ANEXO I Rede Nacional do Ministério Público Federal - Projeto Básico e Especificações Técnicas -

Transcrição

1 ANEXO I Rede Nacional do Ministério Público Federal - Projeto Básico e Especificações Técnicas - 1. Introdução Este projeto tem como objetivo a implantação de uma solução integrada de rede de comunicações de dados, com capacidade para transportar inclusive tráfego de voz e vídeo entre as unidades que compõem o Ministério Público da Federal - MPF, em todo o território nacional, bem como a Escola Superior do Ministério Público da União (ESMPU). Além de comunicação entre as unidades do MPF, o presente projeto também contempla o provimento de acesso à Internet. 1.1.Embora a ESMPU não seja unidade do MPF, para efeito do presente projeto deverá ser entendida como tal. 1.2.A solução em questão compreenderá fornecimento, instalação, manutenção, gerenciamento e monitoração de: Porta de Comunicação com a Rede Internet; backbone, constituído por canais de comunicação interligando todas as unidades do MPF em ambiente seguro; datacenter, composto por uma completa infraestrutura de hardware e software para prestação de diversos serviços de borda com a Internet, tais como: firewall, DNS, proxy, mail relay, etc.; e 1.3.A rede proverá serviços de comunicação para as unidades do Ministério Público da Federal. O Anexo II contém a relação das localidades previstas para ativação inicial, com endereço de instalação e pessoa de contato. 1.4.A rede utilizará endereçamento definido em bloco CIDR e Sistema Autônomo pertencentes ao MPF. A empresa vencedora da licitação se responsabilizará pelo anúncio BGP dos números do Sistema Autônomo do MPF, de seu respectivo bloco CIDR, pela implementação de traduções de endereços, na eventualidade do esquema de numeração IP do MPF implicar em dificuldades de roteamento no backbone, e pela implantação e divulgação de rotas internas no backbone contratado. 1.5.A seguir encontram-se especificados os diversos serviços a serem prestados ao MPF pelo proponente considerado vencedor desta licitação, que daqui por diante será referenciado como contratada.

2 2. Infraestrutura Figura 1 Diagrama da rede de comunicação 2

3 2.1. Backbone Meio físico com capacidade para implementação de tráfego de dados, voz, imagens e vídeo, composto por uma malha de canais de comunicação dedicados, que permitirá a conexão de cada unidade do MPF diretamente ao backbone, sem que sejam definidos pontos de concentração localizados em quaisquer dessas unidades, que possam estabelecer estrangulamentos de tráfego ou interdependência de funcionamento entre unidades A comunicação do backbone com redes externas deverá ser exclusivamente por intermédio do datacenter descrito no item 3.1. do presente documento O backbone deverá estabelecer isolamento de tráfego em nível 3, implementando o protocolo TCP/IP sobre MPLS, estabelecendo VPN s entre as unidades, que funcionalmente deverão comunicar-se entre si sob uma topologia Any to Any (Full Mesh) Todos os elementos ativos que compõe o backbone devem ser implementados em arquitetura redundante Todos os elementos ativos que compõe o backbone da contratada devem possuir sistema elétrico ininterrupto, garantindo ao menos 24 horas de funcionamento no caso de falhas de fornecimento de energia por conta das concessionarias A contratada deverá fornecer à contratante documentação completa da topologia física e lógica do backbone. Inclusive endereços IPs dos concentradores para fins de gerência. Em caso de solicitação, a contratada deverá fornecer logs, arquivos de configuração e demais informações para fins de auditoria Todas as políticas e configurações exigidas neste projeto devem ser mantidas de modo fim a fim. 3

