Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. Exposición de la Necesidad
1
a esta incidencia, con fecha 25 de noviembre de 2019 el personal de tecnología brindo
el soporte técnico respectivo y se solvento mencionad incidencia.
Atendiendo a las Normas de Control Interno de la Contraloría General del Estado, así
como las necesidades tecnológicas asociadas a los lineamientos institucionales, la
entidad ha considerado pertinente adquirir una infraestructura hiperconvergente (HCI)
de servidores con plataforma de virtualización y respaldos, considerando que los
servidores disponibles en la actualidad han finalizado su vida útil, por lo cual, no
disponen de las capacidades necesarias y no cuentan con soporte de fabricante
situación que hace necesario solventar la falta de capacidad recursos de hardware
para la garantizar una óptima operación de la plataforma de gestión de
contravenciones detectadas por medios tecnológicos y sistemas afines, considerando
además una proyección de crecimiento en los servicios TI.
2
2. Justificación
Tabla 1 Servidores que conforman la plataforma de gestión de contravenciones detectadas por medios
tecnológica
NÚMERO DE
EQUIPO
MODELO MÁQUINAS
FÍSICO
VIRTUALES
Servidor
POWEREDGE R530 Tres (03)
Dell
Servidor HP PROLIANT DL380 G5 Dos (02)
Servidor
POWEREDGE R410 Ninguna
Dell
CARACTERÍSTICAS HARDWARE
MEMORIA
PROCESADOR DISCO 1 DISCO 2
NOMBRE RAM
UBICACIÓN S.O.
DE SERVIDOR
ASIGNADO DISPONIBLE ASIGNADO DISPONIBLE
(HGZ) CPU's
(GB) (TB) (TB) (TB) (TB)
3
SERVIDOR DATA
WIN SERVER
SOCRIT CENTER 1.6 4 60 1.95 0.37 1.95 1.39
2012
PRODUCCION CGM
SERVIDOR DATA
WIN SERVER
SOCRIT CENTER 1.6 4 16 0.5 0.65 - -
2012
DESARROLLO CGM
DATA
FTP CENTER DEBIAN 1.6 4 16 8 0.114 - -
CGM
DATA
SERVIDOR WIN SERVER
CENTER 1.8 8 6 0.5 0.4 10 3.12
CRI_CGM 2016
CGM
DATA
SERVIDOR WIN SERVER
CENTER 1.8 8 6 0.3 0.021 3.69 3.25
CRI_MATRIZ 2016
CGM
4
cambiando sus requerimientos. La incorporación de nuevos nodos es
automática, lo que permite un crecimiento rápido, balanceo de recursos y
cargas.
Ahorro: Especialmente en las tareas de gestión y soporte, la automatización de
los procesos abarata los costos y reduce la dependencia de equipos de
técnicos especializados en cada uno de los segmentos que se abarcan. Por
otra parte, al incorporar solamente los recursos que se necesitan en cada
momento, desaparece el peligro de sobredimensionar las infraestructuras
tecnológicas.
3. Alcance
4. Objeto de la Contratación
5
5. Objetivo
Objetivo General
Objetivos Específicos
6. Análisis Técnico
El análisis técnico, determina si el proceso técnicamente favorece a la entidad y si lo
que se requiere existe en el mercado.
La Unidad de Tecnología de la Información y Comunicación, con la finalidad de
garantizar el perfecto funcionamiento de la plataforma de gestión de contravenciones
detectadas por medios tecnológicos de la AMT, necesita realizar la adquisición de una
infraestructura de servidores, con plataforma de virtualización y respaldos (appliance
hiperconvergente) con la finalidad de garantizar la integridad de la información. De
igual manera se necesita implementar una solución de seguridad para proteger los
sistemas web de los sistemas de gestión de contravenciones detectadas por medios
tecnológicos. Técnicamente. Las soluciones hiperconvergentes está ganando
terreno, y poco a poco ha ido reemplazando a las soluciones tradicionales de
infraestructura TI, en el caso específico de la AMT, los beneficios técnicos que esta
solución proporcionará, se detallan a continuación:
Eficiencia de datos
Escalabilidad. - Proporcionará un procedimiento de módulos escalable de fácil
crecimiento, es un abordaje escalable y basado en unidades de desarrollo,
6
permitiendo que la TI expanda sus capacidades por medio de la adición de
unidades.
Protección de datos. - En un ambiente hiperconvergente, el backup y la
recuperación de desastres están incluidos. Los dos forman parte de la
infraestructura.
Mejor desempeño
La solución hiperconvergente, permitirá la administración centralizada de
entornos virtuales a través de una única interfaz.
El contratista deberá cumplir con cada uno de los productos esperados que se detallan
a continuación:
SISTEMA HIPERCONVERGENTE - HARDWARE Y HERRAMIENTA DE GESTIÓN
GENERALIDADES
La AMT requiere una solución, compuesta por recursos de cómputo,
almacenamiento, gestión centralizada, herramienta de gestión de hiperconvergencia
de forma integrada homologada y preinstalada de fábrica que aproveche los
componentes locales de cada unidad y cree una plataforma de nube privada
distribuida con capacidad de crecimiento modular en el mismo clúster donde todas
las funcionalidades estén basadas en la herramienta de gestión y no dependan de un
componente de hardware específico para su funcionamiento. La solución debe
entregarse como Appliance.
La herramienta de gestión de hiperconvergencia, debe poder implementarse sobre
diferentes fabricantes de hardware x86.
La herramienta de gestión de hiperconvergencia debe poderse implementar sobre
servidores con procesadores Intel o AMD.
La AMT requiere la renovación de su plataforma tecnológica que permita soportar los
servicios de los usuarios internos y externos, mediante la implementación de una
plataforma de hiperconvergencia.
7
costos indirectos, capacitación impuestos, tasas, y servicios; es decir,
absolutamente todo lo necesario para entregar los bienes a plena satisfacción
de la AMT y listos para su utilización inmediata.
