PLANO DE SUSTENTAÇÃO / 2024

1 – Introdução

O plano de sustentação tem por objetivo propor ações para manter a continuidade do negócio da instituição com a aquisição da contratação.

Neste sentido, um plano de sustentação é essencial para garantir que o serviço de computação em nuvem funcione de maneira segura, confiável e eficiente ao longo do tempo. Ele proporciona uma abordagem estruturada para o gerenciamento contínuo dos recursos em nuvem, permitindo que a organização extraia todo o potencial da solução e alcance seus objetivos de negócios de forma efetiva.

 

2 – Recursos Necessários à Continuidade do Negócio Durante e Após a Execução do Contrato

2.1 – Recursos Materiais

1. Infraestrutura de Rede: Necessária para viabilizar a disponibilização do acesso à internet e, dessa maneira, disponibilizar todas as aplicações que serão consumidas pelo público interno e externo;

2. Fontes de Energia: Fontes de energia confiáveis para alimentação elétrica da infraestrutura e comunicação a qual poderá envolver o uso de sistemas de geração de energia, como painéis solares, baterias, geradores ou uma combinação dessas fontes.

3. Infraestrutura de Suporte: Além dos principais recursos mencionados acima, é necessário estabelecer uma infraestrutura mínima de suporte aos usuários tais como centros de operações de rede e centrais de serviços.

 

    2.1.1 Ações Para Obtenção do Recurso e Seus Respectivos Responsáveis:

1. Infraestrutura de Rede: Não há ações necessárias a ser executadas pois a infraestrutura computacional do TRE-RR já conta com uma rede de dados corporativa estruturada a qual se encontra sob a responsabilidade da Seção de Infraestrutura e Comunicação de Dados.

2. Fontes de Energia: Necessária a revisão do fornecimento de energia elétrica das unidades atendidas, considerando a manutenção dos grupos geradores. A atividade está sob responsabilidade da Coordenadoria de Apoio Administrativo e Engenharia;

3. Infraestrutura de Suporte: Há a necessidade de viabilização de um grupo de suporte especializado no monitoramento e identificação de ameaças visando, sempre que necessário, a ativação dos protocolos de defesa cibernética. A ação deverá ser coordenada pela área de defesa cibernética do TRE-RR;

 

2.2 – Recursos Humanos

2.2.1 – Seção de Infraestrutura e Comunicação de Dados

Atribuições:

• Definição dos requisitos técnicos necessários à contratação

• Implantação, acompanhamento e fiscalização técnica da contratação;

 

3 – Estratégia de Continuidade Contratual

3.1 – Fim do contrato

 

 

4 – Estratégia de Independência

Em se tratando de um contrato de serviço de acesso à internet, e considerando a possibilidade de encerramento do contrato, ter uma estratégia de independência bem definida garantirá que possamos fazer uma transição tranquila e contínua para outra solução, caso seja necessário.

Dessa maneira elencamos a seguir algumas medidas que devem ser adotadas para garantir a independência em relação à solução a ser contratada:

1. Possuir documentação mais completa possível: Manter uma documentação detalhada e atualizada de todo o processo de implementação , incluindo configurações, políticas de segurança, integrações com outros sistemas e qualquer personalização feita para atender às necessidades específicas. Essa documentação será essencial para facilitar a migração para uma nova solução.

2. Possuir arquitetura modular e redundante: Sugere-se que a implementação da solução seja modular e flexível. Isso significa evitar dependências excessivas em uma única solução específica, permitindo que diferentes componentes sejam substituídos individualmente, se necessário. Essa abordagem garantirá que possamos fazer a transição de forma eficiente para uma outra solução caso seja necessário. Sugere-se também a contratação de um segundo link de acesso à internet como alternativa aos eventos de falha e/ou encerramento contratual unilateral;

3. Capacitação da equipe: Investir na capacitação da equipe de TI para entender a configuração e a administração da solução, garantindo que se tenha o conhecimento necessário para gerenciar a solução de forma independente, sem depender exclusivamente do provedor de serviços, bem como deixar a equipe preparada para lidar com uma possível transição para uma nova solução, se necessário.

4. Avaliação contínua do mercado: Manter-se atualizado sobre as tendências e avanços no mercado de serviço de computação em nuvem, incluindo novas soluções.

 

Equipe de Contratação

Decisão 368 (0856500)

 

Fábio Rogério Santos Barros
Integrante Demandante

 

Severino José Caetano Filho
Integrante Técnico

 

Cássia Cavalcante Alves
Integrante Administrativo

 

Boa Vista - RR, data da assinatura eletrônica.

Boa Vista, 08 de abril de 2024.

 

ANÁLISE DE RISCOS / 2024

1 – INTRODUÇÃO

 A análise de riscos permite a identificação, avaliação e gerenciamentos dos riscos relacionados à contratação.

Os riscos analisados foram organizados em duas categorias:

a) Riscos que possam comprometer o sucesso dos processos de contratação e de gestão contratual;

b) Riscos que possam fazer com que a Solução de TIC não alcance os resultados que atendam às necessidades do TRE.

Para cada risco identificado, define-se a probabilidade de ocorrência dos eventos, os possíveis danos potenciais em caso de acontecimento, possíveis ações preventivas e contingências, bem como a identificação de responsáveis por ação.

Após a identificação e classificação, deve-se executar uma análise qualitativa dos riscos, sendo esta realizada por meio da classificação escalar dos níveis de probabilidade e de impacto, conforme a tabela de referência a seguir:

 

 

A análise qualitativa dos riscos consiste na classificação conforme a relação entre a probabilidade e o impacto, resultando assim no nível do risco e direcionando as ações relacionadas aos riscos durante a fase de contratação e gestão do contrato, bem como da solução de TI. A tabela a seguir apresenta a Matriz Probabilidade x Impacto, instrumento responsável pela definição dos critérios qualitativos de classificação do nível de risco.

O produto da Probabilidade pelo Impacto de cada risco gera nove combinações possíveis no contexto da Matriz e, a partir destas combinações, define-se a(s) ação(ões) adequada(s) para o tratamento de cada risco gerado. A tabela a seguir apresenta uma síntese dos riscos identificados e classificados relacionados a esta contratação.

 

Tabela 2: Relação de riscos identificados

 

2.  RISCOS DO PROCESSO DE CONTRATAÇÃO

 

 

 

 

3. RISCOS DO PROCESSO DE GESTÃO CONTRATUAL E DA SOLUÇÃO DE TI

 

 

Boa Vista, 08 de abril de 2024.

 

ANÁLISE DE VIABILIDADE TÉCNICA / 2024

1.0 - Justificativa da necessidade da solução de TI

1.1. A contratação se justifica pela necessidade de renovação do suporte à solução de firewall existente a qual é responsável por todo o controle de acesso dentro da rede de dados do TRE-RR e dos filtros de acesso a conteúdos da internet.

1.2. A solução também é responsável pela infraestrutura de proteção com firewall de perímetro, implementada para garantir a segurança do tráfego interredes, tanto entre o TRE-RR e as zonas, quanto entre o TRE-RR e a rede da justiça eleitoral.

1.3. O advento de novas ameaças tecnológicas requer a adoção de novas soluções de segurança para garantir a integridade dos dados armazenados dentro da nossa infraestrutura de tecnologia da informação. Nesse sentido, as quantidades especificadas têm o objetivo de garantir segurança e alta disponibilidade dos serviços de tecnologia da informação.

1.4. A tabela abaixo contém o detalhamento dos equipamentos de propriedade do TRE-RR e dos atuais contratos de extensão de garantia:

1.5. Por fim, há de se ressaltar que a segurança num ambiente computacional é absolutamente necessário para se manter a confidencialidade, a disponibilidade e a integridade das informações, além de fazer parte da Estratégia Nacional de Cibersegurança estabelecida pelo TSE para a Justiça Eleitoral e atender aos requisitos de boas práticas da segurança cibernética conforme definição dos normativos: 

• ISO/IEC NBR 27001 e NBR 27002 - Gestão de segurança da informação;
• Resolução CNJ - Nº 396 de 07/06/2021 - Institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ);

2.0 - Relação entre a demanda prevista e a quantidade de serviço a ser contratada

2.1. Os serviços a serem contratados fazem parte da infraestrutura de segurança que provê suporte ao negócio da Justiça Eleitoral, infraestrutura esta já atendidas por solução que demandam atualização tecnológica para provimento dos recursos necessários à prestação dos serviços jurisdicionais nos municípios atendidos por todos os cartórios eleitorais.

2.2. A atual solução tem a necessidade de renovação de suas capacidades considerando as diversas demandas apresentadas para a continuidade das atividades laborais e também para a implementação de medidas que possibilitem aumentar a disponibilidade, ou seja, diminuir/evitar ao máximo a indisponibilidade dos serviços oferecidos pela área negocial.
 