4 2.2. Canais Os canais de comunicação deverão ser configurados com velocidades simétricas (upstream = downstream) Serão aceitas variações de no máximo 10% entre as velocidades de upstream e downstream As velocidades dos canais de comunicação solicitadas devem sem entendidas em seu valor líquido, banda disponível para transmissão de pacotes, independentemente do protocolo utilizado. Não devem ser considerados os overheads e pacotes de controle gerados pelo protocolo escolhido pela contratada. Ou seja, as velocidades solicitadas representam a banda disponível somente para os pacotes de dados transmitidos pelo canal Canais de comunicação Tipo A 1. Compreenderão a estrutura de comunicação entre as unidades, conforme a Figura A contratada deverá configurar e implantar os canais de comunicação, que interligarão as unidades pertencentes aos ramos do MPF ao backbone, contemplando todos os insumos necessários a sua plena operacionalização, tais como: 1) circuito de acesso, que interliga cada unidade ao backbone; 2) porta de entrada no backbone da contratada; 3) roteador; 4) modem do canal; O item 7 (Planilha de Custos) descreve os critérios a serem adotados para preenchimento da planilha Backbone apresentada no Anexo III - Planilhas de Custos, onde se encontram definidas as velocidades iniciais para os canais de comunicação com unidades a serem instaladas de imediato e, posteriormente, durante a vigência do contrato A contratada se responsabilizará pela implantação nas unidades, de toda a infraestrutura necessária à configuração dos canais de comunicação, independentemente da solução a ser empregada (wireless, terrestre ou satélite). Entende-se por infraestrutura necessária: Obras civis, licenças, autorizações, eletrodutos, calhas, cabos lógicos, e todos os elementos que sejam necessários a ativação e funcionamento do canal de comunicação, inclusive a conexão do roteador ao comutador da unidade. 4

5 Os canais de comunicação Tipo A terão suas velocidades, custos e expansões baseados na unidade de medida de 1Mbps (um megabit por segundo) Cada canal de comunicação será enquadrado em apenas uma faixa, baseado em sua velocidade de comunicação; e deverá ser faturado unicamente conforme o preço por Mbps desta faixa A Banda máxima para tarifação, conforme tabela abaixo, corresponde ao quantitativo máximo de banda que poderá ser alocado para cada faixa, distribuídos entre todos os canais de comunicação do 'Tipo A' pertencentes a faixa A tabela a seguir dispõe sobre as faixas a serem considerados na planilha de custos. FAIXA VELOCIDADES DE COMUNICAÇÃO BANDA MAXIMA PARA TARIFAÇÃO A1 2 5 Mbps 1500 Mbps A2 6 9 Mbps 1700 Mbps A Mbps 1700 Mbps A Mbps 1700 Mbps A Mbps 1250 Mbps A Mbps 1750 Mbps A Mbps 2300 Mbps A Mbps 1500 Mbps A Mbps 200 Mbps A Mbps 400 Mbps A Mbps 600 Mbps A Mbps 1000 Mbps A Mbps 1000 Mbps PREÇO R$ por Mbps Circuito de Acesso Meio de comunicação utilizado para interligar cada unidade do MPF com o backbone da contratada Deverão ser utilizados enlaces de comunicação terrestre. A utilização excepcional de enlaces sem fio (wireless, radio, micro-ondas e outros) ou via satélite deverá ser submetida, por escrito, à apreciação e aprovação prévia do contratante, juntamente com as justificativas para a utilização dessas tecnologias. Caso as justificativas sejam aceitas, a contratante emitirá termo de autorização para a instalação do canal de comunicação da localidade, sem prejuízo dos prazos de implantação, restrições e critérios de desempenho estabelecidos no corpo desta especificação A autorização para a utilização de enlaces sem fio ou via satélite somente será concedida para as localidades onde ficar comprovado que não há viabilidade de 5

6 implantação de outros meios de comunicação. O MPF, por sua vez, procederá a avaliação das justificativas apresentadas e, caso julgue necessário, irá validá-las junto à ANATEL A proponente deverá especificar em sua proposta, previamente, a tecnologia que pretende implantar em todos os circuitos Porta de Entrada no Backbone Porta do comutador/roteador, que integra o backbone da contratada, onde se conectará o circuito de acesso Roteador Para cada unidade a contratada deverá fornecer um roteador, interligando a LAN da localidade ao backbone do ramo específico Todos os roteadores instalados nas unidades do MPF e os que integram o backbone da contratada deverão possuir no mínimo os seguintes requisitos: Console de acesso remoto por meio dos protocolos telnet e SSH, com comandos em língua portuguesa ou inglesa Implementar o padrão IEEE 802.1p Permitir a configuração dos parâmetros de qualidade (QoS) estabelecidos no item Acesso SNMPv1,v2 e v3, com comunidades de leitura sem restrição de acesso a nenhum OID da árvore. Todas as MIBs configuradas deverão possuir documentação nas línguas portuguesa ou inglesa. A documentação deverá ser fornecida ao contratante quando solicitada, no prazo máximo de 10(dez) dias uteis Possuir no mínimo MIB II- RFC Possuir suporte a syslog Possuir suporte a NTP e/ou SNTP Implementar IPv Implementar autenticação de acesso via Radius ou Tacacs 6