La garantía debe ser del fabricante para procesos de reemplazo y actualización
durante 36 meses. Para los servicios de implementación y mantenimiento preventivo
y correctivo, el contratista debe tener las competencias de ser una empresa
certificada con el fabricante para la distribución e implementación de este tipo de
soluciones de plataforma hiperconvergente.
Los componentes de hardware y herramienta de gestión, deberán ser entregados por
el fabricante de la solución de hiperconvergencia. Permitiendo a la institución tener
un solo punto de contacto para atender las necesidades de soporte.
CARACTERÍSTICAS DE LA SOLUCIÓN DE HIPERCONVERGENCIA
8
El hardware debe contar con un sistema administrador nativo que se integre a
la perfección a los nodos, para ofrecer agilidad definida por la herramienta de
gestión con una interfaz de usuario optimizada, a partir de secuencias de
comandos o desde propias aplicaciones de IT.
El sistema administrador nativo debe permitir completar tareas críticas más
rápido y de forma sencilla y centralizada desde una interfaz gráfica de usuario
(GUI) controlada mediante una consola HTML5.
La solución debe estar compuesta por mínimo 3 nodos
Cada nodo de hiperconvergencia debe tener dos procesadores mínimo Intel
Xeon Silver de 12 cores de 2.2Ghz o superior.
Cada nodo de hiperconvergencia mínimo debe tener 384 GB de memoria
RAM.
Cada nodo de hiperconvergencia mínimo debe tener 2 SSD de 3.84TB
Cada nodo de hiperconvergencia mínimo debe tener (6) seis HDD de 6TB a
7.2K
Cada nodo de hiperconvergencia mínimo debe tener 1 tarjeta de red de 4
puertos, y por cada puerto debe incluir los tranceiver 10Gb SFP+.
Cada nodo de hiperconvergencia mínimo debe tener 1 puerto Ethernet de
mínimo 1GE o superior para tráfico de Administración.
El contratista deberá entregar toda la infraestructura con un rack de 42U.
Incluir todos los accesorios para la instalación del equipamiento con al menos
1 PDUs, sus cables y conectores adecuados para los nodos a instalar.
El clúster de hiperconvergencia como mínimo debe tener la capacidad de
Failover N+1
FUNCIONALIDADES DE LA PLATAFORMA
9
La plataforma hiperconvergente debe estar en capacidad de presentar su
almacenamiento a servidores externos por medio de IP/iSCSI
La plataforma hiperconvergente, debe soportar Windows Guest Failover
Clustering, funcionalidad que permite alta disponibilidad para las aplicaciones
configuradas en clúster en una máquina virtual (Con sistema operativo
Windows Server 2008, Windows Server 2012 R2 o Windows Server 2016),
para que transparentemente realice el failover hacia otra máquina virtual
ubicada en el mismo o en diferente host.
Diferentes configuraciones de CPU (número de cores y diferentes
generaciones de procesador).
Diferente tamaño de memoria RAM
Diferente capacidad de almacenamiento y tipo (hibrido con discos
rotacionales y de estado sólido, como también nodos con almacenamiento
todo de solo estado sólido).
La plataforma hiperconvergente debe permitir agregar nodos, solamente de
capacidad de almacenamiento sin agregar simultáneamente capacidad de
cómputo al clúster.
Réplica a nivel de máquina virtual de forma granular.
Mecanismos de compresión y de duplicación en línea de los datos a ser
replicados.
Replicación bidireccional entre dos centros de datos en el caso de tener un
sitio alterno. Esta actividad se la puede hacer de manera Asíncrona.
Posibilidad de limitar el ancho de banda usada por la replicación desde la
interfaz de administración de la solución hiperconvergente.
Soporte para integrar la solución con el servicio VSS (Volume Shadow Copy
Service) de Microsoft
Replicar máquinas virtuales entre dos hipervisores diferentes convirtiendo la
máquina virtual de un hipervisor a otro de forma automática
La plataforma hiperconvergente debe tener los drivers incluidos para la
integración con OpenStack para mínimo los servicios de nova (cómputo),
glance (imágenes), cinder (volúmenes) y neutron (red), para el hipervisor que
se disponga en producción. Con esto permite la integración con plataformas
abiertas y garantiza su flexibilidad de operación.
El sistema hiperconvergente debe proveer un mecanismo de Snapchat que:
o Haga uso de la técnica Redirect-on-Write para la eficiencia de espacio
o Sea independiente de cualquier funcionalidad de snapshot heredada del
hipervisor.
10
La plataforma hiperconvergente debe incluir la opción de configurar un factor
de replicación 2 o 3 (en los casos que aplique) a nivel de contenedor de
almacenamiento, permitiendo que diferentes factores de replicación puedan
ser activados en el mismo clúster simultáneamente.
La plataforma hiperconvergente debe ofrecer la capacidad de mantener
consistente la replicación de un grupo de volúmenes y/o máquinas virtuales
de tal manera que los snapshot se tomen en el mismo punto en el tiempo. La
detención de la réplica de uno de los volúmenes o máquinas virtuales en el
grupo de consistencia debe detener la réplica de todo el grupo.
La plataforma hiperconvergente debe proveer la capacidad de programar la
toma periódica de snapshots a máquinas virtuales, sin depender de
funcionalidades heredadas del hipervisor.
La plataforma hiperconvergente debe soportar la creación de un disco virtual
cuya capacidad es mayor a la capacidad disponible en el nodo en que reside.
Todas las tecnologías de alta disponibilidad y protección de datos con que
cuente la solución deben estar disponibles para un disco virtual con esta
característica.
11
La plataforma hiperconvergente debe contar como mínimo con las siguientes
certificaciones de seguridad: EAL2 Common Criteria, FIPS 140-2 Compliant,
NIST-SP800-131A, NSA Suite B, Section 508 VPAT y Trade Agreements Act
(TAA compliant).
