Dúvida de Fornecedor 1 / 13

Transcrição

1 1 Dúvida: Quanto ao subitem A solução deverá dispor de proteção contra tentativas de autenticação por meio de sistemas robôs e/ou métodos de força bruta em todas as requisições de autenticação. Exemplo: Painel de autosserviço, captive portal, via 802.1x (suplicante), na integração com AD/Kerberos e acesso a REST API e etc. Para o método via 802.1x (suplicante), o dispositivo apresenta as credenciais (usuário/senha) sem qualquer outra forma de validação à legitimidade desse acesso. Entendemos assim que podemos considerar o uso de certificado digital (TLS) para a proteção contra sistemas de robôs ou força bruta para o método 802.1x. Está correto o nosso entendimento? 2 Dúvida: Quanto ao subitem A solução deverá dispor de proteção contra tentativas de autenticação por meio de sistemas robôs e/ou métodos de força bruta em todas as requisições de autenticação. Exemplo: Painel de autosserviço, captive portal, via 802.1x (suplicante), na integração com AD/Kerberos e acesso a REST API e etc. Entendemos que, para a proteção contra tentativas de autenticação por meio de sistemas robôs e/ou métodos de força bruta nas requisições de autenticação via 802.1x (suplicante), podemos considerar o uso de duplo fator de autenticação. Está correto o nosso entendimento? 3 Dúvida: Quanto ao subitem A construção do perfil deve permitir a combinação de no mínimo: IP de origem e destino; Portas TCP e UDP; Grupos no Domínio do AD; Considerando que a solução de NAC a ser ofertada permitirá a definição de que regra aplicar ao dispositivo ou usuário e, que caberá ao elemento de rede envolvido no tráfego desse usuário o bloqueio através de ACL ou outro método similar para a contenção através de IP de origem e destino e/ou portas TCP ou UDP, solicitamos a retirada do item para não cercear a competitividade. 1 / 13

2 4 Dúvida: Quanto ao subitem A contratação de subscription será de 5 anos. Entendemos que o Banco do Brasil deseja receber uma oferta e proposta econômica de solução com licenciamento permanente e manutenção para 5 anos, e ainda, que a solução de NAC deverá permanecer funcional e sem interrupção de funcionalidades dos serviços, incluindo a geração de relatórios, certificados digitais e dentre outras, conforme solicitado no subitem Está correto nosso entendimento? Esclarecimento: No documento não está sendo solicitado que a solução realize a geração de certificado digital. Atentar para o item Com relação a interrupção do serviço, a solução não pode perder nenhuma funcionalidade após o encerramento do contrato, mesmo que essa funcione com atualizações. 5 Dúvida: Quanto ao item 2.20 Capacidade e desempenho e seus subitens, entendemos que o licenciamento e proposta deverão ser apresentados de forma fracionada conforme a especificação deste item 2.20? Está correto nosso entendimento? Favor esclarecer, pois no objeto está exigido que deverão ser licenças e ainda o item que confirma que a licença será contabilizada por dispositivo. Esclarecimento: Deve-se considerar o total de licenças e toda a infraestrutura (servidores, centralizador) para suportar essa quantidade de licenças. O banco caso solicite as licenças, serão realizadas por meios de lotes de Para efeito de precificação e dataamento cada servidor deverá suportar no mínimo 5000 dispositivos. Atentar para o item 2.9 e seus subitens. 6 Dúvida: Quanto ao item A licença será contabilizada por dispositivo independentemente do modo de acesso. Exemplo: Guest, Suplicante 802.1x, MAC e etc Entendemos que deverá ser apresentada proposta para o total de dispositivos não diferenciando nenhuma funcionalidade e quantitativo. Está correto nosso entendimento? Esclarecimento: O banco não espera ter uma quantidade fixa entre os diferentes tipos de dispositivos/usuários. 7 Dúvida: Quanto ao subitem Android 4.4 ou superior e também o subitem IOS 7.0 ou superior, e Windows Phone 8.1 ou superior do item 2.15 Postura e Análise de comportamento, entendemos que para a verificação de dispositivos móveis conforme mencionados, deve ser possível sua avaliação de postura e avaliação de comportamento através da integração de plataforma de MDM conforme mencionado no subitem Está correto nosso entendimento? 2 / 13

