITOS TÉCNICOS La nueva plataforma debe integrarse con el nodo proxy-cache modelo SG-900-20 y reporter que seguirá dando servicio, de tal manera que la gestión de toda la plataforma continúe siendo centralizada. Las diferentes licencias a suministrar deberán ser compatibles con el modelo proxy-cache modelo SG-900-20. La solución propuesta tiene que estar dimensionada para dar servicio a todos los usuarios de forma concurrente. Se tiene que proveer de suficientes interfaces para poder tener servicios diferenciados (distintos modos de funcionamiento o sistemas de autenticación). La solución se basa en un proxy caché que almacene componentes y objetos para optimizar el rendimiento y el ancho de banda. Modo de funcionamiento. La solución tiene que disponer, al menos, de dos modos de funcionamiento: Transparente: Modo on-line o bien mediante redirección del tráfico mediante protocolos como WCCP. (Redirección de tráfico ip desde un enrutador a un proxycache). Modo proxy: El propio nodo recibe la petición del navegador. La alta disponibilidad se dota mediante balanceador de nivel 7 de Adif. Debe poder soportar ambos modos de funcionamiento dependiendo de interfaz de escucha para poder diferenciar distintos servicios corporativos. En ambos casos no sólo se quiere un proxy de navegación http/https la solución tiene que ser multiprotocolo es decir tiene que poder realizar funciones de proxy para distintos protocolos además de Web, como puede ser ftp, servicios de streaming, mensajería instantánea, etc. Autenticación y autorización. Toda petición al proxy tiene que estar autorizada y autenticada. 4
Servicios de autenticación y autorización externos al proxy. Integración con distintos repositorios externos de usuarios (LDAP, Directorio Activo, Radius, etc.). Distintos perfiles de acceso según tipo de usuario asociado a Grupo LDAP. Distintas posibilidades de autenticación según modo de funcionamiento: Prompt de autenticación. Portal cautivo. Caché de credenciales para evitar consultas constantes a los repositorios. Características filtrado. Servicio de clasificación, categorización y análisis de URL's y contenidos en tiempo real. Servicio dinámico y auto actualizable. Servicio de filtrado para aplicaciones y portales 2.0 Creación de grupos personalizables de navegación asociados a grupos externos de LDAP. Reputación de referencias en tiempo real para verificar las peticiones. Dicho sistema puede darse mediante bases de datos locales o externas proporcionadas por el propio fabricante. Posibilidad de disponer de caché para mejorar el rendimiento. Uso de cliente proxy fuera de la red corporativa. Filtrado de contenido. Análisis de objeto en busca de código malicioso, potencialmente malicioso, referencias externas, tipo de ficheros, etc. (Malware/Spyware) Servicio en tiempo real y autoactualizable. Listas blancas/negras de aplicaciones. Motor de antivirus actualizable de forma nativa en la solución. Integracion con Sandboxing. Sandboxing. Integrado con el filtrado, es el último mecanismo en el análisis de objetos. Emulación de Sistemas Microsoft. 5
Replicación de Entorno corporativo, con software propio. Patrones de detección de malware basados en comportamiento. Posibilidad de disponer de datos de análisis, ficheros volcados, trazas de red, etc. Cuotas y calidad de servicio. Posibilidad de definir cuota en base a limitación temporal (navegación horaria) y limitación de tráfico (en base a tráfico descargado). Notificaciones personalizadas de la denegación de la navegación en caso de exceso de la cuota. Definición de cuota de navegación asociada a grupo LDAP. Definición de perfiles que aseguren un caudal mínimo de tráfico proporcionando Calidad de Servicio para según distinto parámetros (usuarios, servicios, sites, etc). Dichos perfiles tienen que poder asociarse a grupos de LDAP. Análisis SSL. Poder analizar el contenido de sesiones https de forma transparente al usuario fragmentando la sesion cifrada en dos, una desde origen al proxy y otra del proxy al usuario, cifrando ambas. Creación de perfiles de navegación SSL