FUNCIONALIDADES DE ADMINISTRACIÓN
La plataforma hiperconvergente debe entregar el detalle a nivel de disco
virtual, como mínimo las siguientes estadísticas: Latencias de escritura y
lectura, IOPS de escritura y lectura, cantidad de datos leídos de cache,
cantidad de datos leídos de SSD, cantidad de datos leídos de HDD, cantidad
de datos activos (Working Set) y el porcentaje de I/O aleatorio (no
secuencial). Esta información debe estar disponible, sin requerir la instalación
de ningún componente adicional del mismo fabricante o de terceros.
La plataforma hiperconvergente, debe proporcionar un mecanismo de
actualización de la herramienta de gestión de la infraestructura completa del
clúster (servicios de storage, firmware de los nodos, versión de BIOS e
hipervisor) directamente desde la consola web y de forma no disruptiva, es
decir, sin necesidad de reinicio de las máquinas virtuales ni indisponibilidad
del servicio.
La plataforma hiperconvergente, debe soportar integración mediante el uso de
REST API a otra solución de administración para facilitar la integración con
sistemas de monitoreo.
La plataforma hiperconvergente, debe proveer mecanismos para ingresar un
nodo en modo de mantenimiento, modo en el que se debe preservar no sólo
la disponibilidad de los datos sino asegurar la redundancia configurada para
los datos desde el mismo momento en que el nodo queda en modo
mantenimiento. Este comportamiento se debe mantener incluso si el clúster
sólo tiene 3 nodos.
La plataforma hiperconvergente debe incluir una funcionalidad que automática
y periódicamente haga una revisión del estado de salud de todos los
componentes tanto de hardware como de herramienta de gestión del clúster y
entregue un reporte detallado para la resolución de problemas
12
SERVICIO DE MANTENIMIENTO PREVENTIVO
Mantenimiento preventivo durante 3 años, mínimo (2) visitas anuales, a partir de la
entrega a satisfacción de los bienes objeto de esta contratación. El mantenimiento
deberá incluir como mínimo:
Análisis de versiones de IOS y Upgrade de Firmware.
Ejecución de pruebas de alta disponibilidad a nivel lógico.
Análisis de logs.
Colección y revisión de parámetros generales del equipo.
Análisis de tráfico de interfaces
El contratista, deberá entregar un informe técnico luego de cada visita con los
resultados y recomendaciones a seguir.
El mantenimiento preventivo se lo realizará en horarios fuera de oficina o
según como disponga la Institución.
Los implementos usados, así como las horas usadas no deberán tener costo
adicional para la Institución.
13
ESPECIFICACIONES TÉCNICAS
SWITCHES TOR PARA HIPERCONVERGENCIA - SWITCHES TOR
CANTIDAD DE SWITCHES DE COMUNICACIÓN
DOS (02)
MARCA:
Especificar
MODELO:
Especificar
AÑO DE FABRICACIÓN:
Mínimo 2021, nuevos, originales de fábrica, no re-furbished, no re-manufacturados,
en óptimas condiciones de operación, no deben tener anuncio público de fin de vida
útil o anuncio de fin de soporte
PAÍS DE PROCEDENCIA:
Especificar
FACTOR DE FORMA:
De máximo (1) unidad de RACK
GENERALIDADES
El proponente deberá incluir los catálogos o manuales para soportar técnicamente
cada una de las respuestas. Incluir la referencia técnica, número de página, sección,
y párrafo donde se demuestre el cumplimiento de lo solicitado.
El contratista debe realizar los servicios de aprovisionamiento y configuración de
cada uno de los componentes de la plataforma de red, realizar la migración de los
servicios de red, configuración de redes, VLAN y ACL, además de verificar su
operación.
Presentar una arquitectura en alta disponibilidad, delimitar perímetros para
administración y control, direccionamiento IP, VLANs, Listas de Control de Acceso L2
- L3; y provisión de servicios de red, tales como: NTP, DNS y DHCP, es decir, todas
las configuraciones necesarias para entregar los equipos implementados en
ambiente productivo, a entera satisfacción de la entidad y completamente integrados
a la solución de hiperconvergencia ofertada.
Cada Switch debe soportar mínimo: 18 puertos de 1/10/25 GbE y mínimo 4 puertos
de 40/100 GbE. Se debe incluir al menos 7 puertos de 10GB Ethernet SFP+, 2
puertos de 1GB Ethernet RJ45 y 2 puertos de 10GbE RJ45.
Administración mínima: al menos 1 ports: 1 RJ-45
Disponer mínimo de 2 fuentes de poder AC. 100 a 240 VAC.
Throughput mínimo 1.7Tb/s y 1.26 (Bpps)
14
Debe soportar mínimo los siguientes protocolos L2:
Multi Chassis LAG (MLAG)
IGMP V2/V3,
VLAN 802.1Q
802.1W Rapid Spanning Tree
802.1s Multiple STP
PVRST+ (Rapid Per VLAN STP+)
802.3ad Link Aggregation (LAG) & LACP
LLDP
Jumbo Frames
Debe soportar mínimo los siguientes protocolos L3:
BGP4, OSPFv2
PIM-SM & PIM-SSM
BFD (BGP, OSPF, static routes)
VRRP
DHCPv4/v6 Relay
ECMP
IGMPv2/v3
Incluir todos los cables de fibra y patch cords de cobre para la solución.
Los Switch ofertados deben estar validados por el fabricante para trabajar con nodos
hiperconvergentes.
SOPORTE TÉCNICO DE LOS EQUIPOS DE RED
Por el tiempo de garantía de los equipos (3 años), el contratista proporcionará
soporte en modalidad 5x8xNBD, en horario de 8H00 a 17H00 para
necesidades y problemas identificados en la plataforma de hardware por
parte de la AMT que incluirá reemplazo de partes en la modalidad de soporte
establecida.
15
ESPECIFICACIONES TÉCNICAS
SOLUCIÓN SEGURIDAD PERIMETRAL
CANTIDAD DE DISPOSITIVOS
UNO (01)
MARCA Y MODELO
Especificar
GENERALIDAD
Para garantizar que la solución ofertada sea robusta debe aparecer como líder, en el
cuadrante de Gartner de Network Firewall de al menos los últimos 3 años.