3.0 - Demonstrativo dos resultados a serem alcançados em termos de economicidade e eficiência:

3.1. Com a contratação do serviço aqui descrito busca-se seguintes resultados: 

i. Acesso seguro para usuários remotos no tocante ao uso de rede virtual privada (VPN) e filtragem de aplicações, considerando a necessidade do uso de recursos criptográficos.

ii. Proteção contra ameaças e tentativas de intrusão com inspeções mais eficazes dos pacotes em trânsito na rede corporativa, comportamento este que auxilia no processo de monitoramento e resposta a incidentes de segurança cibernética;

iii Registro de atividades (log) e auditoria centralizados proporcionando uma visão mais detalhada permitindo a implementação de políticas granulares de acesso aos recursos disponibilizados;

iv. Maior flexibilização no uso de recursos e sistemas para os servidores atualmente optantes pelo regime de Home Office.

3.2. Além dos aspectos mencionados, há ainda elementos que contribuem para aprimoramento da proteção e a eficácia da rede corporativa tais como: segmentação da Rede, proteção de zonas e sistemas críticos, integração com outros sistemas de segurança, como o de detecção e resposta a ameaças (EDR/XDR), SIEM (Security Information and Event Management) que realiza a coleta centralizada de logs e eventos permitindo uma análise abrangente e proativa o qual fornece elementos essenciais para identificar padrões suspeitos e ajudar na prevenção de ataques, e o recém adquirido sistema Cisco ISE que atua no controle de acesso por identidade de usuário;

 

4.0 - Alinhamento ao Planejamento Estratégico / Planejamento de Tecnologia da Informação e Comunicação

4.1. A solução em tela está alinhada à estratégia para a consecução da nova ENTIC-JUD 2021/2026, de acordo com a Planilha de Objetivos e Indicadores (SEI nº 0635101):

• OE8 - Promover Serviços de Infraestrutura e Soluções Corporativas
   

5.0 - Requisitos da Contratação

5.1 - Requisitos Legais:

A presente contratação deve observar as seguintes leis e normas:

a) Lei 14.133, de 1.º de abril de 2021, estabelece normas gerais de licitação e contratação para as Administrações Públicas diretas, autárquicas e fundacionais da União, dos Estados, do Distrito Federal e dos Municípios,

b) Resolução nº 468/2022 do CNJ, 

c) Instrução Normativa SGD/ME nº 94/2022 (Dispõe sobre o processo de contratação de soluções de Tecnologia da Informação e Comunicação - TIC pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal);

d) Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), e;

e) Resolução 351/2017 TRE-RR.

5.2 - Requisitos Tecnológicos:

5.2.1. Requisitos Funcionais:

5.2.1.1. Inspeção Profunda de Pacotes (DPI): 

Capacidade de realizar inspeção profunda de pacotes (DPI) em tempo real para analisar e identificar tráfego malicioso ou suspeito em todas as camadas do protocolo (camadas 2 a 7).

Deve ser capaz de detectar e bloquear malware, vírus, e outros tipos de ameaças baseadas em conteúdo.

5.2.1.2. Controle Granular de Aplicações:

Capacidade de identificar e controlar aplicações específicas, permitindo políticas diferenciadas para aplicações e serviços (e.g., redes sociais, ferramentas de colaboração, e softwares de streaming). 

Capacidade de bloquear ou limitar o uso de aplicações e serviços não autorizados.

5.2.1.3. Prevenção de Intrusões (IPS):

Deve incluir um sistema de prevenção de intrusões (IPS) integrado que detecta e bloqueia ataques conhecidos e comportamentos anômalos em tempo real. 

Suporte para atualizações automáticas de assinaturas de ameaças e regras de detecção.

5.2.1.4. Proteção contra Ameaças Avançadas:

Integração com serviços de inteligência de ameaças para fornecer proteção contra ataques zero-day e ameaças avançadas.

Capacidade de analisar comportamentos e padrões de tráfego para identificar ameaças emergentes.

5.2.1.5. VPN e Acesso Remoto:

Suporte para VPNs (Virtual Private Networks) seguras, incluindo IPsec e SSL VPN, para permitir acesso remoto seguro à rede corporativa.

Deve possuir ou se integrar com funcionalidades de autenticação multifatorial (MFA) e controle de acesso baseado em identidade.

5.2.1.6. Controle de Largura de Banda e Qualidade de Serviço (QoS): 

Capacidade de monitorar e controlar a largura de banda para diferentes tipos de tráfego e aplicações.

Implementação de políticas de qualidade de serviço (QoS) para priorização de tráfego crítico e otimização de desempenho.

5.2.1.7. Relatórios e Análise:

Funcionalidades de relatórios detalhados e análises sobre tráfego de rede, atividades suspeitas e eventos de segurança.

Capacidade de gerar alertas em tempo real e relatórios configuráveis para auditoria e conformidade.

5.2.1.8. Gerenciamento Centralizado:

Interface de gerenciamento centralizada para configuração e monitoramento de políticas de segurança, com suporte para múltiplos dispositivos e locais.

Capacidade de integração com sistemas de gerenciamento de eventos e informações de segurança (SIEM).

5.2.1.9. Alta Disponibilidade e Escalabilidade:

Suporte para configurações de alta disponibilidade (HA) e failover para garantir continuidade do serviço e redundância.

Capacidade de escalabilidade para suportar crescimento futuro e aumento de demanda de tráfego.

Integração com o Ecossistema Cisco, como switches e roteadores, além de serviços de segurança baseados em nuvem.
 

5.2.2. Requisitos de Hardware:

5.2.2.1. Capacidade de Desempenho:

Desempenho mínimo de throughput de firewall e inspeção de pacotes conforme o tamanho e a complexidade da rede (ex: throughput de firewall mínimo de 10 Gbps e inspeção de pacotes mínima de 5 Gbps).

Capacidade de processamento e memória adequadas para suportar a carga de tráfego e funcionalidades avançadas sem degradação do desempenho.

5.2.2.2. Interfaces de Rede:

Mínimo de 4 interfaces de rede físicas SFP com suporte para velocidades 1 Gbps.

Mínimo de 4 interfaces de rede físicas RJ45 com suporte para velocidades 1 Gbps.

Suporte para interfaces de rede redundantes e módulos de expansão, se necessário.

Deve possuir 1 (uma) interface de rede 1 Gbps dedicada para gerenciamento.

Deve possuir 1 (uma) interface do tipo console ou similar.

Deve permitir a configuração de, no mínimo, 512 subinterfaces VLAN 802.1Q.
 

5.2.2.3. Requisitos de Software: 

Atualizações e Suporte:

Suporte para atualizações de firmware e patches de segurança regulares.

Acesso a suporte técnico 24/7, com garantia de resposta rápida e resolução de problemas.

Licenciamento e Custos

Modelo de licenciamento transparente, com custos claros para funcionalidades básicas e avançadas.

Disponibilidade de licenças de longo prazo e planos de manutenção e suporte.
 

5.2.2.4. Considerações Adicionais:

Conformidade e Certificações:

Certificações de segurança e conformidade com padrões internacionais (ex: ISO/IEC 27001, PCI-DSS).

Compatibilidade com regulamentações e políticas de segurança locais.

Facilidade de Implementação:

Documentação abrangente e suporte durante a fase de implementação.

Disponibilidade de treinamento para equipe técnica e administradores de rede.

Testes e Validação:

Realização de testes de avaliação de desempenho e segurança antes da implantação final.

Possibilidade de testes de demonstração ou provas de conceito para validar a adequação à organização.

 

6.0 - Levantamento das diferentes soluções de TI

6.1.Em se tratando de sistema de proteção por firewall, têm dois tipos principais:

1. Firewall do tipo Stateful o qual é uma evolução dos firewalls tradicionais baseados em filtro de pacotes, possui a premissa de funcionamento baseada  no monitoramento do estado das conexões de rede e tomada decisões baseadas no estado da conexão e no contexto dos pacotes, e cujas características principais descrevo a seguir:

   • Segurança Baseada em Estado das estado das conexões, a qual permite ou bloqueia pacotes com base no estado da conexão (nova, estabelecida, etc.), atuando para  prevenir certos tipos de ataques, como spoofing e alguns tipos de ataques de negação de serviço (DoS) que envolvem a manipulação de conexões de rede.

   • Regras de Filtro de Pacotes baseadas em informações como endereços IP e portas as quais oferecem proteção básica contra acessos não autorizados, mas não é suficiente para detectar ou prevenir ataques que envolvem tráfego legítimo ou uso sofisticado de protocolos.

   • Proteção Limitada contra Ameaças Avançadas pois não consegue identificar ameaças sofisticadas disfarçadas como tráfego normal. Não possui recursos integrados para identificar malware, ataques de dia zero ou ameaças internas.

   • Inspeção Limitada: A inspeção do tráfego e=é limitada ao nível da rede e transporte. Assim sendo, não examina o conteúdo dos pacotes ou o comportamento das aplicações, o que significa que pode falhar na detecção de ataques que exploram vulnerabilidades no tráfego de aplicações.

2. Firewall do tipo Next Generation Firewall (NGFW) o qual e uma solução de segurança de rede mais avançada que combina funcionalidades de firewalls tradicionais com capacidades adicionais, como inspeção profunda de pacotes, controle de aplicações e prevenção de intrusões, e cujas características principais descrevo a seguir:

   • Inspeção Profunda de Pacotes (DPI) o qual realiza uma inspeção profunda dos pacotes, analisando o conteúdo de cada pacote para identificar e bloquear ameaças com base em assinaturas conhecidas e comportamentos anômalos. Isso permite a detecção de malware e outras ameaças avançadas que não são visíveis apenas com base em informações de cabeçalhos.