3 8 Dúvida: Quanto ao subitem Deve aplicar diferentes páginas de acordo com a característica do dispositivo e usuário. Exemplo: Página de MAC OS com um tipo especifico de usuário deve ter um tipo de página. Dispositivo Windows deve ter outra página. Entendemos que as páginas do portal de autosserviço podem ser adaptáveis com outras técnicas de NAC, como por exemplo, alteração da VLAN do usuário de dispositivos MacOs em desconformidade, ou seja, colocando esses dispositivos na rede de quarentena para MacOS e outra VLAN para dispositivos Windows, cada VLAN redirecionando o usuário a um portal especifico. Está correto nosso entendimento? 9 Dúvida: Sobre o item A solução deve se integrar com no mínimo o seguinte SIEM: IBM QRadar. Exemplo: Caso o IBM QRadar detecte um comportamento suspeito daquele dispositivo a solução de NAC deve receber esse aviso e colocar o dispositivo em uma rede de isolamento.. Entendemos que para atender a este item poderemos realizar a integração descrita através de syslog, uma vez que se definam as mensagens geradas para cada evento. Está correto o nosso entendimento? Esclarecimento: A integração da solução com o Qradar, poderá ser realizado via syslog, no entanto deverá haver uma outra forma de integração conforme item 2.19 e seus subitens. 10 Dúvida: Sobre o item A solução deve se integrar com no mínimo os seguintes Gerenciadores de Inventário: IBM BigFix e Microsoft System Center. Exemplo: Um usuário que tenha alterado alguma configuração de hardware (detectada via gerenciador de inventário) deve se integrar com a solução da NAC para tomar uma ação definida por política.. 3 / 13

4 Entendemos que a ação será gerada a partir de mensagens específicas de syslog, geradas por estas plataformas (IBM BigFix e Microsoft System Center) a serem definidas pelo Banco do Brasil. Está correto nosso entendimento? Esclarecimento: As integrações entre os componentes poderão ocorrer por meio de mensagens syslog. 11 Dúvida: Sobre o item Não deve ter restrição quanto às combinações possíveis entre os meios de autenticação/autorização/identificação/postura. Exemplo: Um dispositivo X tem 10s para autenticar via 802.1x, após esse período oferecer Captive portal.. Entendemos que esta funcionalidade (timeout de 10s para 802.1x) é uma funcionalidade do switch de acesso, sendo que a plataforma de NAC ofertada deve apenas permitir as diferentes solicitações de autenticação, independentemente da ordem recebida. Está correto nosso entendimento? 12 Dúvida: Quanto ao subitem A solução deve possuir mecanismo de detecção de comportamento de dispositivo com e sem uso de software (agente). Solicitamos a alteração do texto do item para A solução deve possuir mecanismo de detecção de comportamento de dispositivo com ou sem uso de software (agente), nossa sugestão. 13 Dúvida: Quanto ao subitem A detecção sem uso de software especializado deve analisar o comportamento utilizando no mínimo as técnicas elencadas no item Exemplo: Uma estação Windows não pode executar determinada aplicação. Solicitamos a retirada deste item por ser restritivo, quando sem o uso de software especializado e associado ao subitem / 13

5 14 Dúvida: Quanto ao subitem Receber eventos SNMP em TCP e UDP, solicitamos que o subitem seja alterado para Receber eventos SNMP em TCP ou UDP. 15 Dúvida: Quanto ao subitem Implementar CoA (Change of Authorization), FailOpen, MultiAuth e MultiHost presentes na IEEE 802.1X, Entendemos que houve um equivoco neste item pois as funções FailOpen, MultiAuth e MultiHost são características dos elementos de rede onde o NAC irá atuar. Por isso solicitamos a alteração do item para: Implementar CoA (Change of Authorization). 16 Dúvida: Quanto aos itens Detectar, identificar, avaliar e validar configurações e políticas antes de permitir sua aplicação na solução de controle de acesso, incluindo: Erros ou inconsistências de configurações Erros e inconsistências de políticas.. Entendemos que a simulação prévia destas politicas, apresentando os resultados atenderia a este item. Está correto nosso entendimento? Esclarecimento: Sim, desde que apresentem os erros ou inconsistências de configuração ou políticas antes da aplicação. 17 Dúvida: Quanto ao item Quantidade mínima de autenticações por segundo com PAP e LDAP: / 13