AÑO DE FABRICACIÓN:
Mínimo 2021, nuevos, originales de fábrica, no re-furbished, no re-manufacturados,
en óptimas condiciones de operación.
PAÍS DE PROCEDENCIA:
Especificar
CAPACIDAD DEL DISPOSITIVO
Soporte a por lo menos 8 millones de sesiones concurrentes
Soporte a por lo menos 450000 nuevas conexiones por segundo
Throughput de al menos 20 Gbps de VPN IPSec
Estar licenciado para, o soportar sin necesidad de licencia, 2000 túneles de
VPN IPSec site-to-site simultáneos
Estar licenciado para, o soportar sin necesidad de licencia, 50000 túneles de
clientes VPN IPSec simultáneos
Throughput de al menos 7 Gbps de VPN SSL
Soportar al menos 10000 clientes de VPN SSL simultáneos
Soportar al menos 10 Gbps de throughput de IPS
Soportar al menos 8 Gbps de throughput de Inspección SSL
Throughput de al menos 7 Gbps con las siguientes funcionalidades
habilitadas simultáneamente para todas las firmas que la solución de
seguridad tenga debidamente activadas y operativas: control de aplicaciones,
IPS, Antivirus y Antispyware.
Tener al menos 8 interfaces 1 GE RJ45
Tener al menos 8 interfaces 1 GE SFP (Incluir 2 transceivers 1 GE SX)
Tener al menos 2 interfaces 10GE SFP+
Contar con fuente de poder redundante hot swap.
Estar licenciado y/o tener incluido sin costo adicional, al menos 10 sistemas
virtuales lógicos (Contextos) por appliance
Para garantizar el rendimiento de la solución ofertada, ésta debe ser
hardware de propósito específico y diseñado para funcionar como firewall de
nueva generación con aceleración a nivel de hardware. No se aceptarán
16
soluciones sobre servidores genéricos
Incluir herramienta de gestión /licenciamiento/suscripción para los siguientes
servicios durante 3 años:
Soporte directo con fábrica en modalidad 24x7, reemplazo de piezas y partes,
actualizaciones de la herramienta de gestión, Firewall, VPN, Control de
Aplicaciones, IPS, AV, Protección contra Botnets, Filtrado Web y Servicios
Antispam
REQUERIMIENTO MÍNIMO DE FUNCIONALIDAD
La solución debe consistir en una plataforma de protección de Red, basada
en un dispositivo con funcionalidades de Firewall de Próxima Generación
(NGFW), así como consola de gestión y monitoreo.
Por funcionalidades de NGFW se entiende: Reconocimiento de aplicaciones,
prevención de amenazas, identificación de usuarios.
La plataforma debe estar optimizada para análisis de contenido de
aplicaciones en capa 7;
La gestión del equipos debe realizarse a través de una interfaz de
administración Web sobre el mismo dispositivo de protección de la red;
Los dispositivos de protección de red deben soportar 4094 VLANs Tags
802.1q;
Los dispositivos de protección de red deben soportar agregación de enlaces
802.3ad y LACP;
Los dispositivos de protección de red deben soportar Policy based routing y
policy based forwarding;
Los dispositivos de protección de red deben soportar encaminamiento de
multicast (PIM-SM y PIM-DM);
Los dispositivos de protección de red deben soportar DHCP Relay;
Los dispositivos de protección de red deben soportar DHCP Server;
Los dispositivos de protección de red deben soportar Jumbo Frames;
Los dispositivos de protección de red, deben soportar sub-interfaces Ethernet
lógicas;
Debe ser compatible con NAT dinámica (varios-a-1);
Debe ser compatible con NAT dinámica (muchos-a-muchos);
Debe soportar NAT estática (1-a-1);
Debe admitir NAT estática (muchos-a-muchos);
Debe ser compatible con NAT estático bidireccional 1-a-1;
Debe ser compatible con la traducción de puertos (PAT);
Debe ser compatible con NAT Origen;
Debe ser compatible con NAT de destino;
Debe soportar NAT de origen y NAT de destino de forma simultánea;
17
Debe soportar NAT de origen y NAT de destino en la misma política
Debe implementar el protocolo ECMP;
Debe permitir el monitoreo por SNMP de fallas de hardware, uso de recursos
por gran número de sesiones, conexiones por segundo, cantidad de túneles
establecidos en la VPN, CPU, memoria, estado del clúster, ataques y
estadísticas de uso de las interfaces de red;
18
La integración con otros dispositivos debe identificar potenciales
vulnerabilidades y destacar las mejores prácticas que podrían ser usadas
para mejorar la seguridad general y el rendimiento de una red;
Debe existir la opción de un Servicio de Soporte que ofrezca a los clientes un
chequeo de salud periódico con un informe de auditoría de sus appliances
NGFW;
CONTROL POR POLÍTICA DE FIREWALL
Debe soportar controles de zona de seguridad;
Debe contar con políticas de control por puerto y protocolo;
Contar con políticas por aplicación, grupos estáticos de aplicaciones, grupos
dinámicos de aplicaciones (en base a las características y comportamiento de
las aplicaciones) y categorías de aplicaciones;
Control de políticas por usuarios, grupos de usuarios, direcciones IP, redes y
zonas de seguridad;
Firewall debe poder aplicar la inspección UTM (control de aplicaciones y
filtrado web como mínimo) directamente a las políticas de seguridad en vez
de usar perfil obligatoriamente;
Además de las direcciones y servicios de destino, los objetos de servicio de
Internet deben poder agregarse directamente a las políticas de firewall;
CONTROL DE APLICACIONES
Los dispositivos de protección de red deben tener la capacidad de reconocer las
aplicaciones, independientemente del puerto y protocolo;
Debe ser posible liberar y bloquear aplicaciones sin necesidad de abrir o
cerrar puertos y protocolos;
19
Reconocer al menos las siguientes aplicaciones: BitTorrent, Gnutella, skype,
facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail,
youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp,
4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory,
kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over
http, gotomeeting, webex, evernote, google-docs;
Debe inspeccionar el payload del paquete de datos con el fin de detectar las
firmas de las aplicaciones conocidas por el fabricante independiente de
puerto y protocolo;
Debe detectar aplicaciones a través del análisis del comportamiento del
tráfico observado, incluyendo, pero no limitado a las aplicaciones de VoIP que
utilizan cifrado propietario y BitTorrent;
Identificar el uso de tácticas evasivas, es decir, debe tener la capacidad de
ver y controlar las aplicaciones y los ataques con tácticas evasivas a través
de las comunicaciones cifradas, tales como Skype y la utilización de la red
Tor;
Para trafico cifrado SSL, debe poder descifrarlo a fin de posibilitar la lectura
