Přesné znění žádosti (dotazu)
Dobrý den,
V příloze si dovoluji požádat o vysvětlení zadávací dokumentace.
S pozdravem
Odpověď
Dobrý den,
níže předkládáme dotazy a odpovědi:
•Může zadavatel upřesnit počet importovaných certifikátů/privátních klíčů pro TLS komunikaci?
Odpověď zadavatele : MZe předpokládá import certifikátů v objemu do 100 certifikátů.
•Může zadavatel upřesnit způsob importu privátních klíčů do BIG-IP? Bude tento import prováděn
manuálně či jinak?
Odpověď zadavatele : Zvolení způsobu importu certifikátů a k nim příslušejících soukromých klíčů je čistě na volbě Dodavatele, s tím, že s důvěrnými daty (v tomto případě se soukromými klíči) je třeba nakládat v souladu s bezpečnostní politikou Zadavatele.
•Může zadavatel upřesnit způsob zabezpečení privátních klíčů? Pokud heslem, budou mít privátní
klíče stejná hesla nebo každý privátní klíč bude mít individuální heslo tj. počet privátních klíčů =
počet unikátních hesel?
Odpověď zadavatele : Zadavatel potvrzuje domněnku, že soukromý klíč je šifrován symetrickým klíčem, který je odvozen z individuálního hesla pro daný soukromý klíč, t.j. počet soukromých klíčů je roven počtu unikátních hesel.
•V kapitole 2.5 "Vytvoření Virtuálních Serverů, návazných objektů a jejich konfigurace" je
požadováno, aby každý VS měl vlastní SNAT. Zároveň v kapitole 1.7 ADC MZe je zmíněna
topologie ADC One-arm mode. Z tohoto lze usuzovat, že záměrem je zachovaní One-arm módu s
přihlédnutím k Route Domain (a.k.a VRF). Nicméně využití SNAT je v kapitole "6.1 Obrázek s
budoucím cíl. stavem (PBR)" následně vyloučeno. Může zadavatel upřesnit záměr migrace z
existujícího na nové řešení a jakou roli v tom hraje přechod na PBR? Budou dodatečně prováděny
změny v topologii?
Odpověď zadavatele: Zadavatel předpokládá v rámci plánovaného budoucího projektu přechod ke změněné síťové topologii okolo ADC s využitím PBR. V rámci této konkrétní VZ je požadována konfigurace s využitím SNAT v režimu „One-arm“, ale s maximálním možným přihlédnutím k plánovanému budoucím projektu MZe.
Tento požadavek je uveden v kapitole 2.1 „Sjednocení vCMP kontextů a rozdělení toků do routing domains (RD)“
Konkrétně se jedná o bod „návrh a provedení musí být v souladu též s plánovaným budoucím rozvojem síťové infrastruktury MZe, jako je implementace segmentačního FW a přechod z SNAT na PBR – viz obrázek a popis v kapitole: 6.1“
•Může zadavatel potvrdit domněnku, že cílový stav v kapitole "6.1 Obrázek s budoucím cíl. stavem
(PBR)" nevyžaduje nebo nezahrnuje F5 BIG-IP jako zařízení jakkoliv odpovědné za funkci PBR?
Odpověď zadavatele : Zadavatel potvrzuje domněnku, v budoucím cílovém stavu zařízení F5 BIG-IP nebude odpovědné za zajištění funkcionalit spojených se směrováním (tedy ani PBR), toto bude zajišťovat pravděpodobně buď uvažovaný segmentační firewall nebo specializované zařízení. ADC F5 BIG IP bude v tomto budoucím stavu nastaven tak, aby plnil role rozkládání zátěže (LTM), případně, podle charakteru provozu na daném VS, také WAF (ASM) a preautentizace (APM).
S pozdravem
Jana Šemorová