6 Entendemos que essas quantidades não são coerentes com o quantitativo de licenças de um servidor. Como exemplo, em 3 segundos se alcançaria a capacidade máxima de de cada servidor. Desta forma, entendemos que este número não reflete a realidade, sendo que um número de até 150 já permitiria a autenticação da capacidade máxima em 34 segundos. A mesma lógica se aplica para os itens , e Está correto nosso entendimento? 18 Sugestão: Sugerimos que a solução de NAC deva suportar banco de dados SQL como base de dados para autenticação de usuários; Como exemplo de um caso de uso de validação/autenticação do usuário visitante numa dependência do BB ser validado numa base de cadastro de visita em catracas que utilizam base de dados SQL, por exemplo. Esclarecimento: A sugestão será avaliada para a versão do edital. 19 Sugestão: Sugerimos acrescentar um item na solução de NAC para que ela deva suportar o cadastro em múltiplos domínios, de pelo menos 3 (três) domínios diferentes de Microsoft ActiveDirectory para serem usados como base de autenticação de usuários. Entendendo a dimensão da estrutura de usuários do BB. Esclarecimento: A sugestão será avaliada para a versão do edital. 20 Sugestão: Sugerimos que a solução de NAC deva suportar a autenticação de usuários baseado em uma lista sequencial hierárquica de base de dados, por exemplo: Microsoft ActiveDirectory, LDAP e por último SQL, para um mesmo tipo de serviço de autenticação. Esclarecimento: A sugestão será avaliada para a versão do edital. 6 / 13

7 21 Sugestão: Sugerimos que a solução de NAC no subsistema de portal de guest deva suportar a customização do formulário de auto cadastro de usuários visitantes, onde este formulário deve permitir pelo menos a solicitação de número de telefone, e CPF, validando o dígito do CPF. Esclarecimento: A sugestão será avaliada para a versão do edital. 22 Sugestão: Sugerimos que a solução de NAC possua a funcionalidade de servidor TACACS+ integrado para autenticação, autorização, e contabilidade para acessos à todos os elementos de rede da solução de NAC, com suporte a autorização de comandos; Esclarecimento: A sugestão será avaliada para a versão do edital. 23 Dúvida: Com relação ao item , a integração com switches de outros fabricantes depende das funcionalidades implementadas pelo equipamento e não da ferramenta de NAC em si. Desta forma, embora a ferramenta de NAC suporte uma série de equipamentos de outros fabricantes, a integração não ocorre com todos os modelos. Desta forma, solicitamos a revisão do item de forma que especifique funções específicas a serem suportadas e/ou modelos específicos. Esclarecimento: As integrações solicitadas são inerentes ao suporte do switch, no que tange SNMP e 802.1x. Se houver algum caso que o switch não suporte determinada funcionalidade, não será solicitado que a solução de NAC suporte. 24 Dúvida: Com relação ao item , solicitamos esclarecer o entendimento em relação ao funcionamento sem interrupção do serviço ao fim da subscrição. Nossa ferramenta de NAC trabalha com um licenciamento perpétuo para as funções básicas, tais como autenticação 802.1x, mas requer uma subscrição para funcionalidades avançadas como postura e profilling. Desta forma, entendemos que a interrupção do serviço trata apenas das funcionalidades de autenticação. Está correto o entendimento? Esclarecimento: Ao final do contrato a solução poderá deixar de receber as atualizações, no entanto até a última atualização, mesmo com o contrato vencido, a solução não deverá sofrer nenhum tipo de interrupção dos serviços já apresentados até esse vencimento. 25 Dúvida: Com relação ao item , solicitamos esclarecimento adicionais com relação requisito e com relação ao detalhamento das aplicações corporativas. A ferramenta de NAC deve suportar na console de gerenciamento um portal para todas as aplicações corporativas que suportem autenticação de forma integrada com a base de usuários LDAP do Banco? De que forma e com qual finalidade se requer este portal para as aplicações do banco? 7 / 13

