PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES PARA LA CONTRATACIÓN DEL SUMINISTRO DE CORTAFUEGOS DE APLICACIÓN PARA PUBLICACIÓN WEB. Abril 2009
ÍNDICE 1. OBJETO Y ALCANCE...3 2. CARACTERÍSTICAS TÉCNICAS...5 ANEXO I. RESUMEN DEL ESCENARIO TECNOLÓGICO DE GOBIERNO DE NAVARRA...9
1. OBJETO Y ALCANCE El objeto del presente documento es recoger las disposiciones del pliego de prescripciones técnicas particulares (PPTP) que regirá la petición de ofertas y adjudicación del suministro de un sistema de Cortafuegos de aplicación para publicación web. Se contempla el suministro de un sistema redundado de cortafuegos de aplicación para la publicación WEB, y se enmarca dentro de la evolución de la protección perimetral del nodo de presencia en Internet, ubicado en el Centro de Proceso de Datos (en adelante CPD) principal de Gobierno de Navarra. El siguiente gráfico muestra de un modo muy simplificado la arquitectura actual del nodo de presencia en Internet del CPD de Gobierno de Navarra: Se desea evolucionar la arquitectura actual, y en concreto mejorar la disponibilidad y rendimiento en la publicación WEB. Para ello se requiere instalar un sistema de
cortafuegos especializado en publicación, securización, balanceo de aplicaciones web y finalización de túneles SSL. El siguiente gráfico muestra la nueva arquitectura deseada. El presente pliego afecta únicamente al sistema de cortafuegos especializado en publicación, securización y balanceo de aplicaciones web. La oferta sólo incluirá el suministro del equipamiento correspondiente, esto es, sin instalación, e incluirá también el soporte de ese equipamiento desde el 1 de julio hasta el 31 de diciembre del 2009. Además y junto con la oferta económica anterior, se añadirá el compromiso de mantener (en caso de que así se solicite) el precio del soporte durante los tres años posteriores en las mismas condiciones. Esto quiere decir que el oferente se comprometerá a ofertar el soporte de todo el año 2010 al precio al que lo hace en su oferta multiplicado por dos (para los doce meses de 2010) e
incrementados con el IPC del año correspondiente, e igualmente para los años 2011 y 2012. No obstante, Opnatel se reserva el derecho de solicitar o no esos servicios de soporte para los años 2010, 2011 y 2012. Por imperativos de confidencialidad, queda expresamente fuera de este pliego todo trabajo de instalación y puesta en marcha del equipamiento, así como cualquier tipo de auditoría o certificación posterior de la instalación. Por tanto esos trabajos no se deben incluir en las propuestas y su inclusión no será valorada positivamente como mejora. 2. REQUERIMIENTOS TÉCNICOS A continuación se exponen las características técnicas del equipamiento. La solución ofertada deberá ser hardware y cumplir los siguientes requisitos mínimos: A) Arquitectura de la solución, capacidad de interconexión y rendimiento. Arquitectura de la solución: se piden dos elementos hardware independientes capaces de funcionar en alta disponibilidad en modo activo-pasivo. Se busca la máxima disponibilidad, por lo que los elementos no pueden tener un punto único de fallo. En consecuencia se exige que cada uno de ellos tenga al menos dos fuentes de alimentación, dos CPUs (cada una de los cuales deberá estar dotada de doble núcleo, tipo dual core ) y dos discos duros. Se valorará positivamente la mejora de estas características. Capacidad de interconexión: debido al número de servidores y DMZ existentes se requiere la máxima flexibilidad a la hora de integrarse en la red de Gobierno de Navarra por lo que se exige al menos 10 puertos Gigabit Ethernet por cada uno de los elementos. Se valorará positivamente que el equipamiento incluya más interfaces así como la posibilidad de interfaces gigabit en fibra. Rendimiento: para garantizar la escalabilidad y el rendimiento a futuro la solución ofertada debe soportar una tasa de transferencia de al menos 6 Gbps de tráfico web en claro y 4 Gbps de tráfico cifrado, y capacidad de compresión hardware para tráfico http de hasta 5 Gbps. Asimismo, se exige capacidad mínima de 8 millones de sesiones concurrentes, más de 200.000