7 Todos os roteadores da rede (backbone da contratada e os instalados nas unidades do MPF) deverão ter capacidade para suportar o tráfego com banda completamente ocupada, sem exceder a 70% de utilização de CPU e memória A contratada deverá proceder às atualizações, em um prazo máximo de 5 (cinco) dias corridos, de hardware/software que se fizerem necessárias para retornar ao limite estabelecido de 70%, toda vez que qualquer das medidas calculadas ultrapassarem 70%, por duas semanas seguidas, aferidas em dias úteis, no período de 14:00 às 18:00, com intervalos máximos de 5 (cinco) minutos e por software específico de gerência previamente homologado pelo contratante. O processo de atualização deverá ser comunicado e acordado com o contratante, sem prejuízo dos prazos definidos acima Sempre que uma solicitação de alteração de taxa de transmissão implicar em uma situação de desconformidade, conforme situação descrita no parágrafo anterior, o(s) roteador(es) deverá(ão) ser substituído(s) ou reconfigurado(s), sem ônus para o MPF A versão inicial do sistema operacional dos roteadores deverá ser a mais atual disponível no país, quando da assinatura do contrato A atualização do sistema operacional dos roteadores deverá ser comunicada ao contratante sempre que houver lançamento de versões que agreguem novas funcionalidades, melhorias ou correções aos serviços prestados. Caso autorizada, a atualização deverá ser executada em um prazo máximo de 10 (dez) dias corridos em todos os roteadores, sem ônus para o MPF. A responsabilidade pelo correto e perfeito funcionamento da atualização e suas consequências será única e exclusiva da CONTRATADA O MPF terá senha de acesso irrestrito para cada um dos roteadores dispostos nas suas unidades com privilégios de leitura exclusivamente (read only), sem nenhum tipo ou forma de restrição de acesso às configurações, logs e comandos do sistema operacional do equipamento Os roteadores deverão ser fornecidos com todos os acessórios e programas necessários à sua instalação, operação e monitoração Todos os roteadores instalados nas unidades do MPF deverão ser de um mesmo fabricante A proponente deverá especificar em sua proposta, a marca e modelo dos equipamentos que serão instalados em todas as localidades. 7

8 Modem do Canal Corresponde ao modem que deverá ser instalado em cada unidade do MPF, quando necessário, para conexão do circuito de acesso ao roteador Canal de comunicação Tipo B Compreenderá a estrutura de comunicação entre o datacenter e a Internet, conforme mostra a Figura O roteador concentrador do canal de comunicação Tipo-B deverá possuir conexão ao firewall externo com velocidade no mínimo igual à velocidade do canal de comunicação Tipo-B Os canal de comunicação Tipo B terá sua velocidade, custo e expansões baseados na unidade de medida de 1Mbps(um megabit por segundo) Cada canal de comunicação sera enquadrado em apenas uma faixa, baseado em sua velocidade de comunicação; e deverá ser faturado unicamente conforme o preço por Mbps desta faixa A Banda máxima para tarifação, conforme tabela abaixo, corresponde ao quantitativo máximo de banda que poderá ser alocado para cada faixa, distribuídos entre todos os canais de comunicação do 'Tipo B' pertencentes a faixa A tabela a seguir dispõe sobre as faixas a serem considerados na planilha de custos. FAIXA VELOCIDADES DE BANDA MAXIMA COMUNICAÇÃO PARA TARIFAÇÃO B Mbps 500 Mbps B Mbps 1000 Mbps B Mbps 2000 Mbps B Mbps 3000 Mbps B Mbps 5000 Mbps B Mbps 8000 Mbps B Mbps Mbps PREÇO R$ por Mbps Canal de comunicação Tipo C ( Extranet ) Compreenderá canais de comunicação entre o datacenter e locais externos ao backbone do MPF(extranet), conforme mostra a Figura 1. 8