de payload para permitir la identificación de firmas de la aplicación conocidas
por el fabricante;
Debe hacer decodificación de protocolos con el fin de detectar aplicaciones
encapsuladas dentro del protocolo y validar que el tráfico corresponde a la
especificación del protocolo, incluyendo, pero no limitado a Yahoo Instant
Messenger utilizando HTTP. La decodificación de protocolo también debe
identificar las características específicas dentro de una aplicación, incluyendo,
pero no limitado al intercambio de ficheros dentro de Webex;
Identificar el uso de tácticas evasivas a través de las comunicaciones
cifradas;
Actualización de la base de firmas de la aplicación de forma automática;
Limitar el ancho de banda (carga / descarga) utilizado por las aplicaciones
(traffic shaping), basado en IP de origen, usuarios y grupos;
Los dispositivos de protección de red deben tener la capacidad de identificar al
usuario de la red con la integración de Microsoft Active Directory, sin necesidad de
instalación del agente en el controlador de dominio, o en estaciones de trabajo de
usuario;
Debe ser posible añadir múltiples reglas de control de aplicaciones, es decir,
no debe limitar habilitar el control de aplicaciones de control solamente en
algunas reglas;
Debe ser compatible con múltiples métodos de identificación y clasificación de
las aplicaciones, al menos verificar firmas y protocolos de decodificación;
Para mantener la seguridad de red eficiente, debe soportar el control de las
aplicaciones desconocidas y no sólo en aplicaciones conocidas;
Permitir la creación de forma nativa de firmas personalizadas para el
reconocimiento de aplicaciones propietarias en su propia interfaz gráfica, sin
la necesidad de la acción del fabricante;
20
La creación de firmas personalizadas debe permitir el uso de expresiones
regulares, el contexto (sesiones o transacciones), utilizando la posición en el
payload de paquetes TCP y UDP, y el uso de decodificadores de al menos los
siguientes protocolos: HTTP, FTP, NBSS, DCE RPC, SMTP, Telnet, SSH,
MS-SQL, IMAP, DNS, LDAP, SSL y RTSP;
El fabricante debe permitir solicitar la inclusión de aplicaciones en su base de
datos;
Debe alertar al usuario cuando sea bloqueada una aplicación;
Debe permitir la diferenciación de tráfico Peer2Peer (Bittorrent, eMule, etc)
permitiendo granularidad de control/reglas para el mismo;
Debe permitir la diferenciación de tráfico de mensajería instantánea (AIM,
Hangouts, Facebook Chat, etc.) permitiendo granularidad de control/reglas
para el mismo;
Debe permitir la diferenciación y manejo de las aplicaciones de chat; por
ejemplo permitir a Hangouts el chat pero impedir la llamada de video;
Debe permitir la diferenciación de aplicaciones Proxies (psiphon, Freegate,
etc.) permitiendo granularidad de control/reglas para el mismo;
Debe ser posible la creación de grupos dinámicos de aplicaciones, basado en
las características de las mismas, tales como: Tecnología utilizada en las
aplicaciones (Client-Server, Browse Based, Network Protocol, etc);
Debe ser posible crear grupos dinámicos de aplicaciones basados en
características de las mismas, tales como: Nivel de riesgo de la aplicación;
Debe ser posible crear grupos estáticos de aplicaciones basadas en
características de las mismas, tales como: Categoría de Aplicación;
PREVENCIÓN DE AMENAZAS
Para proteger el entorno contra los ataques, deben tener módulo IPS,
antivirus y anti-spyware integrado en el propio equipo;
Debe incluir firmas de prevención de intrusiones (IPS) y el bloqueo de
archivos maliciosos (antivirus y anti-spyware);
Las características de IPS, antivirus y anti-spyware deben funcionar de forma
permanente, pudiendo utilizarlas de forma indefinida, aunque no exista el
derecho a recibir actualizaciones o no exista un contrato de garantía del
software con el fabricante;
Debe sincronizar las firmas de IPS, antivirus, anti-spyware cuando se
implementa en alta disponibilidad;
Debe implementar los siguientes tipos de acciones a las amenazas
detectadas por IPS: Permitir, permitir y generar registro, bloquear, bloquear IP
del atacante durante un tiempo y enviar tcp-reset;
Las firmas deben ser capaces de ser activadas o desactivadas, o activadas
sólo en el modo de monitoreo;
Debe ser posible crear políticas para usuarios, grupos de usuarios, IP, redes
o zonas de seguridad;
21
Excepciones por IP de origen o destino deben ser posibles en las reglas o en
cada una de las firmas;
Debe soportar granularidad en las políticas de IPS, Antivirus y Anti-Spyware,
permitiendo la creación de diferentes políticas por zona de seguridad,
dirección de origen, dirección de destino, servicio y la combinación de todos
estos elementos;
Deber permitir el bloqueo de vulnerabilidades;
Debe permitir el bloqueo de exploits conocidos;
Debe incluir la protección contra ataques de denegación de servicio;
Debe tener los siguientes mecanismos de inspección IPS: Análisis de
patrones de estado de las conexiones;
Debe tener los siguientes mecanismos de inspección IPS: Análisis de
decodificación de protocolo;
Debe tener los siguientes mecanismos de inspección IPS: Análisis para
detectar anomalías de protocolo;
Debe tener los siguientes mecanismos de inspección IPS: Análisis heurístico;
Debe tener los siguientes mecanismos de inspección IPS: Desfragmentación
IP;
Debe tener los siguientes mecanismos de inspección IPS: Re ensamblado de
paquetes TCP;
Debe tener los siguientes mecanismos de inspección IPS: Bloqueo de
paquetes con formato incorrecto (malformed packets);
Debe ser inmune y capaz de prevenir los ataques básicos, tales como
inundaciones (flood) de SYN, ICMP , UDP, etc;
Detectar y bloquear los escaneos de puertos de origen;
Bloquear ataques realizados por gusanos (worms) conocidos;
Contar con firmas específicas para la mitigación de ataques DoS y DDoS;
Contar con firmas para bloquear ataques de desbordamiento de memoria
intermedia (buffer overflow);
Debe poder crear firmas personalizadas en la interfaz gráfica del producto;
Debe permitir utilizar operadores de negación en la creación de firmas
personalizadas de IPS o anti-spyware, permitiendo la creación de
excepciones con granularidad en la configuración;
Permitir bloqueo de virus y software espía en por lo menos los siguientes
protocolos: HTTP, FTP, SMB, SMTP y POP3;
Identificar y bloquear la comunicación con redes de bots;
