Infrastructure informatique Virtualisation et équipements ... · Administration ... de deux salles et l’acquisition d’un système mobile, mise à niveau du parc de ... - Red

MP2011-25 : CCTP Page 1 sur 19

Infrastructure informatique

Virtualisation et équipements réseaux (pare-feu et serveur mandataire)

Cahier des clauses techniques particulières


SOMMAIRE

1. Contexte .......................................................................................................... 3

2. Objets du marché ............................................................................................... 5

3. Lot 1 : virtualisation, serveur(s) et solution(s) de stockage ............................................. 6

3.1. Existant ...................................................................................................... 6

3.2. Solution de virtualisation de serveurs ................................................................. 6

3.3. Un serveur de virtualisation ............................................................................. 7

3.4. Solution de stockage ...................................................................................... 7

3.4.1. Capacité ............................................................................................... 7

3.4.2. Interface avec les serveurs ........................................................................ 8

3.4.3. Sauvegardes locales ................................................................................. 8

3.5. Solution de sauvegarde ................................................................................... 8

3.6. Maintenance ................................................................................................ 8

3.7. En option : mise à niveau d’un ou deux serveurs .................................................... 8

3.8. Lieux d’installation ........................................................................................ 9

3.9. Prestations attendues..................................................................................... 9

4. Lot 2 : cœur de réseau ....................................................................................... 10

4.1. Existant .................................................................................................... 10

4.2. Pare-feu ................................................................................................... 10

4.2.1. Caractéristiques matérielles .................................................................... 10

4.2.2. Firewall – Politique de sécurité ................................................................. 10

4.2.2.1. Translation d’adresse .......................................................................... 10

4.2.2.2. Configuration Réseau .......................................................................... 11

4.2.2.3. IPS ................................................................................................. 11

4.2.1. Administration ..................................................................................... 11

4.2.1.1. Management ..................................................................................... 11

4.2.1.2. Reporting ........................................................................................ 12

4.2.1.3. Monitoring ....................................................................................... 12

4.2.2. VPN ................................................................................................... 12

4.2.2.1. IPsec .............................................................................................. 12

4.2.2.2. VPN SSL ........................................................................................... 12

4.3. S Serveur mandataire – filtrage d’url ................................................................ 13

4.4. Maintenance et mise à jour ............................................................................ 13

4.5. Prestations projet du Lot 2 ............................................................................ 13


1. Contexte

Le Centre de gestion de la fonction publique territoriale du Nord (Cdg59) est un établissement public administratif autonome dont les principales missions portent sur l’assistance et le conseil aux collectivités locales du département.

Aujourd’hui, près de 950 collectivités font appel aux conseils et à l’expertise de notre établissement, tant en matière de statut, de gestion des carrières que d’emploi public. Au total, plus de 25 000 carrières d’agents de la fonction publique territoriale sont gérées par nos services.

Aux missions obligatoires prévues par la loi s’ajoutent des missions facultatives particulièrement sollicitées par de nombreuses collectivités. En effet, le Cdg59 propose également des services novateurs en lien avec les technologies de l’information et de la communication, les marchés publics, l’archivage...

Missions obligatoires

� Organisation des concours et examens professionnels

� Bourse de l'emploi (recherche d'emplois - gestion des offres)

� Gestion des carrières

� Instances paritaires

� Droit syndical et relations sociales

� Partenariat avec la CNRACL (Caisse Nationale de Retraite des Agents des Collectivités Locales)

� Commission de réforme

� Conseil de discipline

� Reclassement des fonctionnaires privés d'emploi

� Gestion des comptes épargne-temps

Missions facultatives

� Hygiène et sécurité

� Inspection - conseil

� Médecine préventive

� Action sociale

� Assurance statutaire

� Conseil en organisation

� Aide à la gestion des archives

� Documentation

� Assurance statutaire

� Assurance chômage

� Mission Intérim Territorial

� Promotion de l'apprentissage public


� Conseil en marchés publics

� cre@tic (aide au développement des TIC)

� Conseil en développement durable

Pour réaliser ces différentes missions, l’effectif du Cdg59 est d’environ 150 agents dont une trentaine régulièrement en mobilité dans le département.

Afin d’offrir des outils performants à ses collaborateurs, la direction du Cdg59 s’est engagée dans un projet de modernisation du système d’information.