9 Poderá possuir características permanentes ou temporárias, no caso conexão a outros órgãos da administração pública ou na realização de eventos esporádicos pelo MPF Poderá ser utilizado como circuito temporário em novas unidades, caso o tempo de ativação do canal de comunicação tipo-a seja superior ao estimado neste projeto. Neste caso, o prazo máximo para sua ativação será de 30(trinta) dias corridos e o prazo máximo para sua utilização será de 120(cento e vinte) dias corridos O roteador concentrador dos canais de comunicação 'Tipo-C' deverá possuir conexão ao firewall externo com velocidade no mínimo igual à somatória de velocidades dos canais de comunicação do Tipo-C O canal de comunicação Tipo C terá sua velocidade, custo e expansões baseados na unidade de medida de 1Mbps(um megabit por segundo) Cada canal de comunicação será enquadrado em apenas uma faixa, baseado em sua velocidade de comunicação; e deverá ser faturado unicamente conforme o preço por Mbps desta faixa A Banda máxima para tarifação, conforme tabela abaixo, corresponde ao quantitativo máximo de banda que poderá ser alocado para cada faixa, distribuídos entre todos os canais de comunicação do 'Tipo C' pertencentes à faixa Para as faixas C1a a C3a, excepcionalmente poderão ser utilizadas tecnologias de transmissão e recepção assimétricas, desde que conectadas diretamente ao backbone A tabela a seguir dispõe sobre as faixas a serem considerados na planilha de custos. FAIXA VELOCIDADES DE COMUNICAÇÃO BANDA MAXIMA PARA TARIFAÇÃO C1a 1 4 Mbps - Assimétricos 200 Mbps C2a 5 25 Mbps - Assimétricos 625 Mbps C3a Mbps - Assimétricos 750 Mbps C4 1 4 Mbps 200 Mbps C5 6 8 Mbps 200 Mbps C Mbps 240 Mbps C Mbps 288 Mbps C Mbps 340 Mbps C Mbps 384 Mbps C Mbps 384 Mbps C Mbps 320 Mbps C Mbps 200 Mbps C Mbps 200 Mbps PREÇO R$ por Mbps 9

10 2.3. Roteamento A estrutura de roteamento a ser executada pela contratada deverá contemplar os seguintes aspectos: Roteamento para serviços internos do MPF A contratada deverá prover roteamento de modo que todas as unidades do MPF tenham acesso aos servidores no datacenter que disponibilizam os serviços de uso interno do MPF. Tais servidores deverão estar protegidos por uma DMZ ligada ao firewall interno Não deverá existir nenhum tipo de bloqueio, conformação de tráfego, listas de controle de acesso, ou política de descarte de pacotes para os serviços internos do MPF, nos equipamentos que compõe o backbone da contratada, com exceção aos definidos neste projeto Roteamento para serviços externos do MPF Todas as aplicações e sistemas do MPF expostos à Internet deverão estar protegidos por um firewall externo, ou seja, a contratada deverá prover uma DMZ externa e protegê-la com as políticas de segurança definidas pelo MPF Roteamento para a Internet Todos os equipamentos pertencentes ao MPF deverão ter somente uma saída para a Internet. Esta porta de comunicação ficará localizada no datacenter e todo o roteamento envolvendo a Internet deverá, portanto, ser realizado através do backbone do MPF, dos firewalls, conformador de tráfego e IPS interno e externos e finalmente do roteador Internet Roteamento Multicast Devido às características de transmissão de vídeo e do funcionamento de determinados serviços e aplicações utilizadas no MPF, a contratada deverá implementar o roteamento multicast, por meio do protocolo PIM sparse-mode, em todos os equipamentos que compõem o backbone, inclusive roteadores de borda, firewalls, conformadores de tráfego e IPS localizados no datacenter. Não deverá haver nenhum 1