   • Controle Granular de Aplicações permitindo a identificação e o bloqueio de aplicações específicas, mesmo que usem portas ou protocolos padrão, a exemplo das aplicações de comunicação em nuvem ou softwares de P2P, que podem ser usados para exfiltração de dados ou atividades maliciosas.

   •  Prevenção de Intrusões (IPS) que monitora o tráfego de rede em busca de sinais de intrusões ou ataques. Nesse sentido, tem a capacidade de detectar e bloquear atividades de ataque conhecidas e também pode identificar padrões anômalos que indicam ataques desconhecidos ou zero-day.

   •  Análise e Relatórios permitindo a visualização de atividades suspeitas e a geração de alertas sobre potenciais ameaças, sendo este um componente essencial para uma resposta rápida a incidentes e na identificação de padrões de ataque.

   •  Proteção contra Ameaças Internas.

Nesse contexto se pode observar que há limitação de soluções que atendam aos requisitos técnicos necessários a uma proteção moderna,  avançada e efetiva. Nesse sentido podem serão analisadas três tecnologias:

• Soluções baseadas em código aberto (Open Source):

Existem soluções NGFW (Next Generation Firewall) de código aberto que oferecem funcionalidades avançadas.

1. pfSense: que é uma plataforma de firewall de código aberto a qual pode ser configurada para funcionar como um NGFW. Oferece recursos como VPN, IDS/IPS (com Snort ou Suricata), e controle de aplicações.

2. OPNsense: que configura uma bifurcação do pfSense e fornece funcionalidades semelhantes, incluindo inspeção profunda de pacotes, IDS/IPS, e controle de aplicações. É conhecido pela sua interface amigável e pela integração com vários plugins.

Sob o aspecto técnico, ambas possuem recursos avançados que  suportam IDS/IPS através de Snort ou Suricata, controle de aplicações, e inspeção profunda de pacotes, porém possuem limitações. A implementação e o gerenciamento de algumas funcionalidades podem exigir configuração manual e conhecimento técnico avançado, bem como a escalabilidade e suporte para grandes ambientes poem se tornar grandes desafios em comparação com soluções NGFW comerciais.

 

• Soluções baseadas em produtos comerciais: 

  1. Palo Alto Networks: Oferece firewalls com inspeção profunda de pacotes, controle de aplicações, prevenção de intrusões (IPS), e integração com serviços de inteligência de ameaças. Seus dispositivos são conhecidos por sua alta performance e capacidade de escala.

     • Vantagens:

       • Inspeção Profunda de Pacotes (DPI): Oferece inspeção profunda de pacotes para identificar e bloquear ameaças avançadas.

       • Controle Granular de Aplicações: Permite controle detalhado sobre aplicações e usuários, o que facilita a gestão de políticas e a proteção contra ameaças baseadas em aplicativos.

       • Integração de Inteligência de Ameaças: Utiliza a base de dados de ameaças da Palo Alto Networks e a tecnologia WildFire para proteção contra malware e ataques desconhecidos.

       • Desempenho: Alta performance e escalabilidade, ideal para grandes ambientes corporativos.

       • Interface de Gerenciamento: A interface de gerenciamento (Panorama) é intuitiva e oferece uma visão centralizada da segurança.
          

  2. Fortinet: Oferece uma plataforma NGFW robusta com inspeção de tráfego, controle de aplicações, e prevenção de intrusões. A Fortinet é conhecida por sua alta performance e integração com uma ampla gama de soluções de segurança.

     • Vantagens:

       • Alta Performance: FortiGate é conhecido por seu desempenho rápido e eficiente, especialmente em termos de throughput e capacidade de conexão simultânea.

       • Integração com UTM: Oferece funcionalidades de Unified Threat Management (UTM), como antivírus, filtragem de conteúdo e proteção contra malware.

       • Preço Competitivo: Frequentemente é mais acessível em comparação com alguns concorrentes, oferecendo uma boa relação custo-benefício.

       • FortiSandbox: Integra a tecnologia FortiSandbox para análise de malware avançada e proteção contra ameaças desconhecidas.
          

  3. Cisco: combina firewall de próxima geração com recursos de segurança avançados, como inspeção profunda de pacotes, controle de aplicações e integração com Cisco Threat Intelligence. Oferece um forte suporte para ambientes corporativos grandes e complexos.

     • Vantagens:

       • Integração com o Ecossistema Cisco: Fortalece a integração com outros produtos Cisco, como switches e roteadores, além de serviços de segurança baseados em nuvem.

       • Gerenciamento Centralizado: Cisco Firepower Management Center oferece um gerenciamento centralizado robusto e detalhado.

       • Proteção Avançada: Fornece uma proteção sólida contra ameaças avançadas com a integração do Cisco Threat Intelligence.

       • Ampla Escalabilidade: Adequado para grandes ambientes corporativos e provedores de serviços, com desempenho ideal para redes de médio a grande porte.

       • RMA e Suporte: Histórico sólido de suporte e garantia de hardware, com processos de RMA eficientes.

  4. Check Point: Oferecem uma ampla gama de recursos NGFW, incluindo controle de aplicações, inspeção profunda de pacotes, e prevenção de intrusões. A Check Point é conhecida por suas soluções de segurança altamente escaláveis e integradas.

     • Vantagens:

       • Proteção Abrangente: Oferece uma solução abrangente com firewall, IDS/IPS, controle de aplicações e proteção contra ameaças avançadas.

       • Gerenciamento Centralizado: Check Point Security Management fornece uma interface de gerenciamento centralizada eficiente.

       • Performance e Escalabilidade: Alta performance e escalabilidade, adequada para uma ampla gama de ambientes, desde pequenos negócios até grandes corporações.

       • RMA e Suporte: Histórico sólido de suporte e garantia de hardware, com processos de RMA eficientes.

 

7.0 - Justificativa da escolha do tipo de solução:

7.1. A escolha da solução levou em consideração alguns critérios de conformidade com a infraestrutura existente, preservação do conhecimento já existente, integração com o ecosistema já implementado. 

7.2. Nesse sentido, e com base nas opções soluções apresentadas, há de se observar que as opções baseadas em baseadas em código aberto (Open Source) não atendem aos requisitos técnicos apresentados pois possuem limitações tanto nas capacidades técnicas, como de mão de obra especializada para implementação e suporte ao longo da vida útil.

7.3. Isto posto, e com base na análise das soluções baseadas em produtos comerciais, se observa que a Solução 3 é a que mais se ajusta à demanda apresentada, pois:

a) Atende aos requisitos técnicos especificados necessários para a proteção adequada do perímetro de rede do TRE-RR;

b) Possui integração com o Ecossistema Cisco já implementado neste TRE-RR, quais sejam: switches, cisco ISE, firewalls, sistema VoIP, sistema WiFi e cisco DUO;

c) Possui gerenciamento centralizado com o Cisco Firewall Management Center o qual oferece um gerenciamento centralizado robusto e detalhado.

d) Com base na experiência de uso da solução atual, fornece uma proteção sólida contra ameaças avançadas com a integração do Cisco Threat Intelligence.

e) Possui escalabilidade e desempenho necessários e adequados para atender às demandas de crescimento da rede corporativa do TRE-RR

f) Possui atendimento de suporte com padrão de qualidade excelente, considerando o histórico de uso na solução atual para garantia de hardware e software, com processos de RMA^[1]  muito eficientes.

7.4. Também foi realizada uma consulta ao fabricante CISCO na qual foi identificada a necessidade de atualização com substituição de hardware por motivo de descontinuidade de um doa modelos atualmente e operação. Com base nas documentações obtidas (0860179 e 0882588), é necessária a substituição  dos  2 (dois) equipamentos firewall Cisco ASA 5516, S/N: JMX2148G425 e JMX2148G427 por hão haver mais suporte e garantia a partir do ano de 2025.

7.5. Diante do exposto, a solução escolhida dentro do contexto das soluções comerciais é a SOLUÇÃO 3 com substituição de hardware por motivo de fim do suporte e garantia a partir do ano de 2025, com suporte e garantia por 36 meses.

7.6 - Análise final do custo da solução escolhida

*Mapa Comparativo de Preços (0882574)

 

8.0 - Descrição da solução de TI

Solução para o atendimento da presente demanda é a contratação de empresa especializada para a renovação e substituição de suporte à solução de firewall existente a qual é responsável por todo o controle de acesso dentro da rede de dados do TRE-RR e dos filtros de acesso a conteúdos da internet, conforme descrita abaixo, que será selecionada por meio de Licitação, na modalidade Pregão Eletrônico, com o critério de escolha de menor valor para o GRUPO.