excluyendo del análisis categorizaciones predefinidas o sites personalizados, pudiendo ser asociados a grupos LDAP. Notificaciones al usuario. Personalización de las páginas de notificación al usuario. Páginas de notificación según la denegación/excepción de la navegación. (Categorizaciones denegadas, pertenencia a grupos, contraseñas caducadas, etc.) Gestión de la plataforma. Gestión centralizada de todos los elementos que componen la solución. Gestión de dispositivos. Gestión unificada de políticas de navegación. Gestión unificada de funcionalidades. (Análisis de contenido, Análisis de malware, Gestión de antivirus de la solución, etc.) 6
Integración con herramienta de Reporting para informes de cumplimiento, gestión de riesgo, mitigación, etc. Posibilidad de plataforma virtualizada. Despliegue centralizado de configuración y política entre los distintos elementos de la arquitectura. Paneles personificables de errores, informativos, posibles amenazas, etc. Monitorización de sensores hardware de los dispositivos. Clasificación de dispositivos por funcionalidades, ubicación. Licencias de WebFilter. Consultas en la nube en sistemas redundados. Bloqueo Malware y amenazas. Filtrado para aplicaciones y portales 2.0 Posibilidad de bloqueo de contenido dinámico basado en políticas. Uso de cliente proxy en sistemas fuera de la red corporativa. Análisis de objetos, imágenes, servicios cacheados. Posibilidad de clasificación basada por reputación Información en tiempo real sobre vínculos, referencias, objetos. Actualización contínua de la plataforma. Reporting Disposición de herramienta centralizada de registro de accesos de toda la solución. Paneles personalizables. Informes a medida. Automatización de reportes Gestión de acceso delegado en repositorios externos. 7
ACTIVIDADES A CONSIDERAR La contratación asociada con este PPT deberá incluir las siguientes actividades: Plan de ejecución que contemple al menos los siguientes parámetros: o La reducción de impacto en los sistemas de ADIF. o El control de la seguridad del proceso (puntos de control, marcha atrás, ) ante eventuales incidencias. o La minimización del plazo de ejecución. El plan de ejecución detallará: Las actividades técnicas y de gestión del proyecto así como el cronograma detallado asociado. La definición de las pruebas de validación del entorno resultante, que serán ejecutadas por la empresa adjudicataria bajo la supervisión de personal de ADIF. El mencionado plan será analizado por ADIF pudiéndose solicitar ajustes si se considera que no se cumplen los mencionados criterios. Una vez validado el plan, por parte de ADIF, el adjudicatario (con la colaboración de ADIF) ejecutará el proyecto descrito en dicho plan, que incluirá al menos las siguientes actividades: La revisión y ajuste de la documentación técnica y operacional del entorno. La realización y documentación de las pruebas de validación necesarias para garantizar la completa funcionalidad de la plataforma, que podrán derivar en actividades de ajuste en caso de no obtenerse los resultados esperados. La capacitación del personal de operación y explotación de ADIF sobre el nuevo entorno. 8
GARANTIA El plazo de garantía será de un año a partir de la instalación y deberá incluir: Suministro de nuevas versiones, parches y actualizaciones de configuración de los elementos de la solución de cara a mantener el sistema actualizado para garantizar su correcto funcionamiento. Soporte 24x7 ante incidencias de la plataforma. Asistencia telefónica para recepción de incidencias y cobertura técnica. Los oferentes deberán incluir un Plan de Mantenimiento en garantía en el que se incluya, la descripción y el calendario de las revisiones preventivas, los procedimientos de aviso de las averías, los formularios para el control de los elementos constitutivos de la prestación del servicio como el tiempo transcurrido desde el aviso, el tiempo de reparación, el número de personas involucradas, las piezas y componentes sustituidos y todos aquellos factores objetivos que sirvan para medir la calidad del servicio prestado. 9