11 tipo ou forma de bloqueio ou de restrição ao encaminhamento de pacotes multicast, qualquer que seja o endereçamento do grupo utilizado, em especial das transmissões de vídeo e áudio, devendo ser mantida a mesma taxa de transmissão de pacotes multicast fim-a-fim QoS QoS, ou Qualidade de Serviço, refere-se à capacidade de uma rede prover melhor serviço para um selecionado fluxo de informação Diferentes tipos de transmissões demandam tratamentos distintos devido às suas respectivas características intrínsecas. Como o MPF tem serviços de voz, vídeo e dados trafegando em sua rede, a contratada deverá fornecer uma infraestrutura de QoS para que tais fluxos tenham suas demandas de qualidade atendidas Não deverá haver nenhum tipo ou forma de restrição ou remapeamento das classes definidas ou dos pacotes priorizados no backbone da contratante, devendo ser mantida a mesma classe ou priorização no encaminhamento dos (pacotes da origem ao destino) fim-a-fim Os roteadores de borda deverão possuir meios de aferir, por meio de console de acesso ( ex telnet ) e sistemas de gerência, os pacotes de dados saintes e entrantes ( In e Out ) com suas respectivas classes e prioridades Tabelas de Classes e Classificações Base Iniciais Classe Bandwidth DSCP Missão Crítica 35% AF31 Videoconferência e Vídeo 20% AF41 Voz 30% EF Gerenciamento e Roteamento 5% cs6 Padrão( Default ) Restante BE Total 100% Demais detalhes das políticas de QoS a serem implantadas serão definidas com a contratada após a assinatura do contrato Roteadores de Acesso Os roteadores de acesso são responsáveis pela admissão e encaminhamento dos fluxos em conformidade com a política de QoS adotada. Estes são os roteadores fornecidos pela contratada e que farão a interligação da rede local de cada unidade com o backbone do MPF. 11

12 Classificação Os roteadores de acesso deverão ser capazes de identificar e exibir os fluxos entrantes e saintes e marcar os fluxos saintes; Para a identificação dos fluxos as seguintes características deverão poder ser reconhecidas: Endereço IP de origem; Endereço IP de destino; Protocolo de Transporte utilizado TCP ou UDP; Porta de destino; Porta de origem; Campo ToS do cabeçalho IP; Campo IP Precedence do cabeçalho IP; Campo DSCP do cabeçalho IP; Para a marcação dos pacotes, os seguintes campos deverão poder ser escritos: Campo ToS do cabeçalho IP; Campo IP Precedence do cabeçalho IP; Campo DSCP do cabeçalho IP Tratamento Após a identificação e marcação dos fluxos no roteador de acesso, um tratamento adequado deverá ser imposto às transmissões selecionadas. Deverão ser ofertados os mecanismos de Gerenciamento de Congestionamento, Gerenciamento de Filas e Conformação e Policiamento de Tráfego Deve estar disponível para consulta, na plataforma de gerência e na console do equipamento, a identificação das taxas dos fluxos entrantes e saintes para cada classe e priorização definida na política de QoS, assim como a quantidade de pacotes represados e descartados Gerenciamento de Congestionamento O mecanismo de Gerenciamento de Congestionamento tem como objetivo disponibilizar filas para tratamento diferenciado de fluxos. A contratada deverá, nesse sentido, implementar os seguintes tipos de Gerenciamento de Congestionamento: PQ filas de prioridade: Implementar, pelo menos, 4 filas com prioridades absolutas distintas de atendimento para que os fluxos previamente classificados sejam alocados conforme desejado; 1

13 Fila WFQ filas de prioridade ponderada: Implementar, pelo menos, 8 filas com prioridades ponderadas distintas de atendimento. Tais filas devem ter suas prioridades configuráveis, mas todas deverão ser atendidas regularmente independentemente da prioridade, ou seja, no caso de existir sobra de banda de alguma das classes, essa poderá ser redistribuída dinamicamente para outras classes demandantes; Garantia de Banda para Fila: Implementar a possibilidade de configuração de banda mínima garantida para que os fluxos previamente classificados tenham uma taxa mínima de transmissão sempre disponível Gerenciamento de Filas Para que o próprio congestionamento de rede seja evitado, a contratada deverá suportar o mecanismo de gerenciamento de filas WRED WRED detecção aleatória antecipada ponderada: o dispositivo de rede deverá ser capaz de descartar antecipadamente, de acordo com a ponderação desejada, pacotes dos fluxos selecionados antes que o congestionamento se instale. A distinção dos fluxos deverá seguir o paradigma exposto na classificação das transmissões Conformação e Policiamento de Tráfego Conformação de tráfego deverá ser implementado o mecanismo de conformação de tráfego. Por este dispositivo, o tráfego selecionado será encaminhado respeitando uma taxa limite. Picos e rajadas que ultrapassem o limite estipulado deverão ser armazenados para transmissão posterior Policiamento de tráfego deverá ser, também, implementado o mecanismo de policiamento de tráfego. O funcionamento é semelhante ao da conformação de tráfego, sendo a única diferença o fato de que o tráfego do fluxo classificado acima do limite estipulado será descartado Política de QoS no Backbone A política de QoS escolhida, admitida e implementada pelos roteadores de acesso deverá ser também respeitada pelos dispositivos de rede pertencentes ao backbone MPLS contratado. Dessa forma, a contratada deverá prover, nos dispositivos internos do backbone MPLS ofertado, uma infraestrutura que implemente a diferenciação do 1