8.1. ITEM 1 - Suporte e garantia Cisco Firepower 2130 NGFW Appliance - 36 MESES

8.1.1. Cisco Firepower 2130 NGFW Appliance,1U, 1 x NetMod Bay
8.1.2. Part Number: CON-SSSNT-FPR2130W2
8.1.3. Período e vigência de 36 meses, 5x8 - NBD

8.2. ITEM 2 - Licença Cisco FTD FPR2130  - 36 MESES

8.2.1. Cisco FPR2130 Threat Defense Threat, Malware and URL License,
8.2.2. Part Number: L-FPR2130T-TMC-3Y
8.2.3. Período e vigência de 36 meses

8.3. ITEM 3 - Cisco Firewall NGFW Appliance (modelo de referência: CI-FPR1120-NGFW-K9) - 36 MESES

8.3.1. DESCRIÇÃO:

8.3.1.1. Solução de segurança de Firewall de nova geração (Next Generation Firewall - NGFW) entregue na modalidade appliance (hardware dedicado) e gerência centralizada;
8.3.1.2. Devem ser entregues 02 unidades de firewall;
8.3.1.3. Devem ser entregue 01 de appliance de gerência centralizada na modalidade virtual;
8.3.1.4. Deve ser entregue com licenças/assinaturas para funcionalidades de Firewall, Visibilidade e Controle de aplicações (AVC), Filtro de URL, IPS e Antimalware, por um período de 36 meses com atendimento 5x8 - NBD

8.3.2. CARACTERÍSTICAS DE HARDWARE E DESEMPENHO:

8.3.2.1. Deve possuir capacidade de processamento de, no mínimo, 2.3 (dois ponto três) Gbps para tráfego stateful inspection TCP com as funcionalidades de firewall e controle de aplicações ativas simultaneamente, considerando-se tamanho de pacote de, no máximo, 1024B.
8.3.2.2. Deve possuir capacidade de processamento de, no mínimo, 1.8 (um ponto oito) Gbps para tráfego stateful inspection TCP com as funcionalidades de firewall, controle de aplicações, IPS e Anti-Malware ativas simultaneamente, considerando-se tamanho de pacote de, no máximo, 1024B.
8.3.2.3. Deve possuir capacidade de processamento de, no mínimo, 2 (um ponto dois) Gbps para IPSEC VPN com licenças habilitadas para no mínimo 150 (cento e cinquenta) túneis Gateway-to-Gateway;
8.3.2.4. Suporte a, no mínimo, 20000 (duzentos mil) de conexões simultâneas, com as funcionalidades de firewall e controle de aplicações; 
8.3.2.5. Suporte a, no mínimo, 1000 (quinze mil) novas conexões por segundo, com as funcionalidades de firewall e controle de aplicações; 
8.3.2.6. Deve possuir, no mínimo, 8 (oito) interfaces de redes com velocidade de 1 Gbps RJ45;
8.3.2.7. Deve possuir, no mínimo, 4 (quatro) interfaces de 1 Gbps SFP;
8.3.2.8. Deve possuir 1 (uma) interface de rede 1 Gbps dedicada para gerenciamento;
8.3.2.9. Deve possuir 1 (uma) interface do tipo console ou similar;
8.3.2.10. Deve possuir fonte de energia AC, com ajuste automático de tensão para operação de 100 a 240-VAC/60 Hz;
8.3.2.11. Deve permitir a configuração de, no mínimo, 512 subinterfaces VLAN 801Q;
8.3.2.12. Deve ser próprio para montagem em rack 19”, incluindo kit tipo trilho para adaptação, se necessário, e cabos de alimentação;
8.3.2.13. Deve possuir altura de, no máximo, 1U (unidade padrão de rack)

8.3.3. CARACTERÍSTICAS GERAIS:

8.3.3.1. A plataforma deve ser otimizada para análise de conteúdo de aplicações em camada 7;
8.3.3.2. As funcionalidades de proteção de rede que compõe a plataforma de segurança, podem funcionar em múltiplos appliances desde que obedeçam a todos os requisitos desta especificação;
8.3.3.3. Deverá ser possível acessar o equipamento para aplicar configurações durante momentos onde o trafego é muito alto e a CPU e memória do equipamento estiverem com alto nível de utilização através de isolamento do processamento de gerenciamento e do processamento do tráfego inspecionado;
8.3.3.4. Por cada equipamento que compõe a plataforma de segurança, entende-se o hardware e as licenças de softwares necessárias para o seu funcionamento;
8.3.3.5. Na data da proposta, nenhum dos modelos ofertados poderão estar listados no site do fabricante em listas de end-of-life e end-of-sale;
8.3.3.6. O software deverá ser fornecido em sua versão mais recente e atualizada;
8.3.3.7. O gerenciamento da solução deve suportar acesso via SSH, cliente ou WEB (HTTPS);
8.3.3.8. Os dispositivos de proteção de rede devem possuir pelo menos as seguintes funcionalidades:
8.3.3.9. Agregação de links 802.3ad e LACP;
8.3.3.10. DHCP Relay; 
8.3.3.11. DHCP Server;
8.3.3.12. Jumbo Frames; 
8.3.3.13. Suportar sub-interfaces ethernet lógicas;
8.3.3.14. Deve suportar os seguintes tipos de NAT:

a. NAT dinâmico (Many-to-1);
b. NAT dinâmico (Many-to-Many);
c. NAT estático (1-to-1);
d. NAT estático (Many-to-Many);
e. NAT estático bidirecional 1-to-1;
f. Tradução de porta (PAT);
g. NAT de Origem;
i. NAT de Destino;
j. Suportar NAT de Origem e NAT de Destino simultaneamente;
k. NAT66;
l. NAT64 e NAT46;

8.3.3.15. Deve permitir monitorar via SNMP falhas de hardware, uso de recursos e estatísticas de uso das interfaces de rede;
8.3.3.16. Deve permitir enviar logs para múltiplos sistemas de monitoração externos, simultaneamente; 
8.3.3.17. Deve possuir proteção anti-spoofing;
8.3.3.18. Deve possuir suporte a roteamento estático e dinâmico IPv4 (RIPv2, BGP e OSPFv2) e IPv6 (BGP e OSPFv3);
8.3.3.19. Deve possuir suporte a roteamento multicast (IGMPv1/v2, PIM-SM, Bidir-PIM);  
8.3.3.20. Deve suportar os seguintes modos de operação:
8.3.3.21. Modo Sniffer, para inspeção via porta espelhada do tráfego de dados da rede;
8.3.3.22. Modo Transparente (L2), para inspeção de dados em linha e ter visibilidade e controle do tráfego em nível de aplicação;
8.3.3.23. Modo Roteado (L3), para inspeção de dados em linha e ter visibilidade e controle do tráfego em nível de aplicação operando como default gateway das redes protegidas;
8.3.3.24. Deve ter a capacidade de operar de forma simultânea em uma única instância de firewall, mediante o uso de suas interfaces físicas, nos seguintes modos: Modo Sniffer (monitoramento e análise do tráfego de rede), Transparante (L2) e Roteado (L3);
8.3.3.25. Deve possuir suporte a configuração de alta disponibilidade Ativo/Passivo;
8.3.3.26. A configuração em alta disponibilidade Ativo/Passivo deve sincronizar sessões e configurações, incluindo, mas não limitado as políticas de Firewall, NAT, QoS e objetos de rede;
8.3.3.27. A configuração em alta disponibilidade Ativo/Passivo deve possibilitar monitoração de falha de link;

8.3.4. SDWAN:

8.3.4.1. Deve possuir suporte a Virtual Tunnel Interface (VTI) estático e dinâmico;
8.3.4.2. Suporte para BGP IPv4 e IPv6, OSPFv2/v3 IPv4 e IPv6, e EIGRP IPv4 para VTIs (Virtual Tunnnel Interface);
8.3.4.3. Deve possuir a capacidade de fazer balanceamento de carga entre duas ou mais conexões WAN;
8.3.4.4. Deve permitir a definição de rotas de tráfego baseadas em regras definidas por porta (TCP/UDP) e endereço IP de origem ou destino (PBR – policy based routing); 
8.3.4.5. Deve considerar a escolha da rota de saída baseado na política PBR configurada, levando em consideração, Jitter, Packet-Loss, MOS, RTT, ordem e data de criação da interface;

8.3.5. CONTROLE POR POLÍTICA DE FIREWALL:

8.3.5.1. Deve permitir a criação de regras com controle por usuários, grupos de usuários, IPs, portas, protocolos, redes e zonas de segurança;
8.3.5.2. Deve permitir a criação de regras com controle por aplicações, grupos estáticos de aplicações, grupos dinâmicos de aplicações (baseados em características e comportamento das aplicações) e categorias de aplicações;
8.3.5.3. Deve permitir a criação de regras com controle por geolocalização, permitindo o trafego de determinado Pais/Países sejam permitidos ou bloqueados;
8.3.5.4. Deve permitir a visualização dos países de origem e destino nos logs dos acessos;
8.3.5.5. Deve permitir a criação de regiões geográficas pela interface gráfica e criar regras utilizando as mesmas;
8.3.5.6. Deve permitir controle, inspeção e de-criptografia de SSL/TLS por política para tráfego de entrada (Inbound) e Saída (Outbound);
8.3.5.7. Deve permitir de-criptografar tráfego Inbound e Outbound em conexões negociadas com TLS 1.2 e TLS 1.3; 
8.3.5.8. Deve possuir suporte a objetos e regras IPV6;
8.3.5.9. Deve possuir suporte a objetos e regras multicast;
8.3.5.10. Deve permitir, no mínimo, os seguintes tipos de ação nas regras de firewall: Permissão, Permissão com bypass de inspeções, Monitoramento, Bloqueio sem notificação ao usuário, Bloqueio com notificação ao usuário, Bloqueio com TCP-Reset;
8.3.5.11. Deve permitir a especificação de regras por tempo, ou seja, permitir a definição de regras para determinado horário ou período (dia da semana e hora).   