conexiones/segundo de nivel 4 y 600.000 conexiones/segundo de nivel 7. Se valorará positivamente la mejora de estos valores. B) Funcionalidades de los elementos Los equipos ofertados deben poseer las siguientes funcionalidades: finalización de sesiones SSL, balanceo de carga, firewall de aplicación web y publicación de aplicaciones. Deberán cumplir, además, los siguientes requerimientos: o Finalización de sesiones SSL: soporte hasta 1 millón de sesiones SSL simultáneas, con capacidad de 25.000 TPS (transacciones por segundo). El equipamiento propuesto deberá permitir la terminación SSL de los clientes y a la vez poder iniciar sesiones SSL hacia la granja de servidores. Se garantizará así un cifrado del tráfico punto a punto entre el cliente y la granja de servidores conservando la capacidad de transformar el tráfico cifrado. Se valorará positivamente la mejora de estos valores. o Balanceo de carga y gestión de tráfico: Capacidad de balancear protocolos basados en IP. Capacidad de monitorizar los servicios balanceados para los protocolos más conocidos, tales como HTTP, SMTP, FTP, TCP, etc. Se valorará positivamente la capacidad de monitorizar más protocolos de los anteriores. Capacidad de efectuar funcionalidades de control del ancho de banda de acuerdo al tipo de tráfico ( rate shapping ). La solución debe poder gestionar el tráfico a base a cualquier información de nivel 4, 5, 6 y 7. La solución deberá integrar algoritmos de persistencia de un cliente hacia el mismo servidor, adaptados a los protocolos más comunes. Para garantizar más flexibilidad, es imprescindible poder crear perfiles de persistencia de acuerdo a cualquier elemento de las cabeceras o del contenido TCP y UDP. o Cortafuegos de aplicación web: tendrá posibilidad de funcionar de dos maneras: En base a políticas de seguridad predefinidas y actualizables mediante firmas que garanticen un primer nivel de seguridad
homogéneo y común a todos los servidores. Este nivel de protección debe cubrir los ataques definidos en el Top Ten de OWASP (Proyecto Abierto de Seguridad en Aplicaciones Web). En base a configuración específica para cada aplicación web bien sea mediante la identificación de parámetros web válidos (incluyendo el filtrado XML) o de secuencias de navegación permitidas. o Flexibilidad a la hora de publicar aplicaciones. La solución ofertada deberá tener una arquitectura de full proxy con capacidad de almacenamiento intermedio (caché) en la publicación de aplicaciones web y deberá soportar al menos la publicación de toda la variedad de plataformas que conforman el escenario tecnológico de Gobierno de Navarra (ver resumen en Anexo I), valorándose positivamente el mayor número de aplicaciones soportadas y certificadas. C) Capacidades de gestión En cuando a las funcionalidades de gestión y administración, la solución ofertada deberá disponer de interfaces HTTPS y SSH para su administración y cumplir los siguientes requisitos: Capacidad de guardar en registros tipo log todos los cambios de configuración. Capacidad de hacer backup de los registros, de exportarlos y restaurarlos en cualquier momento. Capacidad de conservar varias particiones de inicio ( boots ) con el fin de poder hacer operaciones de marcha atrás controlada ( roll-back ) durante los procesos de actualización de versión. Capacidad para administradores de conectarse a las máquinas y reiniciarlas sin perder conectividad. (ejemplo: proceso SCCP) La solución propuesta deberá incluir herramientas de monitorización granular ante incidencias (debuging). La solución deberá incluir capacidad de virtualizar la gestión de los servicios (es decir, para definir diferentes perfiles de administración de tal manera que un usuario determinado sólo pueda gestionar un grupo
concreto de servidores). Se valorarán positivamente la inclusión de capacidades adicionales a las aquí listadas.
ANEXO I. RESUMEN DEL ESCENARIO TECNOLÓGICO DE GOBIERNO DE NAVARRA. Servidores Web Apache Servidores de aplicación: IBM WebSphere JBoss BEA WebLogic Check Point VPN-1/FireWall-1. VPNs SSL Checkpoint Connectra Citrix Metaframe Presentation Server Plataforma Microsoft: (Exchange Sever 2007, Windows Terminal Services, SharePoint Portal Server. MOSS 2007, Internet Information Services (IIS 6 y 7), Live Communications Server/OCS, SQL Server 2005) Pamplona, abril 2009.