14 tratamento dos fluxos de acordo com a política de QoS estabelecida nos roteadores de acesso. 3. Serviços 3.1. Datacenter Descrição Geral Os serviços/equipamentos disponíveis no datacenter deverão ser novos e exclusivos para atender ao contratante e serão gerenciados e monitorados pela contratada 24 horas por dia, 7 dias por semana Os serviços/equipamentos disponíveis no datacenter deverão estar em produção não sendo aceitos softwares/hardwares descontinuados ou com fim de vida (end-oflife/end-of-sales) anunciados Após ativação dos serviços, caso algum software/hardware que compõem os serviços/equipamentos sejam descontinuados ou tenham seu fim de vida (end-oflife/end-of-sales) anunciados deverão ser substituídos por novos equivalentes ou superiores sem custo para o contratante Os serviços/equipamentos deverão ser substituídos por novos equivalentes ou superiores sem custo para o contratante, no caso de apresentarem inconformidades com este projeto após sua ativação. Está substituição deverá ocorrer em até 30 dias Os serviços/equipamentos deverão possuir rotinas de backup conforme a seguir: Backup Completo Semanal, a ser realizado todo final de semana. Este backup poderá ser realizado em fitas ou unidades de armazenamento online (storage). Estes dados deverão ser armazenadas por no mínimo 12 semanas e seu conteúdo disponível para consulta do CONTRATANTE sob demanda. 1

15 Backup diferencial diário, este backup poderá ser realizado em fitas ou unidades de armazenamento online (storage). Estes dados deverão ser armazenadas por no mínimo 12 semanas e seu conteúdo disponível para consulta do CONTRATANTE sob demanda Deverão ser realizados testes de verificação de cada rotina de backup logo após sua gravação, garantindo a integridade e disponibilidade das informações armazenadas Deverão constar das rotinas de backup, no mínimo, arquivos de configuração, arquivos de dados, logs, e todos os elementos necessários a restauração dos serviços/equipamentos a seus estado perfeito de funcionamento, ao ponto mais próximo anterior a falha Após o aceite completo da rede, essa rotina poderá ser alterada conforme acordado entre o contratante e a contratada O datacenter será composto por uma infraestrutura de hardware e software, que será responsável inicialmente pela prestação dos seguintes serviços: firewall externo e interno, proxy reverso, DNS externo e interno, detecção e prevenção de intrusão externo e interno, distribuição de s mail relay externo e interno, serviço de conformação de tráfego, filtragem de conteúdo web e caching, e serviços de correlacionamento de logs(siem) O datacenter conterá ainda um ambiente de produção para serviços diversos, formado por servidores de rede de porte inicial similar ao utilizado para o serviço de filtragem de conteúdo web e caching. além de uma infraestrutura destinada a hospedagem de equipamentos que serão disponibilizados pelo contratante Funcionalmente, o datacenter irá operar como um elo entre a rede Internet e o backbone constituído pelos canais de comunicação que interligam as diversas unidades do contratante O datacenter deverá ser configurado de tal forma que todas as requisições a partir de equipamentos conectadas à rede do contratante, que implicarem em acessos externos, ou solicitações a partir de equipamentos externos que demandarem serviços providos pela rede do contratante, sejam interceptadas e tratadas, inclusive com a geração de logs, pelos equipamentos/serviços em operação no datacenter (firewall externo e interno, detecção e prevenção de intrusão externo e interno, proxy, mail relay externo e interno, conformação de tráfego, filtragem de conteúdo web, etc) A contratada deverá manter atualizados todos os equipamentos destinados à execução dos serviços disponíveis no datacenter, implementando as últimas 1