8.3.6. CONTROLE DE APLICAÇÕES:

8.3.6.1. Deve possuir a capacidade de reconhecer e bloquear aplicações, independente de porta e protocolo;
8.3.6.2. Deve reconhecer pelo menos 3000 (Três mil) aplicações/micro aplicações  diferentes, incluindo, mas não limitado: a tráfego relacionado a peer-to-peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, e-mail;
8.3.6.3. Deve reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, facebook chat, linkedin, twitter/X, citrix, logmein, teamviewer, rdp, vnc, gmail, gmail chat,  google drive, youtube, http-proxy, http-tunnel, whatsapp, 4shared, dropbox, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, ntp, snmp, webex, microsoft teams; 
8.3.6.4. Para tráfego criptografado SSL/TLS, deve de-criptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante;
8.3.6.5. Deve identificar o uso de táticas evasivas via comunicações criptografadas;
8.3.6.6. Deve permitir atualizar a base de assinaturas de aplicações automaticamente; 
8.3.6.7. Deve permitir limitar a banda (download/upload) usada por aplicações (rate limiting), baseado no IP de origem, usuários e grupos do LDAP/AD;
8.3.6.8. Deve ser possível adicionar controle de aplicações em todas as regras de segurança do dispositivo, não se limitando somente a possibilidade de habilitar controle de aplicações em algumas regras;
8.3.6.9. Deve suportar múltiplos métodos de identificação e classificação das aplicações, por pelo menos checagem de assinaturas e decodificação de protocolos;
8.3.6.10. Deve permitir nativamente a criação de assinaturas personalizadas para reconhecimento de aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante, mantendo a confidencialidade das aplicações do ambiente da Contratante;
8.3.6.11. A criação de assinaturas personalizadas deve permitir o uso de expressões regulares, contexto (sessões ou transações), usando posição no payload dos pacotes TCP e UDP;
8.3.6.12. O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações;
8.3.6.13. Deve incluir classificação de aplicativos por categorias, tais como Peer to Peer, Instant Messaging e Social Networking;
8.3.6.14. Deve possibilitar a diferenciação e controle de partes de aplicações como por exemplo permitir o uso do chat e bloquear a chamada de vídeo;  

8.3.7. PREVENÇÃO DE AMEAÇAS (IPS):

8.3.7.1. Deve possuir módulo de IPS integrado;
8.3.7.2. Deve ser capaz de criar regras independentes para cada segmento monitorado;
8.3.7.3. Deve ser capaz de reconstruir e inspecionar fluxos de dados na camada de aplicação;
8.3.7.4. Deve possuir capacidade de remontagem de fluxo TCP e IP defragmentation;
8.3.7.5. Deve sincronizar as assinaturas de IPS quando implementado em alta disponibilidade;
8.3.7.6. Deve permitir ativar, desativar e habilitar apenas em modo de monitoração as assinaturas de prevenção contra invasão; 
8.3.7.7. Deve ser possível criar exceções por IP de origem ou de destino nas regras e assinaturas; 
8.3.7.8. Deve ser possível a ativação de diferentes políticas de IPS em diferentes regras de firewall, considerando: Usuários, Grupos de usuários, origem, destino, zonas de segurança, etc;
8.3.7.9. Deve permitir detectar e bloqueio de exploits conhecidos;
8.3.7.10. Deve ser capaz de analisar padrões de estado de conexões;
8.3.7.11. Deve ser capaz de realizar decodificação e análise de protocolo; 
8.3.7.12. Deve ser capaz de detectar e bloquear anomalias de protocolo;
8.3.7.13. Deve ser capaz de detectar e bloquear pacotes malformados;
8.3.7.14. Deve ser capaz de detectar e bloquear ataques DoS básicos como: Syn flood, ICMP flood, UDP flood, etc; 
8.3.7.15. Deve ser capaz de detectar e bloquear a origem de portscans; 
8.3.7.16. Deve ser capaz de detectar e bloquear ataques efetuados por worms conhecidos, permitindo ao administrador acrescentar novos padrões; 
8.3.7.17. Deve possuir assinaturas para bloqueio de ataques de buffer overflow;
8.3.7.18. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
8.3.7.19. Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS, permitindo a criação de exceções com granularidade nas configurações;
8.3.7.20. Deve permitir criar ou importar regras no padrão OpenSource (SNORT), com possibilidade de habilitá-las para simples monitoramento ou para bloqueio de tráfego, não deve haver limite da quantidade de regras a serem criadas ou importadas e não deve haver limite de funcionalidade nas regras criadas ou a serem importadas;
8.3.7.21. Não deve haver limite pré-estabelecido da quantidade de regras a serem criadas ou importadas e não deve haver limite de funcionalidade nas regras criadas ou a serem importadas;
8.3.7.22. Deve permitir a inclusão de informações de vulnerabilidades oriundas de ferramentas de varredura externa (ex.: Nessus, Qualys, Foundstone, etc);
8.3.7.23. Deve permitir coletar, armazenar e correlacionar informações adquiridas passivamente sobre hosts que trafegam pelos segmentos monitorados pelo(s) IPS. Caso não possua essa capacidade de forma autônoma, será aceita composição e integração com outra solução do mesmo fabricante que realize a tarefa. No mínimo as seguintes informações devem ser correlacionadas e armazenadas:
8.3.7.24. Sistema operacional do Host; 
8.3.7.25. Serviços existentes no Host;
8.3.7.26. Portas em uso no Host;
8.3.7.27. Aplicações em uso no Host;
8.3.7.28. Vulnerabilidades existentes no Host;
8.3.7.29. Smart phones e tablets;
8.3.7.30. Network flow;
8.3.7.31. Anomalias de redes;
8.3.7.32. Identidades de usuários;
8.3.7.33. Tipo de arquivo e protocolo;
8.3.7.34. Conexões maliciosas.
8.3.7.35. Deve registrar na console de monitoração o nome da assinatura ou do ataque, aplicação, usuário, origem e destino da comunicação, além da ação tomada pelo dispositivo;
8.3.7.36. Deve suportar a captura de pacotes (PCAP), por assinatura de IPS e controle de aplicação;
8.3.7.37. Deve possuir a função de proteção a resolução de endereços via DNS, identificando requisições de resolução de nome para domínios maliciosos de botnets conhecidas;
8.3.7.38. Os eventos devem identificar o país de onde partiu a ameaça; 
8.3.7.39. Deve possuir proteção contra scripts maliciosos javascript em conteúdo HTML;
8.3.7.40. Deve possuir base de inteligência própria com listas/feeds de IP, Domínio e URL para bloqueio de acesso a destinos relacionados a ameaças (malware, botnets, C2C, etc) com atualização automática de frequência ajustável;
8.3.7.41. Deve permitir a customização de listas/feeds de IP, Domínio e URL para bloqueio de acesso;
8.3.7.42. Deve permitir o cadastro de feeds de IP, Domínio e URL de terceiros para bloqueio de acesso;
8.3.7.43. Deve permitir integração com listas e feeds de IP, Domínio e URL de terceiros no formato STIX para bloqueio de acesso;
8.3.7.44. Deve permitir detecção e bloqueio de arquivos em comunicações de entrada e saída;
8.3.7.45. Deve permitir detecção e bloqueio de arquivos trafegados nos seguintes protocolos HTTPS, FTP, HTTP, SMTP, IMAP, POP3 e SMB;
8.3.7.46. Deve permitir detecção e bloqueio de, pelo menos, os seguintes tipos de arquivo: 7Z, 9XHIVE, ACCDB, ALZ, AMF, AMR, ARJ, ASF, AUTORUN, BINARY_DATA, BINHEX, BMP, BZ, CPIO_CRC, CPIO_NEWC, CPIO_ODC, DICM, DMG, DMP, DOCX, DWG, EGG, EICAR, ELF, EPS, FFMPEG, FLAC, FLIC, FLV, GZ, HLP, HWP, IMG_PICT, INTELHEX, ISHIELD_MSI, ISO, IVR, JAR, JARPACK, LHA, LNK, M3U, MACHO, MAIL, MAYA, MDB, MDI, MIDI, MKV, MNY, MOV, MP3, MP4, MPEG, MSCAB, MSCHM, MSEXE, MSHTML, MSOLE2, MSSZDD, MSWORD_MAC5, MWL, NEW_OFFICE, NTHIVE, OGG, OLD_TAR, ONE, PCAP, PDF, PGD, PLS, POSIX_TAR, PPTX, PSD, PST, R1M, RA, RAR, REC, REG, RIFF, RIFX, RMF, RPM, RTF, S3M, SAMI, SCR, SCRENC, SIS, SIT, SMIL, SWF, SYLKC, SYMANTEC, TNEF, TORRENT, UUENCODED, VB, VMDK, WAB, WAV, WEBM, WMF, WP, WRI, XLSX, XLW, XPS, ZIP, ZIP_ENC;