Registrar en la consola de supervisión la siguiente información sobre
amenazas concretas: El nombre de la firma o el ataque, la aplicación, el
usuario, el origen y destino de las comunicaciones, además de las medidas
adoptadas por el dispositivo;
22
Debe ser compatible con la captura de paquetes (PCAP), mediante la firma
de IPS o control de aplicación;
Debe permitir la captura de paquetes por tipo de firma IPS y definir el número
de paquetes capturados o permitir la captura del paquete que dio lugar a la
alerta, así como su contexto, facilitando el análisis forense y la identificación
de falsos positivos;
Debe tener la función de protección a través de la resolución de direcciones
DNS, la identificación de nombres de resolución de las solicitudes a los
dominios maliciosos de botnets conocidos;
Los eventos deben identificar el país que origino la amenaza;
23
Debe tener integración con Microsoft Active Directory para identificar a los
usuarios y grupos, permitiendo granularidad a las políticas / control basados
en usuarios y grupos de usuarios;
Debe tener integración con RADIUS para identificar a los usuarios y grupos
que permiten las políticas de granularidad / control basados en usuarios y
grupos de usuarios;
Debe tener la integración LDAP para la identificación de los usuarios y grupos
que permiten granularidad en la políticas/control basados en usuarios y
grupos de usuarios;
Debe permitir el control sin necesidad de instalación de software de cliente, el
equipo que solicita salida a Internet, antes de iniciar la navegación, entre a un
portal de autentificación residente en el equipo de seguridad (portal cautivo);
Debe soportar la identificación de varios usuarios conectados a la misma
dirección IP en entornos Citrix y Microsoft Terminal Server, lo que permite una
visibilidad y un control granular por usuario en el uso de las aplicaciones que
se encuentran en estos servicios;
Debe de implementar la creación de grupos de usuarios en el firewall, basada
atributos de LDAP / AD;
Permitir la integración con tokens para la autenticación de usuarios,
incluyendo, pero no limitado a, acceso a Internet y gestión de la plataforma;
Proporcionar al menos un token de forma nativa, lo que permite la
autenticación de dos factores;
QoS Traffic Shaping
Con el fin de controlar el tráfico y aplicaciones cuyo consumo puede ser excesivo
(como YouTube, Ustream, etc.) y que tienen un alto consumo de ancho de banda, se
requiere de la solución que, además de permitir o denegar dichas solicitudes, debe
tener la capacidad de controlar el ancho de banda máximo cuando son solicitados
por los diferentes usuarios o aplicaciones, tanto de audio como de video streaming;
Soportar la creación de políticas de QoS y Traffic Shaping por dirección de
origen;
Soportar la creación de políticas de QoS y Traffic Shaping por dirección de
destino;
Soportar la creación de políticas de calidad de servicio y Traffic Shaping por
puerto;
En QoS debe permitir la definición de tráfico con ancho de banda garantizado;
En QoS debe permitir la definición de tráfico con máximo ancho de banda;
En QoS debe permitir la definición de colas de prioridad;
Soportar priorización de tráfico utilizando información de Tipo de Servicio
(Type of Service);
Proporcionar estadísticas en tiempo real para clases de QoS y Traffic
Shaping;
Debe soportar QoS (traffic-shapping) en las interfaces agregadas o
redundantes;
24
FILTRO DE DATOS
Soportar la identificación de archivos comprimidos o la aplicación de políticas
sobre el contenido de este tipo de archivos;
Soportar la identificación de archivos cifrados y la aplicación de políticas
sobre el contenido de este tipo de archivos;
GEO LOCALIZACIÓN
Soportar la creación de políticas por geo-localización, permitiendo bloquear el
tráfico de cierto País/Países;
Debe permitir la visualización de los países de origen y destino en los
registros de acceso;
Debe permitir la creación de zonas geográficas por medio de la interfaz
gráfica de usuario y la creación de políticas usando las mismas;
VPN
Soporte VPN de sitio-a-sitio y cliente-a-sitio;
Soportar VPN IPSec;
Soportar VPN SSL clienteless
La VPN IPSec debe ser compatible con 3DES;
La VPN IPSec debe ser compatible con la autenticación MD5 y SHA-1;
La VPN IPSec debe ser compatible con Diffie-Hellman Grupo 1, Grupo 2,
Grupo 5 y Grupo 14;
La VPN IPSec debe ser compatible con Internet Key Exchange (IKEv1 y v2);
La VPN IPSec debe ser compatible con AES de 128, 192 y 256 (Advanced
Encryption Standard);
La VPN IPSec debe ser compatible con la autenticación a través de
certificados IKE PKI;
Debe tener interoperabilidad con los siguientes fabricantes: Cisco, Check
Point, Juniper, Palo Alto Networks, Fortinet, SonicWall;
Debe permitir activar y desactivar túneles IPSec VPN desde la interfaz gráfica
de la solución, lo que facilita el proceso throubleshooting;
La VPN SSL debe soportar que el usuario pueda realizar la conexión a través
de cliente instalado en el sistema operativo de su máquina o a través de la
interfaz web;
Las características de VPN SSL se deben cumplir con o sin el uso de
agentes;
Debe permitir que todo el tráfico de los usuarios VPN remotos fluya hacia el
túnel VPN, previniendo la comunicación directa con dispositivos locales como
un proxy;
Asignación de DNS en la VPN de cliente remoto;
25
Debe permitir la creación de políticas de control de aplicaciones, IPS,
antivirus, filtrado de URL y AntiSpyware para el tráfico de clientes remotos
conectados a la VPN SSL;
Soportar autenticación vía AD/LDAP, Secure id, certificado y base de usuarios
local;
Soportar lectura y revisión de CRL (lista de revocación de certificados);
Permitir la aplicación de políticas de seguridad y visibilidad para las
aplicaciones que circulan dentro de túneles SSL;
Debe permitir que la conexión a la VPN se establezca de la siguiente manera:
Antes de que el usuario se autentique en su estación; Después de la
autenticación de usuario en la estación y Bajo demanda de los usuarios;
Deberá mantener una conexión segura con el portal durante la sesión;
26
ESPECIFICACIONES TÉCNICAS
SOLUCIÓN DE RESPALDO - SERVIDOR PARA EL SISTEMA DE RESPALDO
CANTIDAD:
UNO (01)
MARCA:
Especificar
MODELO:
Especificar
AÑO DE FABRICACIÓN:
Mínimo 2021, nuevos, originales de fábrica, no re-furbished, no re-manufacturados,
en óptimas condiciones de operación, no deben tener anuncio público de fin de vida
útil o anuncio de fin de soporte.
