ATA DE REUNIÃO CONSULTA PÚBLICA PARA AQUISIÇÃO DE SOLUÇÃO DE FIREWALL DE BANCO DE DADOS, PARA OS CENTROS DE PROCESSAMENTO DA DATAPREV, NO RIO DE JANEIRO, SÃO PAULO E DISTRITO FEDERAL Local: Dataprev SAS S Quadra 01, Blocos E Brasília / Distrito Federal - 14:30 horas. Consolidação das respostas da Dataprev aos questionamentos e sugestões relacionadas ao processo para aquisição de solução de Firewall de Banco de Dados, para os centros de processamento da Dataprev, no Rio de Janeiro, São Paulo e Distrito Federal Ressaltamos que o objetivo da presente consulta é o aprimoramento e refinamento da especificação técnica, buscando afastar eventuais inconsistências, bem como exigências incompatíveis com o objeto em questão. A Dataprev se reserva o direito de, independente das respostas ou argumentos apresentados e motivada por razões de natureza técnica ou estratégica, alterar as especificações técnicas objeto desta consulta por ocasião da instauração do correspondente certame licitatório. 1. CRONOGRAMA 1) Recebimento de eventuais questionamentos e/ou solicitações de esclarecimentos Até 14/04/2009 às 18:00 horas; 2) Reunião com os interessados para esclarecimentos e divulgação do posicionamento da Dataprev ante eventuais sugestões e/ou questionamentos apresentados 16/04/2009; Local: Dataprev SAS Quadra 01, Blocos E Brasília / Distrito Federal - 14:30 horas. 3) Divulgação no site www.dataprev.gov.br da ata da reunião da Consulta Pública e da versão revisada do Termo de Referência disponibilizado, considerando eventuais ajustes decorrentes do processo de consulta pública 22/04/2009; 4) Encaminhamento das Propostas contendo as respectivas Estimativas de Preços em conformidade com as Especificações Técnicas e Termos de Referência, eventualmente ajustados em decorrência de eventuais questionamentos e/ou solicitações de esclarecimentos apresentados Até 24/04/2009. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 1
CONSULTA PÚBLICA CONSULTA PÚBLICA PARA AQUISIÇÃO DE SOLUÇÃO DE FIREWALL DE BANCO DE DADOS, PARA OS CENTROS DE PROCESSAMENTO DA DATAPREV, NO RIO DE JANEIRO, SÃO PAULO E DISTRITO FEDERAL. NOME ASSINATURA EMPRESA Armando Barcellos Jr. Humberto Degrazia Campedelli Joel Jurandir Ferrera Corrêa Dataprev NOME ASSINATURA EMPRESA Rogério Meira Octávio de Freitas Cesar de Afonseca e Silva Neto Carlos Tadeu Barreto Leonardo Couto Rodrigues Ivã Rafael Cielo Rubens Massini Oracle do Brasil Sistemas Leadcomm Performance and Security True Access B2BR Business to Business Mahvla Telecomm CGAD/COAR - Consulta Pública Firewall de Banco de Dados 2
CONSULTA PÚBLICA I ESCLARECIMENTOS / QUESTIONAMENTOS ORACLE DO BRASIL SISTEMAS LTDA A seguir estão os comentários acerca dos itens descritos no Termo de Referência acima citado. Os termos originais do documento estão em negrito, os comentários acerca de cada assunto estão nos sub itens. 1) Solução baseada em dispositivos, com as seguintes características A solução da Oracle é baseada em software que realiza coleta, armazenamento e processamento dos dados de auditoria dos bancos de dados monitorados. Um ponto de atenção para uma solução que seja baseada em dispositivo de rede é que a utilização de criptografia nas camadas superiores (bancos de dados por exemplo) exige a presença de algum componente (processo) sendo executado no servidor onde roda o banco de dados, este componente certamente irá causar algum consumo adicional de processamento no servidor. 2) Monitoração de transações em tempo real, tomando como base políticas de controle implementadas ou detecção de anomalias para identificar atividades suspeitas ou não autorizadas; O Oracle Audit Vault monitora os dados de auditoria recebidos dos agentes coletores verificando a ocorrência de violações nas políticas definidas. A monitoração acontece praticamente em tempo real, uma vez que é necessário transmitir os dados de auditoria da fonte para o repositório centralizado. 3) Armazenamento simultâneo de todas as transações em estrutura de logs de auditoria em banco de dados de alta performance para análise e correlação em tempo real, emissão de relatórios de conformidade, auditoria e análise forense; O Oracle Audit Vault armazena todas as informações de auditoria recebidos dos agentes em repositório aberto baseado em banco de dados relacional Oracle, utilizando de forma nativa, as principais funcionalidades de DataWarehouse do SGBD. Relatórios pré-definidos (nativos) e customizáveis podem ser extraídos a partir da console da solução. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 3