16 versões/atualizações/correções recomendadas (hardware/software), de modo a assegurar a plena integridade do ambiente em produção. Todas as atualizações deverão ser testadas e homologadas, antes de sua implementação no ambiente de produção A necessidade da atualização deverá ser comunicada ao contratante sempre que houver lançamento de versões que agreguem novas funcionalidades, melhorias ou correções aos serviços prestados. Caso autorizada, a atualização deverá ser executada em um prazo máximo de 15 (quinze) dias corridos em todos os equipamentos, sem ônus para o MPF. A responsabilidade pelo correto e perfeito funcionamento da atualização e suas consequências será única e exclusiva da CONTRATADA A contratada deverá dimensionar, inicialmente, os equipamentos destinados à execução dos serviços disponíveis no datacenter para suportar, sem perda de performance, o funcionamento de no mínimo (quarenta mil) equipamentos A contratada deverá zelar para que todos os equipamentos e serviços por ela fornecidos, destinados à execução dos serviços disponíveis no datacenter, mantenham uma média semanal de uso de cada recurso computacional (CPU, uso de espaço em disco, memória RAM e rede) que não ultrapasse 70%, aferidos em dias úteis, no período de 14:00 às 18:00, com intervalos máximos de 5 (cinco) minutos Durante a vigência do contrato, toda vez que qualquer das médias calculadas acima ultrapassar 70%, por duas semanas seguidas, aferidos por software específico de gerência previamente homologado pelo contratante, a contratada deverá proceder às atualizações de hardware/software que se fizerem necessárias para retornar ao limite estabelecido de 70%, em um prazo máximo de 5 (cinco) dias corridos Os limites de performance definidos acima deverão ser seguidos para cada equipamento que compõe cada serviço, ou seja, em caso de falha de um equipamento, o outro deverá assumir o serviço sem que os limites sejam extrapolados As atualizações/correções necessárias à adequação destes equipamentos, que implicarem em modificações nas configurações ou funcionalidades dos serviços, deverão ser previamente discutidas e acordadas com o contratante A contratada deverá manter on-line, por no mínimo 12 semanas, e encaminhar mensalmente ao contratante, em mídia removível, logs e eventuais arquivos de dados, de TODOS os equipamentos e serviços que compõem o datacenter, a contar de sua ativação Para se evitar possíveis pontos de falhas, o datacenter não poderá ser conectado à porta de comunicação com a rede Internet por intermédio de linhas de comunicação, 1

17 devendo ser hospedado nas mesmas dependências físicas onde a contratada mantém a sua infraestrutura de conexão com a rede Internet Durante toda a vigência do contrato, a contratada deverá manter quadro técnico com nível de capacitação e quantidade adequada para garantir o bom funcionamento e a constante atualização dos equipamentos e softwares que compõem o datacenter Durante a vigência contratual, poderá o contratante solicitar informações da contratada que comprovem a adequação da quantidade e da qualificação dos técnicos que atuam na prestação dos serviços em operação no datacenter. Com base nessas informações e/ou em eventuais ocorrências que demonstrem que os serviços não estão sendo prestados a contento, o contratante exigirá a imediata regularização de quaisquer desconformidades observadas, de modo que sejam preservados e mantidos os níveis de serviço contratados A contratada deverá permitir o acesso previamente agendado de técnicos do contratante ao ambiente do datacenter A contratada deverá responder por danos de qualquer natureza causados em decorrência de ataques externos à rede interna do contratante, que venham a sobrepujar os preceitos de segurança implantados no datacenter (firewalls, detecção e prevenção de intrusão, etc). Contudo, para que seja imputada qualquer culpa à contratada, deverá estar comprovado que a invasão foi ocasionada por: Ação negligente, imprudente ou mesmo displicente, quanto a observância de recomendações de atualização dos softwares/equipamentos; Não implementação de regras, filtros e normas recomendadas ou previamente acordadas com o contratante Para efeito de eximir-se de responsabilizações futuras, a contratada deverá levar formalmente ao conhecimento do contratante as situações de desconformidade por ela identificadas, ou decorrentes de implementações de regras ou serviços solicitados pelo contratante que, de qualquer forma, venham a tornar o acervo de informações do contratante suscetível a ataques externos ou a acessos não autorizados À exceção dos equipamentos utilizados para os serviços de firewall externo, firewall interno, detecção e prevenção de intrusão externo e detecção e prevenção de intrusão interno, conformação de tráfego e filtragem de conteúdo web e caching, todos os demais servidores destinados à implementação dos serviços definidos no datacenter deverão possuir as seguintes características: 1