8.3.8. PROTEÇÃO ANTI-MALWARE:

8.3.8.1. Deve possuir funcionalidades para detecção e bloqueio de Malwares conhecidos e não conhecidos incluídas na própria solução;
8.3.8.2. Deve permitir detecção e bloqueio de Malwares em comunicações de entrada e saída;
8.3.8.3. Deve permitir detecção e bloqueio de Malwares em arquivos trafegados nos seguintes protocolos HTTPS, FTP, HTTP, SMTP, IMAP, POP3 e SMB;
8.3.8.4. Deve permitir de forma automática a criação e manutenção de um histórico ou fluxo de trabalho forense no qual seja possível identificar Inserção de malware no ambiente de rede e movimento lateral, mesmo quando esta não seja detectada inicialmente como malware.
8.3.8.5. Deve permitir selecionar através de políticas granulares quais tipos de arquivos sofrerão esta análise incluindo, mas não limitado a: endereço IP de origem/destino, usuário/grupo do AD/LDAP, aplicação, porta, URL/categoria de URL de destino, tipo de arquivo ou uma combinação desses parâmetros;
8.3.8.6. Deve permitir a inspeção, detecção e bloqueio de Malware para, pelo menos, os seguintes tipos de arquivos: 7Z, ACCDB, ARJ, BINARY_DATA, BINHEX, BZ, CPIO_CRC, CPIO_NEWC, CPIO_ODC, EICAR, FLV, GZ, ISHIELD_MSI, JAR, JARPACK, LHA, MAIL, MDB, MDI, MNY, MSCAB, MSCHM, MSEXE, MSOLE2, MSWORD_MAC5, NEW_OFFICE, OLD_TAR, PDF, POSIX_TAR, PST, RAR, RTF, SIS, SIT, SWF, TNEF, WAB, WRI, XLW, XPS, ZIP, ZIP_ENC;
8.3.8.7. Deve permitir que seja definido o tamanho máximo dos arquivos a serem inspecionados;
8.3.8.8. Deve permitir o bloqueio de arquivos comprimidos protegidos por senha ou que não sejam capazes de ser analisados;
8.3.8.9. Deve utilizar mecanismo automático de consulta a uma base de reputação global do fabricante, com análise contínua, machine learning e big data, permitindo assim que sejam adotadas ações automáticas de alerta e bloqueio de arquivos suspeitos ou malwares já encontrados anteriormente.
8.3.8.10. Deve possuir mecanismos de whitelist e blacklist para implementar controles customizados de forma automatizada.
8.3.8.11. Deve permitir integração com listas de hashs (SHA256) de arquivos no formato STIX;
8.3.8.12. Deve possuir capacidade de envio de arquivos suspeitos de forma automática para análise em nuvem do fabricante, onde o arquivo será executado e simulado em ambiente controlado virtualizado (Sandbox);
8.3.8.13. Não deve depender ou utilizar de forma exclusiva mecanismos de Sandbox para que seja feita a detecção e o bloqueio de ameaças malwares em tempo-real.
8.3.8.14. A utilização de recursos de Sandbox não deve depender da configuração manual de imagens ou escolha de versões específicas de sistemas operacionais;
8.3.8.15. Deve identificar ataques como: ataques direcionados, Zero Day, exploração de vulnerabilidades, indicadores de ofuscação e indicadores de comprometimento automáticos.
8.3.8.16. Para recursos de análise virtualizada existente,  deve ser mantido um histórico dos resultados de avaliações prévias de um arquivo e utilizar esta informação para determinar de forma configurável que o arquivo seja considerado malware a partir de certo limite.
8.3.8.17. Deve suportar a análise com pelo menos 100 (cem) tipos de comportamentos maliciosos para detecção das ameaças não conhecidas; 
8.3.8.18. Deve permitir o download dos malwares identificados a partir da própria interface de gerência;

8.3.9. FILTRO DE URL:

8.3.9.1. Suportar a capacidade de criação de políticas baseadas no controle por URLs, categoria de URL e reputação de URLs;
8.3.9.2. Deve possuir base ou cache de URLs local no appliance ou em nuvem do próprio fabricante, evitando delay de comunicação/validação das URLs;
8.3.9.3. Possuir pelo menos 60 categorias de URLs;
8.3.9.4. Deve permitir a criação de objetos de URLs customizados individuais, listas e feeds;
8.3.9.5. Deve possuir a função de exclusão de URLs do bloqueio, por categoria;
8.3.9.6. Deve permitir a customização de página de bloqueio;
8.3.9.7. Deve permitir o bloqueio e continuação (possibilitando que o usuário acesse um site potencialmente bloqueado informando o mesmo na tela de bloqueio e possibilitando a utilização de um botão Continuar para permitir o usuário continuar acessando o site);
8.3.9.8. Deve possuir a capacidade de criação de políticas baseadas na visibilidade e controle de quem está utilizando quais URLs através da integração com serviços de diretório, Active Directory e base de dados local;

8.3.10. IDENTIFICAÇÃO DE USUÁRIOS:

8.3.10.1. Deve incluir a capacidade de criação de políticas baseadas na visibilidade e controle de usuários através da integração com serviços de diretório, autenticação via LDAP, Active Directory e base de dados local;
8.3.10.2. Deve possuir integração com Microsoft Active Directory para identificação de usuários e grupos permitindo granularidade de controle/politicas baseadas em usuários e grupos de usuários;
8.3.10.3. Deve possuir integração e suporte a Microsoft Active Directory para Windows Server 2012, 2016 e 2019;
8.3.10.4. Deve possuir integração com Radius para identificação de usuários e grupos permitindo granularidade de controle/politicas baseadas em usuários e grupos de usuários;
8.3.10.5. Deve possuir integração com LDAP para identificação de usuários e grupos permitindo granularidade de controle/politicas baseadas em Usuários e Grupos de usuários;
8.3.10.6. Deve permitir o controle, sem instalação de cliente de software, em equipamentos que solicitem saída a internet para que antes de iniciar a navegação, expanda-se um portal de autenticação residente no firewall (Captive Portal);

8.3.11. VPN:

8.3.11.1. Deve suportar VPN site-to-site com, no mínimo, as seguintes características:
8.3.11.2. Deve suportar topologias Ponto-a-Ponto, Hub-and-Spoke e Full Mesh; 
8.3.11.3. Deve suportar protocolo IPSEC (IKEv1 e IKEv2);
8.3.11.4. Deve suportar autenticação via certificado e via chaves compartilhadas (pre-shared keys);
8.3.11.5. Deve suportar interfaces estáticas e dinâmicas;
8.3.11.6. Deve suportar roteamento estático e dinâmico (no mínimo, OSPF e BGP); 
8.3.11.7. Deve suportar VPN client-to-site, no mínimo, com as seguintes características:
8.3.11.8. Deve suportar protocolos IPSEC (IKEv2) e SSL (TLS e DTLS); 
8.3.11.9. Deve suportar autenticação via certificado;
8.3.11.10. O cliente de VPN client-to-site deve ser compatível ou suportar pelo menos: Windows 10 (32 e 64 Bits), Apple IOS, Android, Mac OSx 10 e Linux;
8.3.11.11. Deve suportar atribuição de endereço IP e DNS nos clientes remotos de VPN; 
8.3.11.12. Deve suportar autenticação única (sigle-sign-on) aos usuários, integrando-se com as ferramentas de Windows login; 
8.3.11.13. Deve suportar políticas por usuários e grupos; 
8.3.11.14. Deve suportar criptografia AES e AES-GCM, nas versões de 128, 192 e 256 bits; 
8.3.11.15. Deve suportar integridade de dados com SHA-2, nas versões de 256, 384 e 512 bits;
8.3.11.16. Deve suportar os algoritmos RSA e Diffie-Hellman groups 14, 15, 16, 19, 20, 21 e 31; 
8.3.11.17. Deve suportar autoridade certificadora integrada ao gateway VPN, à solução de gerenciamento centralizado ou CA externa de terceiros; 
8.3.11.18. Deve suportar a integração com autoridades certificadoras de terceiros que possam gerar certificados no formato PKCS12;
8.3.11.19. Deve suportar a solicitação de emissão de certificados a uma autoridade certificadora de confiança (enrollment) via SCEP (Simple Certificate Enrollment Protocol) ou CSR (Certificate Signing Requests); 
8.3.11.20. Deve suportar a leitura e verificação de CRLs (certification revogation lists); 
8.3.11.21. Deve permitir a aplicação de políticas de segurança e visibilidade para as aplicações que circulam dentro dos túneis de SSL;
8.3.11.22. Deve suportar a integração com diretórios Active Directory para a autenticação de usuários de VPN e regras de acesso;    