PAÍS DE PROCEDENCIA:
Especificar
FACTOR DE FORMA:
De máximo (2) unidad de RACK
GENERALIDADES
El proponente deberá incluir los catálogos o manuales para soportar
técnicamente cada una de las respuestas. Incluir la referencia técnica,
número de página, sección, y párrafo donde se demuestre el cumplimiento de
lo solicitado.
o Dos (2) procesadores INTEL XEON SILVER de 8 cores a 2.1GHz o
superior
o Sesenta y cuatro (64) GB en RAM
El servidor debe estar completamente licenciado con Windows Server 2019.
o Diez (10) Discos HDD de 8TB de 7.2K en RAID 6
o Dos (2) Discos SSD de 800GB.
o Dos (2) puertos de 10GbE. Incluir los SFPs necesarios.
o Un (1) puerto de administración 1Gb RJ45
Incluir el licenciamiento necesario para respaldar el ambiente de
hiperconvergencia con la posibilidad de recuperación granular de archivos y
máquinas virtuales sin necesidad de agentes instalados en las máquinas
virtuales.
Todo el soporte para 36 meses en hardware y la herramienta de gestión.
El contratista debe realizar los servicios de configuración del sistema del
respaldo y dejar integrado a toda la plataforma.
SOPORTE TÉCNICO DEL SISTEMA DE RESPALDO
El tiempo de soporte de la solución es 3 años.
27
Soporte del fabricante debe ser en modalidad 24x7 y respuesta en 4 horas a
través de las líneas de contacto habilitadas cuando los problemas se originen
por defectos de fábrica de los equipos o sistemas, o cuando el problema se
origine por mal funcionamiento de los equipos bajo similares condiciones en
que la solución fue implementada.
Se dispondrá de acceso al Centro de Asistencia Técnica del fabricante
SERVICIOS DE IMPLEMENTACIÓN Y SOPORTE
El contratista debe realizar los servicios de implementación con la solución de
respaldo.
MANTENIMIENTO PROGRAMADO
Tercer mantenimiento
A los 1095 días posteriores de la firma del acta
entrega recepción de los bienes
28
DESCRIPCIÓN ESPECIFICACIÓN MÍNIMA REQUERIDA
En el mantenimiento programado se ejecutará como
mínimo las siguientes tareas:
Inspección física de los equipos que
conforman la infraestructura
hiperconvergencia,
Respaldo de configuraciones.
Actualización de versiones de firmware y
parches.
Limpieza física de los equipos
Pruebas de funcionamiento de los
componentes.
N° CARACTERÍSTICA DETALLE
1. Requerimientos El contratista deberá incluir rieles y todo el
Logísticos hardware necesario para la instalación en rack
de cada equipo del sistema ofertado, así como
las respectivas instalaciones eléctricas, cables
de datos, fibras, que se requiera para la
instalación de la solución
2. Instalación Equipamiento: El contratista será el
responsable de realizar la instalación de todo
el equipamiento ofertado para este proceso
siendo su entera responsabilidad la correcta
instalación del bien y la comprobación de su
óptimo funcionamiento al momento de
realizarse la entrega- recepción.
29
3. El contratista deberá realizar la configuración
de la solución a nivel de hardware y de la
Configuración de la herramienta de gestión, y el respectivo
solución afinamiento y depuración, de acuerdo a las
definiciones realizadas por la AMT y
aprobadas por el administrador del contrato,
de manera que todos los servicios queden
operativos, garantizando, el correcto
funcionamiento de los mismos.
El contratista deberá garantizar que todos los
servicios sean compatibles con la
Infraestructura tecnológica actual de la AMT,
la instalación y configuración se debe realizar
causando el menor impacto a los servicios
tecnológicos institucionales.
4. Conectividad El contratista deberá considerar todos los
elementos necesarios para la implementación,
conectividad y configuración del hardware, de
tal manera que la solución ofertada funcione
de manera integral.
5. Documentación técnica El contratista entregará en medios digitales
editables, la documentación técnica de la
instalación de la solución, incluyendo
diagramas de arquitectura del sistema.
Se requerirán los manuales técnicos que
prevean de uso, operación y mantenimiento,
los que deberán encontrarse en idioma
español1 y cuya entrega se efectuará
conjuntamente con los bienes suministrados.