18 Sistema Operacional: Executar sob o sistema operacional Linux cuja distribuição seja aderente ao padrão LSB (Linux Standard Base). Qualquer distribuição Linux utilizada deverá, obrigatoriamente, ter a sua organização baseada em pacotes de instalação do tipo RPM (Redhat Package Manager) Interpretadores: Executar scripts desenvolvidos nas seguintes linguagens: gawk, PERL ( PHP ( PIKE ( e Python ( Após a assinatura do contrato, o contratante irá definir as versões que deverão ser instaladas nos equipamentos Filtros Locais: Possuir filtros locais que também implementem requisitos de segurança baseados no próprio servidor na forma de bastion hosts. Após a assinatura do contrato o contratante definirá, em conjunto com a contratada, o conjunto de softwares e regras de filtragem, que será implementado em cada equipamento Integridade: Executar procedimentos periódicos de controle da integridade dos arquivos Sistema de Arquivos: Ter suas partições de dados nos discos rígidos formatadas com base em sistema de arquivos que o contratante definirá em conjunto com a contratada, após a assinatura do contrato SSH: Ter cadastrada uma ou mais contas de usuário (a serem definidas pelo contratante), que poderão obter acesso à linha de comando do serviço SSH, exclusivamente, a partir de uma estação da rede interna do contratante. A autenticação destes usuários dar-se-á por intermédio de troca de chaves, segundo o padrão SSH v2. Os direitos de acesso, leitura, gravação e execução destes usuários serão controlados por ACL s (Access Control Lists), a serem definidas pelo contratante após a assinatura do contrato, sem nenhum tipo ou forma de restrição de acesso às configurações, logs e comandos do sistema operacional do equipamento Os usuários serão definidos pelo contratante em documento formal, o qual constará nome, matricula, sugestão de login e autorizações de acesso dos servidores. Fica vedado a contratada definir politicas diferentes das solicitadas assim como solicitar informações diferentes das fornecidas pelo contratante Restauração de Serviço: Deverão possuir rotinas de restauração de discos rígidos, tipo quickrestore ou similar, que permitam uma rápida normalização dos serviços. 1

19 Figura 2: Estrutura Lógica do Datacenter Serviços Iniciais do Datacenter Firewall Externo 1

20 Dentro da infraestrutura do datacenter, o serviço de firewall externo deve ser implementado como sendo o único elo entre o datacenter, a Internet e a rede de equipamentos que implementa os demais serviços disponíveis no datacenter O serviço de firewall deverá ser implementado sobre uma infraestrutura de hardware e software, dedicada exclusivamente para esta finalidade. O hardware empregado deverá ser do tipo appliance, específico para operar softwares de firewall. O software de firewall empregado deverá corresponder a uma solução de notória eficácia já em uso no mercado nacional Os equipamentos que atenderão ao serviço de firewall deverão ser estruturados em cluster, de forma redundante, permitindo balanceamento de carga e failover completo na ocorrência de falhas, suportando modo de operação ativo-ativo e ativopassivo. Um nó deverá suportar sozinho todos os requisitos de performance solicitados neste projeto A tecnologia empregada deverá ser do tipo statefull packet inspection, e compatível com os protocolos HSRP ou VRRP (RFC 2338), de maneira que todos os integrantes do cluster consigam manter informações sobre os demais participantes, evitando que servidores e demais estações de trabalho conectadas à rede do contratante sejam obrigadas a restabelecer as suas conexões quando houver um failover de firewall Os equipamentos que atenderão ao serviço de firewall deverão ainda atender às seguintes exigências, sem necessidade de aquisição de novos módulos por parte do contratante: Possibilitar a implementação de uma política de segurança orientada ao usuário, onde a filtragem de pacotes possa ser feita por meio da análise do endereço de origem, endereço de destino, serviço (TCP, UDP, ICMP, etc.) e autenticação de usuário, independentemente do seu IP de origem; possibilitar a implementação de limitação de banda por classe de serviço (rate limiting); possibilitar a implementação de Zonas Desmilitarizadas Externa (DMZ Externa); possibilitar a implementação de VPN site-to-site, com suporte a um mínimo de 100 conexões licenciadas. Suportando no mínimo os protocolos ipsec, pptp, l2tp, pptp over ipsec e l2tp over ipsec Deverá armazenar localmente os logs por no mínimo 24 horas, permitindo consulta on-line em tempo real. 2