2007-2008 : changement de la quasi-totalité des serveurs, élaboration et mise en œuvre d’une politique de sécurité adaptée…

2008–2010 : déploiement de nouveaux logiciels métiers (médecine professionnelle, emploi, extranet carrières à destination des collectivités, outils de dématérialisation interne…)

2009–2010 : mise en œuvre d’un système complet de visioconférence avec l’aménagement de deux salles et l’acquisition d’un système mobile, mise à niveau du parc de commutateurs en vue du déploiement de la ToIP…

2010-2011 : mise en œuvre de la ToIP et de services de communication unifiée


2. Objets du marché

Le présent marché a trois objectifs principaux :

- consolider l’infrastructure réseau du cdg59 et en particulier le cœur de réseau

- amorcer une migration vers la virtualisation de serveurs

- étendre les capacités de stockage non seulement pour la mise en œuvre de la virtualisation mais aussi pour permettre le déploiement de nouvelles applications exigeantes en la matière

- poser les premières briques d’une solution permettant, à terme, de bâtir un PRA s’appuyant le site distant du Hellu.

Le présent marché est donc alloti de la manière suivante :

- Lot 1 : logiciel de virtualisation, serveur et baie(s) de stockage, sauvegardes

- Lot 2 : cœur de réseau constitué d’un pare-feu, d’une solution de filtrage avancée (serveur mandataire).


3. Lot 1 : virtualisation, serveur(s) et solution(s) de stockage

Le présent lot se décompose en plusieurs éléments :

- Une solution de virtualisation de serveurs utilisable sur trois machines physiques

- un serveur destiné à l’hébergement de machines virtuelles

- Une solution de stockage utilisable par les serveurs dans le cadre du stockage des images des serveurs virtuels mais aussi de fichiers et données d’applications spécifiques

- une solution de sauvegarde des données (robot de sauvegarde)

- En option : la mise à niveau d’une ou deux lames du châssis HP c7000 actuellement possédé par le Cdg59 en vue de l’hébergement de serveurs virtuels

Si le soumissionnaire propose une ou plusieurs variantes sur le présent lot, il comparera les avantages et inconvénients techniques de chacune des solutions proposées.

3.1. Existant

- Voir annexe 2

3.2. Solution de virtualisation de serveurs

Le soumissionnaire proposera une solution de virtualisation de serveurs incluant un hyperviseur et une interface de gestion centralisée des machines virtuelles.

Cette solution devra pouvoir être déployées sur un à trois serveurs physiques.

Les fonctions minimales attendues sont les suivantes :

- la consolidation des serveurs

- le provisionnement centralisé

- la surveillance et l’administration centralisée

- un système de sauvegarde et de restauration des données

L’hyperviseur proposé devra supporter des machines virtuelles sous les systèmes d’exploitation suivants :

- Windows Server 2003 et 2008

- Red Hat 5

- Fedora 13

- Ubuntu 10

- Debian 5


3.3. Un serveur de virtualisation

Ce serveur est destiné à faire fonctionner au minimum une douzaine de serveurs virtuels de test et/ou de production.

Les disques en RAID5 sont destinés au stockage des images des machines virtuelles de test. Les images des machines virtuelles de production seront stockées sur la baie principale prévue dans le présent lot.

Le soumissionnaire devra proposer un matériel répondant aux caractéristiques techniques minimales suivantes :

- Processeur type x86 - Biprocesseur 64 bits - FSB : 1066 minimums - Mémoire : 64 Go de mémoire DDR3, 1333 Mhz minimum - Rails de montages pour baie HP 19’’ - Disques durs :

o 2 disques durs SAS 73 Go minimum 15 000 trs/min en RAID 1 o 5 disques durs SAS 146 Go minimum 15 000 trs/min en RAID 5

- Réseau : 8 cartes Gb/s minimum - Alimentation électrique redondante - Interface d’administration à distance

Le soumissionnaire intègrera à son offre les éléments nécessaires à la connexion à la solution de stockage prévue dans le présent lot.

3.4. Solution de stockage

Cette solution de stockage est destinée à l’usage des serveurs dans le cadre du stockage des images des machines virtuelles mais aussi de fichiers et données d’applications spécifiques : Gestion Electronique de Documents ou bases de données Oracle, PostgreSQL, MySQL… Cette solution doit aussi permettre la sauvegarde locale de ces fichiers pour en permettre la restauration rapide.

La solution proposée doit être évolutive et pouvoir supporter, à terme, une réplication des données vers une seconde baie située sur un site distant relié au siège par un lien de type Lan2Lan à 20 Mbps.

Le soumissionnaire détaillera donc dans son offre l’évolutivité globale de la solution proposée et en particulier les mécanismes supportés de réplication de baie à baie dans le cadre de d’un PRA à J+1. Le soumissionnaire précisera aussi les coûts afférents à la mise une place d’une telle architecture (matériels et logiciels).