8 Esclarecimento: No que tange todas as aplicações corporativas entenda-se aplicações inerentes à solução de NAC. O texto deverá ser reescrito para o edital para melhor entendimento. 26 Dúvida: Com relação aos itens e , solicitamos a retirada destes itens pois nossa ferramenta de NAC não suporta estes sistemas operacionais. As versões de Linux suportadas por ela são RHEL e Ubuntu. 27 Dúvida: Com relação ao item 2.18 e subitens, solicitamos esclarecimentos adicionais com relação às funcionalidades que devem ser suportadas na integração com a ferramenta de NAC. Especificamente para firewall Fortinet (item ) e IBM BigFix (item ), embora exista integração (pois tais soluções suportam protocolos padrão como Radius), existem restrições dependendo do nível de integração requerido. Esclarecimento: As integrações estão exemplificadas nos respectivos itens. No caso dos firewalls a solução de NAC deve fornecer a informação do usuário autenticado para aplicações de regras de firewall. O texto deverá ser reescrito no edital para melhor entendimento 28 Dúvida: Com relação ao item , entendemos que a proteção contra ataques de autenticação (força bruta / robôs) é um requisito que deve ser atendido pelo conjunto dispositivo de acesso à rede (NAD) + solução de NAC + base de identidade. Algumas funcionalidades, tais como a limitação de taxa de autenticação (rate-limiting) são implementadas nos equipamentos de rede e a desabilitação de contas de usuários após n tentativas de autenticação com falha são realizadas na base de identidade. A ferramenta de NAC costuma suportar a função de quarentena de determinado endpoint por período de tempo em que não aceitará mais conexões daquele dispositivo. Entendemos que tal funcionalidade na ferramenta NAC é suficiente para o atendimento ao item, correto? Esclarecimento: Esse item será removido do edital. 8 / 13

9 29 Dúvida: Com relação ao item 2.15 e subitens, como diversas funcionalidades de postura dependem do uso de agentes de software instalados nos dispositivos e que, geralmente, tais funcionalidades são utilizadas em apenas uma parte do total de usuários suportados pela solução, solicitamos esclarecer a quantidade de agentes de softwares devem ser fornecidos em conjunto com a solução de NAC. Esclarecimento: O banco não espera ter uma quantidade fixa entre os diferentes tipos de dispositivos/usuários. 30 Dúvida: Com relação ao item e subitens, solicitamos esclarecer se os sistemas operacionais elencados tratam da compatibilidade da solução de NAC ou do agente de software. A solução de NAC, por abranger diferentes tipos de funcionalidades, possui suporte a uma maior quantidade de sistemas operacionais inclusive de aparelhos móveis enquanto o software agente suporta primordialmente sistemas operacionais do tipo desktop, uma vez que costuma trabalhar com sistemas do tipo MDM/EEM para as funções de postura em dispositivos móveis. Esclarecimento: O texto 31 Dúvida: Com relação ao item , solicitamos esclarecimentos com relação ao requisito de modo temporário. Uma vez que as funções de postura requerem uma série de acessos com privilégio no sistema operacional instalado, os agentes costumam requerer uma instalação completa, sendo esta a única forma suportada. Esclarecimento: O texto 32 Dúvida: Item Oferecemos OCSP como alternativa aos protocolos solicitados. Considerando que todos fazem a mesma função, entendemos que OCSP poderia ser aceito como alternativa aos protocolos propostos. Está correto nosso entendimento? 33 Dúvida: Em caso de um sistema onde as licenças são impostas apenas por termos contratuais, entendemos que não há necessidade de uma ferramenta de gestão de licenças. Neste sentido, exigir um gerenciador de licenças centralizado seria desnecessário. Está correto este entendimento? 9 / 13

10 34 Dúvida: Há cenários onde há validação de erros e há cenários onde há validação de inconsistência. Assim, entendemos que o texto ideal diria erros e/ou inconsistências. Está correto nosso entendimento? 35 Dúvida: Há cenários onde há validação de erros e há cenários onde há validação de inconsistência. Assim, entendemos que o texto ideal diria erros e/ou inconsistências. Está correto nosso entendimento? 36 Dúvida: Considerando-se que o padrão do SNMP é utilizar UDP e que a maioria dos equipamentos só envia SNMP por UDP, seria possível redigir o item considerando-se aceito UDP ou TCP? 37 Dúvida: Considerando-se que algumas plataformas de NAC validam o usuário baseado na autenticação que este fez contra o Windows, e não baseado na própria requisição ou nas credenciais do usuário, este item poderia ser redigido mencionando Windows AD e/ou Kerberos? 10 / 13