Los manuales de usuario y técnicos pueden
ser entregados en medios digitales. El juego
de manuales estará integrado por:
a) Manual de Uso y Operación: con
instrucciones de manejo y cuidados a tener en
cuenta para el adecuado funcionamiento y
conservación del equipo; y,
b) Manual de Servicio Técnico: con
información detallada para su instalación,
funcionamiento, e información donde se dé a
conocer información de manera detallada el
1
Resolución del Servicio Nacional de Contratación Pública 72, Registro Oficial Edición Especial 245 de 29-ene.-2018,
Ultima modificación: 25-jun.-2019, Articulo 125, Estado: Reformado
30
producto.
6. Lugar de Entrega La entrega e instalación de la infraestructura
de hiperconvergencia, ofertado se realizará
en el Data Center de centro de la Gestión de
la Movilidad ubicado en la Av. Fernando
Salvador y Julio Larrea.
TRANSFERENCIA DE CONOCIMIENTOS
31
funcionarios reciban la transferencia de conocimientos y al finalizar la misma el
oferente deberá entregar un certificado de asistencia a la misma, validado por
el fabricante o distribuidor autorizado de la solución ofertada.
32
Por el tiempo de garantía de los equipos (3 años), el soporte
brindado por el contratista será en horario de 8H00 a 17H00,
independientemente del soporte del fabricante, para
necesidades y problemas identificados en la plataforma de
hardware por parte de la AMT.
El soporte Post-venta del oferente deberá tener por los menos
GENERALIDADES 2 vías de acceso para reportar incidentes y gestiones de
SOPORTE TÉCNICO garantía, deberá poder accederse vía: mail, número telefónico
local o vía sitio web.
8. Metodología de trabajo
a. Descripción de la actividad
b. Tiempo estimado por actividad
c. Indicar si existe afectación de un servicio determinando.
d. Responsable de actividad
La instalación de todos los equipos debe estar a cargo de los técnicos del
contratista y el líder de proyecto.
El sistema HIPERCONVERGENTE deberá ser configurado de acuerdo a los
requerimientos de la AMT y todo el proceso debe ser validado por personal
técnico de la Unidad de Tecnología de la Información y Comunicaciones y
aprobado por el Administrador de Contrato.
Migración hacia la solución de Hiperconvergencia ofertada de todas las
máquinas virtuales (VMs) que conforman la actual plataforma de gestión de
contravenciones detectadas por medios tecnológicos de la AMT, con todas sus
funcionalidades probadas y validadas.
Todos los equipos adquiridos deben ser configurados e instalados por técnicos
del fabricante o técnicos del contratista. El personal técnico del contratista será
el responsable de emitir los informes para aceptación de la AMT.
El contratista proveerá todas las herramientas y consumibles necesarios para
que la solución sea implementada y puesta en funcionamiento acorde a las
necesidades y configuraciones detalladas en las especificaciones técnicas, sin
costo adicional para la AMT.
33
El contratista deberá entregar al Administrador de contrato la memoria técnica
de la instalación realizada.
Cuando los equipos adquiridos presenten fallas o averías atribuibles a su
normal funcionamiento o vida útil de los mismos, el administrador del contrato
solicitará al contratista la prestación del servicio de mantenimiento correctivo, el
mismo que deberá realizar la inspección de los equipos y junto a un informe
técnico presentado en el plazo de hasta 48 horas, cotizará el valor del servicio
de mantenimiento correctivo desglosando el costo de la mano de obra y de los
repuestos a utilizar, los mismos que por ningún motivo podrán ser superiores a
los del mercado.
Los técnicos y el líder del proyecto que intervengan en la instalación y
configuración de los equipos deberán cumplir con la experiencia requerida para
el personal técnico.
Tiempo de
experiencia
No. Nivel de
Función Titulación Académica Cantidad mínima
(ordinal) Estudio
solicitada
(años)
Ingeniero en Electrónica,
Telecomunicaciones o Cuatro (4)
Sistemas o carreras años en
Director De Tercer
1 administración de empresas 1 dirección de
Proyecto nivel
o ingeniería comercial. Con proyectos de
certificación vigente en tecnología
Gestión de Proyectos PMP
Ingeniero en carreras
técnicas, electrónico,
Telecomunicaciones o
Sistemas; o carreras
Tres (3) años
técnicas afines, con
en la
certificados de capacitación
implementació
en:
n y supervisión
Administración e
técnica de
instalación por parte del
proyectos de
Líder Técnico Tercer fabricante de los equipos
2 1 tecnología
de Proyecto nivel hiperconvergentes
para
ofertados.
procesamiento
Certificado en la
,
herramienta de replicación
almacenamien
y backup ofertada y/o
to o
certificación en
virtualización
virtualización en Switching
y Routing emitido por el
fabricante del producto
ofertado .
34
Tecnólogos o ingenieros en
carreras técnicas
Electrónico,
Telecomunicaciones o
Sistemas o carreras técnicas
afines, con:
Dos (2) años
Certificación en
en servicios de
administración e
implementació
instalación por parte del
n de proyectos
fabricante, de la solución
de tecnología
Especialista de Tercer hiperconvergente
3 1 para
Implementación nivel Ofertada.
procesamiento
Certificado en la
,
implementación de la
almacenamien
herramienta de
to o
replicación y backup
virtualización
ofertada y/o certificación
en virtualización y/o
certificación en Switching
y Routing emitido por el
fabricante del producto
ofertado.
11. Conclusiones
Las soluciones de hiperconvergencia permiten simplificar las operaciones de TI
permitiendo gestionar datos, acelerar procesos, y la administración simplificada de
35
recursos tecnológicos de forma centralizada, por lo cual la adquisición de este tipo
de infraestructura permitirá la evolución de los equipos institucionales reduciendo
la complejidad del monitoreo, permitiendo mayor rendimiento y resistencia para
fallas superiores con la optimización de recursos.
Aprobado por:
Firmado electrónicamente por:
HENRY FABIAN
LOPEZ GRANIZO
AIDA ANGELA
Elaborado por: A. Zambonino UTI-PRO 04/11/2021 ZAMBONINO
SEGARRA
36