8.4. ITEM 4 - SOLUÇÃO DE GERÊNCIA E RELATÓRIOS: Cisco Firewall Management Center - 36 MESES

8.4.1. As funcionalidades de gerência e retenção de logs que compõem a plataforma de segurança, podem funcionar em múltiplos appliances desde que obedeçam a todos os requisitos desta especificação;
8.4.2. Deve centralizar funções de configuração de monitoramento, análise de logs e geração de relatórios, usando uma única interface de gerenciamento;
8.4.3. O gerenciamento da solução deve suportar acesso via SSH, WEB (HTTPS) e API aberta;
8.4.4. Deve permitir exportar logs para soluções externas como SIEM;
8.4.5. Não será permitido a instalação de cliente para administração do appliance de Firewall;
8.4.6. Deve incluir visualização de logs e relatórios relacionados a conexões, detecções e bloqueios;
8.4.7. Deve incluir ferramentas de investigação de logs;
8.4.8. Deve incluir visualização das capturas de pacotes realizadas nos ataques detectados;
8.4.9. Deve permitir acesso concorrente de administradores;
8.4.10. Deve permitir a separação de domínios administrativos (multi-tenancy);
8.4.11. Deve possuir um mecanismo de busca por comandos no gerenciamento via SSH, facilitando a localização de comandos;
8.4.12. Deve permitir monitorar eventos diretamente relacionados a identificação de aplicação e análise de ameaças como, mas não limitado à, ocorrência de botnets, ocorrência de vírus na rede e acesso a sites de grupos extremistas ou pedofilia
8.4.13. Deve permitir o bloqueio de alterações, no caso acesso simultâneo de dois ou mais administradores;
8.4.14. Deve permitir a definição de perfis de acesso à console com permissões granulares como: acesso de escrita, acesso de leitura, criação de usuários, alteração de configurações;
8.4.15. Deve permitir autenticação integrada ao Microsoft Active Directory (AD) e servidor Radius para acesso à console de gerência;
8.4.16. Deve permitir gerar logs de auditoria detalhados, informando a configuração realizada, o administrador que a realizou e o horário da alteração; 
8.4.17. Deve ter a capacidade de gerar um relatório gráfico que permita visualizar as mudanças na utilização de aplicações na rede no que se refere a um período de tempo anterior, permitindo comparar os diferentes consumos realizados pelas aplicações no decorrer do tempo;
8.4.18. Deve prover relatórios com visão correlacionada de aplicações, ameaças, URLs e filtro de arquivos, para melhor diagnóstico e resposta a incidentes;
8.4.19. Deve prover relatórios de resumo de SDWAN que ofereça uma visão abrangente dos dispositivos de WAN e suas interfaces associadas na implantação, além de auxiliar na identificação de problemas relacionados a dispositivos e caminhos de rede.
8.4.20. Deve possuir exibição das seguintes informações, de forma histórica ou em tempo real:

8.4.20.1. Top aplicações;
8.4.20.2. Conectitivade WAN;
8.4.20.3. Topologia VPN;
8.4.20.4. Taxa de tranferência de cada interface;
8.4.20.5. Inventário de dispositivos;
8.4.20.6. Saúde de dispositivo WAN;

8.4.21. Deve permitir a criação de painéis de instrumentos (dashboards) ou relatórios customizados para visibilidades do tráfego de aplicativos, usuários, categorias de URL, ameaças identificadas pelo IPS, ameaças identificadas pelo antimalware, aplicações mais utilizadas, protocolos mais utilizados, principais atacantes ( com informação de geolocalização);
8.4.22. Deve possibilitar a coleta de estatísticas de todo o tráfego que passar pelos dispositivos de segurança gerenciados;
8.4.23. Deve prover uma visualização sumarizada das aplicações e URLs que passaram pela solução;
8.4.24. Deve possuir mecanismo "Drill-Down" para navegação nos dashboards em tempo real;
8.4.25. Deve ser possível exportar os logs em CSV;
8.4.26. Deve permitir que os logs e relatórios sejam rotacionados automaticamente baseado no tempo em que estão armazenados na solução;
8.4.27. Deve possuir exibição das seguintes informações, de forma histórica ou em tempo real:

8.4.27.1. Situação do dispositivos;
8.4.27.2. Principais aplicações;
8.4.27.3. Principais aplicações por risco;
8.4.27.4. Principais ameaças;
8.4.27.5. Uso de CPU e memória;

8.4.28. No mínimo os seguintes relatórios devem poder ser gerados:

8.4.28.1. Resumo gráfico de aplicações utilizadas; 
8.4.28.2. Principais aplicações por utilização de largura de banda de entrada e saída; 
8.4.28.3. Principais aplicações por taxa de transferência de bytes;
8.4.28.4. Principais hosts por número de ameaças identificadas; 
8.4.28.5. Atividades de um usuário específico e grupo de usuários do AD/LDAP, incluindo aplicações acessadas, categorias de URL,  ameaças de rede vinculadas a este tráfego;

8.4.29. Deve permitir a criação de relatórios personalizados; 
8.4.30. Deve permitir o envio de alertas automáticos via:

8.4.30.1. Email;
8.4.30.2. SNMP;
8.4.30.3. Syslog;

8.4.31. Deve permitir a criação e administração de múltiplas políticas a serem aplicadas nos dispositivos;
8.4.32. Deve permitir usar palavras chaves e cores para facilitar identificação de regras;  
8.4.33. Deve possuir alerta de alterações, no caso acesso simultâneo de dois ou mais administradores; 
8.4.34. Deve incluir mecanismo de localização de em quais regras um endereço IP, IP Range, subnet ou objetos estão sendo utilizados; 
8.4.35. Deve possuir mecanismo de validação das políticas, avisando quando houver regras que, ofusquem ou conflitem com outras;
8.4.36. Deve possibilitar a visualização e comparação de configurações atuais, configuração anterior e configurações antigas.
8.4.37. Deve possibilitar backup das configurações e rollback de configuração para a última configuração salva;
8.4.38. Suporte e garantia com vigência de 36 meses com atendimento 5x8 - NBD

8.4.39. APPLIANCE DE GERÊNCIA VIRTUAL

8.4.39.1. Deve suportar os seguintes ambientes virtuais: VMware, KVM, AWS, Azure, GCP, OCI, Nutanix, Hyperflex, OpenStack;
8.4.39.2. Deve ter capacidade e ser licenciado para gerenciar, no mínimo, 10 (dez) dispositivos firewall;
8.4.39.3. Deve suportar, no mínimo, 2.000 (dois mil) eventos por segundo;
8.4.39.4. Deve possuir memória de, no mínimo, 32GB;
8.4.39.5. Deve possuir espaço de armazenamento total de, no mínimo, 250 Gb;
 

8.5. ITEM 5 - SERVIÇO DE INSTALAÇÃO, CONFIGURAÇÃO E MIGRAÇÃO, COM REPASSE DE CONHECIMENTO - ITENS 1, 2, 3 E 4
   

8.5.1. INFORMAÇÕES RELEVANTES PARA FORMAÇÃO DAS PROPOSTAS

8.5.1.1. O planejamento dos serviços de instalação deve resultar num documento tipo SOW (em tradução livre, escopo de trabalho)contendo:

8.5.1.1.1. A relação, descrição e quantidades dos produtos fornecidos
8.5.1.1.2. A descrição da infraestrutura atual e desejada
8.5.1.1.3. O detalhamento dos serviços que serão executados, premissas do projeto, locais e horários de execução dos serviços
8.5.1.1.4. Condições de execução dos serviços, pontos de contato da CONTRATADA e CONTRATANTE, 
8.5.1.1.5. Cronograma de execução do projeto em etapas;

8.5.1.2. Todos os parâmetros a serem configurados deverão ser alinhados entre as partes em reuniões de pré-projeto, devendo a CONTRATADA sugerir as configurações de acordo com normas técnicas e boas práticas, cabendo à CONTRATANTE a sua aceitação expressa ou recusa nos casos de não atendimento das condições estabelecidas;
8.5.1.3. Os serviços deverão ser realizados por pessoal técnico experiente e certificado pelo fabricante da solução, conforme item QUALIFICAÇÃO TÉCNICA.
8.5.1.4. A CONTRATADA deverá garantir a confidencialidade das informações, dados e senhas compartilhadas da CONTRATANTE;  
8.5.1.5. Todos os softwares, patches, correções, ou quais outros componentes devem necessariamente ser atualizados para a versão mais recente e estável, compatível com os demais componentes da solução;
8.5.1.6. O serviço de que trata estes item deverá abranger quaisquer funcionalidades suportadas pela solução as quais poderão fazer parte do escopo do projeto, informações estas que devem documentadas no termo de abertura do projeto o qial deve ser de responsabilidade da CONTRATADA;
8.5.1.7. Ao término dos serviços deve ser criado um relatório detalhado contendo todos os itens configurados no projeto (relatório as-built), etapas de execução e toda informação pertinente para posterior continuidade e manutenção da solução instalada, como usuários e endereços de acesso, configurações realizadas e o resumo das configurações dos equipamentos. Este relatório deve ser enviado com todas as informações em até 15 dias após a finalização dos serviços; 
8.5.1.8. Ao final da instalação, deverá ser realizado o repasse de configurações/conhecimento no formato hands-on, on-site nas dependências do TRE-RR.
8.5.1.9. A execução dos serviços ocorrerá na modalidade presencial, na sede da CONTRATANTE, conforme segue:

8.5.1.9.1. TRIBUNAL REGIONAL ELEITORAL DE RORAIMA, Av. Juscelino Kubitschek, 543 - São Pedro - Boa Vista - RR - CEP. 69.306-685

8.5.2    INSTALAÇÃO, CONFIGURAÇÃO E MIGRAÇÃO

8.5.2.1. Realizar a desembalagem e instalação de acessórios de todos os componentes que integram a especificação. Os equipamentos devem ser montados nos racks padrão 19” existentes e devem ser energizados através da infraestrutura de energia elétrica disponíveis. 
8.5.2.2. Realizar a conectorização das interfaces de rede e interface de gerenciamento dos equipamentos;  
8.5.2.3. Analisar o ambiente atual como topologia de rede, configurações de camada 2, camada 3 e migração de regras dos firewalls em produção (se houver) para a nova solução; 
8.5.2.4. Implementar a solução de gerência de firewall realizando o cadastramento e configuração de todos os firewalls fornecidos para centralizar os logs e relatórios; Registro e configuração na Solução de Gerência e Relatórios de Firewall; 
8.5.2.5. Efetuar a configuração dos perfis de acesso da solução de gerência com as devidas permissões conforme acordado previamente no planejamento dos serviços utilizando de autenticação integrada ao Microsoft Active Directory (AD) ou servidor radius; 
8.5.2.6. Configurar as funcionalidades relevantes a implementação da solução conforme acordado previamente no planejamento dos serviços como: Endereçamento, VLANs, LACP, DHCP e tipos NAT;
8.5.2.7. Configurar o monitoramento da solução via SNMP em sistema de gerenciamento da CONTRATANTE para monitoramento de falhas de hardware, uso de recursos e estatísticas de uso das interfaces de rede;
8.5.2.8. Configurações de roteamento conforme acordado previamente no planejamento dos serviços como configurações de roteamento estático e protocolos dinâmicos como BGP e OSPF para IPv4 ou IPv6; 
8.5.2.9 . Configuração de interfaces em modos: transparente, camada 2 (L2) ou camada 3 (L3), conforme acordado previamente no planejamento dos serviços;
8.5.2.10. Realizar a configuração das políticas de firewall analisando a configuração dos equipamentos atuais e sugerindo novas regras para implementação de controles por zona de segurança, políticas por porta e protocolo, políticas por aplicações, categorias de aplicações, políticas por usuários, grupos de usuários e politicas por geolocalização;
8.5.2.11. Configurar regras de IPS, Anti-Malware e Filtro URL arquivos conforme acordado previamente no planejamento dos serviços;Realizar backup das configurações realizadas. 
8.5.2.12. Habilitação de licenças que porventura sejam adquiridas e recursos do equipamento que serão utilizados no projeto;
8.5.2.13. As verificações dos recursos e o seu perfeito funcionamento e integração com os demais, conforme as melhores práticas indicadas pelo fabricante. 

8.5.3    MONITORAMENTO PÓS INSTALAÇÃO:

8.5.3.1    Após a instalação, a solução deverá ser monitorada pelo prazo mínimo de 8 (oito) horas corridas, observando as condições de funcionamento e performance dos equipamentos, sendo possível o troubleshooting em caso de problemas ou não conformidades na operação; 
8.5.3.2    As instalações feitas remotamente deverão ser acompanhadas on-line pela CONTRATADA. 
8.5.3.3    Ao final da instalação, deverá ser realizado o repasse de configurações hands-on apresentando as configurações realizadas nos equipamentos pelo prazo mínimo de 8 (oito) horas corridas.
8.5.3.4    Os serviços deverão ser realizados por pessoal técnico experiente e certificado pelo fabricante dos equipamentos.
8.5.3.5    Em momento anterior à instalação,a CONTRATANTE poderá solicitar os comprovantes da qualificação profissional do(s) técnico(s) que executará(ão) os serviços, sendo direito da mesma a sua aceitação ou exigência de troca de profissional no caso de este não satisfazer às condições supramencionadas;
8.5.3.6    Ao término dos serviços de instalação deve ser criado um relatório detalhado contendo todos os itens configurados no projeto (relatório as-built), etapas de execução e toda informação pertinente para posterior continuidade e manutenção da solução instalada, como usuários e endereços de acesso, configurações realizadas e o resumo das configurações dos equipamentos. Este relatório deve ser enviado com todas as informações em até 15 dias após a finalização dos serviços;

8.6. ITEM 6 - Módulo para par metálico - 36 MESES

8.6.1. Módulo Cisco 1000BASE-T SFP/CAT5 (for Category 5 cooper wir)
8.6.2. Part Number: CI-GLC-TE=

8.7. QUALIFICAÇÃO TÉCNICA

8.7.1. PARA HABILITAÇÃO TÉCNICA

8.7.1.1. Comprovação de aptidão para o fornecimento de bens similares de complexidade tecnológica e operacional equivalente ou superior com o objeto desta contratação, ou com o item pertinente, por meio da apresentação de certidões ou atestados, por pessoas jurídicas de direito público ou privado, ou regularmente emitido(s) pelo conselho profissional competente, quando for o caso.

8.7.1.1.1. Para fins da comprovação de que trata este subitem, os atestados deverão dizer respeito a contratos executados com as seguintes características mínimas:

a) Serviço de instalação, configuração, migração e repasse de conhecimento cujo objeto seja Solução Cisco Firewall.

8.7.1.1.2. Comprovação através de documentação oficial do fabricante ou sítio oficial do fabricante na Internet, de que é qualificada no mínimo como parceira Cisco de nível intermediário (Systems Premier).

8.7.1.1.3. O (s) atestado (s) deverá (ão) conter informações para a realização de possível diligência (e-mail, pessoa para contato, telefones, etc.) junto aos emissores do (s) respectivo (s) atestado (s).
  

8.7.2. PARA ASSINATURA DO CONTRATO:

8.7.2.1. Para fins de assinatura do contrato, a futura Contratada deverá apresentar os seguintes documentos:

i. Documentação que comprove possuir pelo menos um profissional responsável técnico Analista de Sistemas;
ii. Documentação que comprove possuir em sua equipe técnica: 
iii. No mínimo, 1 (um) profissional com certificação emitida pelo fabricante em nível expert;
iv. No mínimo, 1 (um) profissional com certificação emitida pelo fabricante em nível profissional; 
v. No mínimo, 1 (um) profissional com conhecimentos na biblioteca ITIL (Information Technology Infrastructure Library) comprovado por certificação ITIL Foundation versão 3 ou superior;
vi. No mínimo, 1 (um) profissional PMP (Project Management Professional), certificado pelo PMI (Project Management Institute) ou versão superior.

8.7.2.2. As certificações acima poderão pertencer a um mesmo profissional. 

 

9.0 - Justificativa para o parcelamento

9.1. Os itens fazem parte de uma solução integrada de segurança cibernética para a infraestrutura do Tribunal Regional Eleitoral de Roraima (TRE-RR), desta forma serão licitados em único grupo.

9.2. O agrupamento dos itens se justifica por todos estarem relacionados à proteção da rede de dados da organização, oferecendo controle de acesso, proteção contra ameaças externas e manutenção da integridade e disponibilidade dos dados críticos para a Justiça Eleitoral.

9.3. Esses itens são interdependentes e garantem a operação segura da rede, oferecendo alta disponibilidade, proteção contra ataques e monitoramento centralizado, o que facilita a administração e a mitigação de ameaças emergentes. Ao serem adquiridos juntos, criam um ecossistema de segurança unificado, o que aumenta a eficiência e a escalabilidade do sistema.

9.4. Dessa forma, o agrupamento dos itens reflete a necessidade de garantir a compatibilidade e integração de todos os componentes para manter a continuidade, alta disponibilidade e eficiência da solução de segurança.

9.5. Portanto, a licitação da solução em grupo único é justificada para garantir a compatibilidade das tecnologias, facilitar a integração entre as unidades, bem como proporcionar o treinamento adequado relacionado à solução.

9.6. Ademais, o agrupamento dos itens não representa qualquer restrição ou prejuízo à ampla concorrência, visto que diversas empresas são capazes de fornecer a solução ora pretendida.

 

10.0 – Adequação do Ambiente

10.1 – Infraestrutura Tecnológica

• Não há necessidade de adequação.

10.2 – Infraestrutura Elétrica

• Não há necessidade de adequação.

10.3 – Logística de Implantação

• A implantação será realizada mediante agendamento com a equipe técnica da COINT.

10.4 – Espaço físico

• Não há necessidade de adequação.

10.5 – Mobiliário

• Não há necessidade de mobiliário específico para solução.

10.6 – Impacto ambiental

• Os requisitos sociais e culturais não se aplicam a equipamentos desta natureza.
• Quanto aos requisitos ambientais, os mesmo não se aplicam a equipamentos desta natureza

 

 

 

 

 

____________________________

[1] RMA é uma sigla para Return Material Authorization, que em português significa Autorização de Retorno de Material. É um processo formal que permite aos clientes, distribuidores ou distribuidores devolverem produtos para reparo, substituição ou reembolso. Geralmente, o processo de RMA é usado em casos de produtos com defeitos de fábrica, erros de envio ou danos durante o transporte.

Boa Vista, 05 de agosto de 2024.