11 38 Dúvida: Considerando-se a extensa lista de padrões e protocolos listados, o texto do documento poderia ser redigido solicitando que, no mínimo, três dos métodos abaixo sejam suportados. Isto daria ao banco ampla opção de autenticação e permitiria que cada tecnologia funcionasse com os métodos que melhor lhes convenha. Isto atende aos requisitos do banco? 39 Dúvida: Considerando-se que algumas soluções de NAC não participam ativamente do processo de autenticação e que validam o usuário baseado em outros critérios, o texto poderia ser redigido exigindo as funcionalidades do item apenas para soluções que participam ativamente da autenticação? O texto sugerido seria Em a solução sendo a responsável pelas atividades de autenticação, deverá dispor de proteção... Esclarecimento: Esse item será removido do edital. 40 Dúvida: , , Entendemos que para uma análise mais profunda, além dos itens relacionados em em dispositivos móveis, poderemos contar com a solução de MDM do banco como agente. OU removemos os itens de Móveis como necessidade para análise mais profunda. Qual o objetivo do banco? 41 Dúvida: Estes usuários especiais são integrados ao AD, então não se cria se mapeia a grupos do AD que tem o poder de gestão de visitantes. O texto pode ser alterado para refletir/permitir este tipo de integração? 42 Dúvida: O portal de compliance apresenta os problemas encontrados no dispositivo e pode redirecionar o usuário a uma outra página, em outro servidor WEB externo à solução de NAC, onde há um FAQ para resolver os problemas. Como a solução de compliance é automática, isto só é necessário quando não foi possível fazer consertos de maneira transparente ao usuário, sem impactá-lo e sem incomodá-lo. Neste sentido, este item poderia ser reescrito permitindo que quando o usuário Não passe em um 11 / 13

12 teste de compliance ele seja redirecionado para uma URL específica de resolução do item que falhou. Isto atende aos requisitos do banco? 43 Dúvida: O portal é customizado ao sistema operacional e aos testes que foram aplicados, mostrando o resultado de cada um. Como os testes são específicos, a página será voltada para o OS e a situação daquele dispositivo. Este item é atendido desta maneira? Não há customização visual da página para cada tipo de dispositivo (HTML/CSS/etc). 44 Dúvida: Há dois portais. Um é de autenticação. O outro é de validação de postura. O de validação de postura não possui autenticação, mas não é necessário porque o usuário já foi identificado e o portal pode simplesmente não ser apresentado para usuários de determinados grupos/nomes/características. Neste sentido entendemos que os requisitos do banco serão atendidos. O texto poderia dizer O portal pode ser apresentado apenas para determinados usuários ou características do dispositivo, que sugere que o usuário é conhecido pela plataforma nas não exige autenticação explicitamente. É aceita esta visão? 45 Dúvida: Usuários de gestão de visitantes gerenciam todos os visitantes. Este item pode ser retirado? 12 / 13

13 46 Dúvida: Em soluções que não identificam o usuário através de autenticação este item é válido mas não através do exemplo citado. Por exemplo, pode-se identificar o usuário por 802.1x ou pelo portal Cativo ou pelo usuário que está logado no Windows (via WMI). Mas não há timeout para passar de um ao outro. O texto pode ser redigido de maneira que não tenha o exemplo citado? 47 Dúvida: Há integrações com estes firewalls para obtenção de informação (visibilidade). Para manipulação de regras, a maneira hoje implementada é a troca do usuário de VLAN, que acarretará em o usuário cehgar ao firewall por outra interface com outro conjunto de regras. É suficiente esta integração? Esclarecimento: As integrações estão exemplificadas nos respectivos itens. No caso dos firewalls a solução de NAC deve fornecer a informação do usuário autenticado para aplicações de regras de firewall. O texto deverá ser reescrito no edital para melhor entendimento 48 Dúvida: , , , Estas funções são específicas para ambientes baseados em 802.1x e não se aplicam à solução da ForeScout. Estes itens podem ser retirados? 49 Dúvida: Adicionar o OCSP como alternativa HTTP, LDAP ou OCSP. (Ou remover o item, que está redundante com 2.8.9) 13 / 13