Outra possibilidade é utilizar o repositório aberto da solução como fonte de informações para ferramentas de Business Inteligence, permitindo todas as facilidades de busca e consolidação de informações que as ferramentas de BI proporcionam. 4) A arquitetura deve ser não invasiva, baseada em rede, independente do banco de dados; A arquitetura do Oracle Audit Vault é baseada na transmissão de dados de auditoria gerados nos bancos de dados monitorados coletados pelos agentes e enviados ao repositório central. Existem agentes específicos para os bancos de dados suportados, bem como para versões futuras a previsão de um conjunto de bibliotecas que permitirá a criação de agentes específicos para bancos de dados que não disponham de um agente específico. Este formato de coleta de dados de auditoria permite geração de dados de auditoria de forma mais acurada e precisa, permitindo ainda a remoção automatizada dos dados já enviados ao repositório central. 5) Deve prover visibilidade em todas as transações de banco de dados, incluindo DBL, DML, Selects, DCL, Stored rocedures, exceções de segurança, valores de a dados antes e depois de todas as atividades de usuários privilegiados, incluindo as ações executadas com acesso local no servidor de banco de dados; Destacamos que as soluções baseadas em dispositivos de rede não permitem a coleta dos valores de dados antes e depois, uma vez que capturam as modificações realizadas (depois), mas não os valores anteriores para um comando Update, por exemplo. Outro ponto de atenção é a capacidade de auditar as transações realizadas dentro de uma stored procedure ou function, uma vez que na rede somente serão trafegados a chamada de execução da procedure / function e o resultado de sua execução. O processamento interno da procedure (selects / updates / inserts / deletes etc) não será capturado por um dispositivo conectado à rede. Esta possibilidade de execuções não-auditáveis cria uma vulnerabilidade que pode ser explorada e causar inclusão, remoção e alteração de dados que não serão auditados. 6) Impacto nulo na performance do banco de dados; Na solução Oracle Audit Vault a geração dos dados de auditoria é realizada pelos bancos monitorados, o que irá causar algum impacto na performance dos bancos de dados. Para os ambientes Oracle é possível minimizar este impacto, utilizando a funcionalidade Fine Grained Auditing que irá gerar auditoria de forma mais refinada, onde somente eventos específicos irão gerar dados de auditoria, esta funcionalidade permite checar inclusive o valor utilizado em determinada coluna, ou mesmo a hora da ocorrência para validar se será ou não gerado informação de auditoria. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 4
7) Independente de logs de transação ou auditoria do banco de dados; O Oracle Audit Vault consolida os dados de auditoria gerados nos bancos de dados monitorados, esta arquitetura permite a monitoração de todos as transações ocorridos nos bancos de dados, bem como o registro dos valores antes e depois das transações, conforme requisito apresentado em item anterior. 8) Arquitetura com vários coletores, possibilitando a concentração em coletor central para agregação dos dados e normalização dos dados de auditoria; O Oracle Audit Vault atende às necessidades apresentadas, disponibilizando agentes específicos para as fontes de dados de auditoria. 9) Gerenciamento centralizado das políticas de segurança por meio de console WEB; 10) Suporte aos bancos de dados Oracle, SQL Server, MySQL, PostgreSQL O Oracle Audit Vault dispõe de agentes para bancos Oracle a partir da versão 9ir2, MSSQL Server, para os bancos freeware será possível o desenvolvimento customizado de agentes através de bibliotecas (SDKs) que serão disponibilizadas em versões futuras do produto. 11) Relatórios de trilhas de todas as auditorias do banco de dados, incluindo, quem, o que, quando, onde e como; Destacamos que aplicações de arquitetura em três camadas onde o servidor de aplicações conecta-se ao banco de dados através de pool de conexões, normalmente utiliza-se usuário único para criação do pool, neste caso é necessário a utilização de tecnologia de bancos de dados para a propagação da identidade do usuário através do pool de conexões feitas com usuário único. Isto ocasiona que somente o banco tenha capacidade de associar as transações realizadas ao usuário final (real), uma vez que a associação do usuário real àquela sessão é realizada uma única vez, no momento da criação da sessão, e os comandos e transações subseqüentes não estarão associadas ao referido usuário final. 12) Aplicação de regras de auditoria para colunas específicas, objetos, banco de dados, instâncias; 13) Coleta de informações quanto aos acesso a dados, exceções, violações de política e envio de alertas; 14) Capacidade de throughput minima de 2Gbps; Como o Oracle Audit Vault é uma solução de software, a capacidade de throughput do ambiente estará dependente do hardware onde será executado a solução. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 5
15) Capacidade de armazenamento de 500 GB de logs; Por se tratar de uma solução de software, a capacidade de armazenamento estará dependente do hardware, não havendo limitação de capacidade por parte da solução. 16) Conjunto de relatórios e políticas pré-configurados; 5. Outros Pontos de Atenção Adicionalmente ao que foi comentado acima e ainda dentro do escopo da solução desejada, apresentamos alguns itens que podem ser considerados na especificação da solução a ser utilizada no ambiente de T.I. da DATAPREV. 1) O banco de dados Oracle não disponibiliza nenhum tipo de biblioteca (API) para comunicação de produtos externos às suas estruturas de memória, isto pode causar que soluções que operem buscando informações nas estruturas de memória dos bancos Oracle podem falhar caso haja alguma alteração em tais estruturas. Da mesma forma não há como a Oracle garantir que tais soluções sejam capazes de coletar todas as informações necessárias. 2) Após a coleta dos dados de auditoria nos bancos de dados que alimentam o repositório, os mesmos registros são apagados da origem, facilitando a administração dos ambientes e garantindo que as informações não possam ser acessadas de maneira indevida na origem, o que representaria uma vulnerabilidade de segurança. 3) O acesso aos dados de auditoria e monitoração no repositório centralizado deve ser permitido somente a usuários devidamente autorizados e detentores de perfis específicos para acesso a tais dados, caso contrário os dados sensíveis de auditoria estarão vulneráveis a acessos indevidos. 4) Destacamos ainda a preocupação com a alta-disponibilidade da solução de monitoração, uma vez que a indisponibilidade da mesma cria possibilidade de que as ações (eventualmente mal-intencionadas) ocorridas durante tal período não sejam devidamente registradas. Em uma solução que utilize um único dispositivo para gerenciamento e armazenamento das informações, este elemento passa a ser um ponto único de falha, e exigirá duplicação do mesmo elemento para que se tenha característica de alta-disponibilidade. 5) Soluções baseadas em software e coleta de registros de auditoria apresentam maior flexibilidade, pois no caso de indisponibilidade do repositório centralizado ou de algum dos bancos de dados de origem, os dados de auditoria não serão perdidos, bastando apenas que sejam novamente enviados ao repositório para seu registro definitivo, não possibilidade de perda de informações e/ou vulnerabilidades. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 6
II QUESTIONAMENTOS REALIZADOS DURANTE A CONSULTA PÚBLICA 1- Os,representantes das empresas Juniper, Mahvla e Leadcomm solicitam a extensão dos prazos do cronograma previsto, considerando a exiguidade dos prazos, de forma a possibilitar a apresentação de maiores detalhes das respectivas soluções. Resposta Dataprev Considerando que o principal objetivo de uma consulta pública é a identificação da solução mais adequada de forma a atender às suas necessidades, a Dataprev informa que publicará em seu site novo cronograma para fechamento da consulta, a partir da presente reuinião. 2- O representante da empresa Oracle registra que a Especificação Técnica não contempla que a solução deva operar em moto ativo, restringindo acessos e ações que violem as regras pré-definidas. 3- O representante da empresa Leadcomm sugere a inclusão na Especificação Técnica de requisitos de segurança para o dispositivo. IV CONSIDERAÇÕES FINAIS A Dataprev informa que providenciará a publicação, em sua página na Internet, da ata da presente reunião, bem como de toda a documentação resultante da análise dos questionamentos e sugestões recebidas, que, a princípio entende como a mais adequada para a instrução do correspondente processo licitatório, sem prejuízo de eventuais novas considerações. Finalmente, agradece a participação de todos, cuja contribuição possibilitou a conclusão dos trabalhos de forma transparente e democrática. CGAD/COAR - Consulta Pública Firewall de Banco de Dados 7