- En option

La sauvegarde sur la solution de stockage des fichiers du serveur NAS (HP AiO 1200) déjà installé au Cdg59 (capacité : 1,2 To dont 600 Go utilisés) (cf. annexe 5)

3.4.1. Capacité

Une série de disques SAS est destinée à l’extension de stockage des serveurs physiques : images des serveurs virtuels, fichiers, bases de données...

Une série de disques SATA sera utilisée pour les sauvegardes des fichiers stockés sur les disques SAS ou le stockage de fichiers dans le cadre d’une solution de Gestion Electronique de Documents.

Capacités de stockages minimales attendues :


- 2 To en disques SAS (15 000 tr/min), 1 To utile réel

- 8 To en disques SATA, 4 To utiles réels

3.4.2. Interface avec les serveurs

Le soumissionnaire proposera une solution d’attachement de cette baie tant au serveur acquis dans le cadre du présent lot qu’aux serveurs lames du châssis HP c7000 déjà installés au Cdg59. Si elle s’avère nécessaire, la mise à niveau du châssis HP c7000 doit être intégrée à l’offre.

3.4.3. Sauvegardes locales

Le soumissionnaire proposera une solution de sauvegarde et de restauration des images des machines virtuelles, de serveurs Linux ou Windows, des données des disques SAS et des données stockées sur le serveur NAS préexistant (capacité : 1,2 To dont 600 Go utilisés) vers les disques SATA de la solution de stockage.

3.5. Solution de sauvegarde

Afin de garantir une reprise d’activité en cas d’incident, le soumissionnaire proposera une solution complète de sauvegarde et de restauration des données stockée sur la solution de stockage. Cette solution doit permettre une externalisation des données via un robot de sauvegarde.

3.6. Maintenance

Tous les matériels proposés dans le présent lot doivent être garantie pièces et main d’œuvre pour une durée de 3 ans avec intervention sur site à J+1, 5/7 jours.

3.7. En option : mise à niveau d’un ou deux serveurs

En vue de leur utilisation comme serveur de virtualisation avec la solution prévue dans le présent lot, le soumissionnaire proposera en option la mise à niveau d’un ou deux serveurs actuellement installés au Cdg59.

Le soumissionnaire proposera la mise à niveau d’un ou deux serveurs ProLiant BL460c G1 du châssis HP c7000 dont la configuration actuelle est la suivante : monoprocesseur Quad-Core Intel Xeon 2666 MHz - Mémoire 4 Go (voir annexe 3).

Si elle s’avère nécessaire, la mise à niveau du châssis HP c7000 doit être intégrée à l’offre.

Configuration cible :

- hébergement de 6 à 10 machines virtuelles en production

- biprocesseur 64 bits

- RAM minimale : 32 Go


3.8. Lieux d’installation

Le serveur de virtualisation et la solution de stockage principale devront être installés dans une baie HP existante dans la salle informatique située au 4e étage du siège du Cdg59, sis au 14 rue Jeanne Maillotte à LILLE.

Le prestataire précisera dans son offre le poids, la taille et la consommation électrique des équipements proposés (BTU).

3.9. Prestations attendues

Le soumissionnaire devra intégrer à son offre :

- Les prestations d’installation et de paramétrage des matériels et logiciels fournis

- Les transferts de compétence sous forme de documents écrits et de séance formation sur les logiciels fournis permettant aux techniciens du Cdg59 d’administrer les solutions mises en place (Virtualisation, sauvegardes, …)

- Mise en œuvre du serveur de virtualisation avec une image sur la baie de disque 1 (voir annexe 3)

- Mise en œuvre de toute la solution de sauvegarde (annexe 4)

- La livraison d’un dossier technique reprenant l’ensemble des opérations réalisées (schémas d’installation, configurations…)

Le soumissionnaire détaillera dans son offre la méthodologie d’intégration de la solution.

- En option

- Mise en œuvre d’un serveur virtualisé sur une des lames mise à niveau avec une image sur la baie de disque N°1

- Upgrade chassis HP existant HP BladeSystem c7000 Enclosure si elle s’avère nécessaire (voir annexe 3)

- upgrade 1 lame existantes ProLiant BL460c G1 /Quad-Core Intel Xeon, 2666 MHz /Mémoire 4G(voir annexe 3)


4. Lot 2 : cœur de réseau

Le CDG59 souhaite faire l’acquisition d’un cœur de réseau, firewall, sécurisé en cluster avec deux sorties « internet ». Ce firewall devra être couplé à un système de filtrage « proxy » compatible.

4.1. Existant

- Cœur de réseau Netasq F500 (firewall et gestion des vlans)

- Equipements actifs réseau Cisco 2960 et 3560 PoE

4.2. Pare-feu

L’équipement proposé sous forme d’une appliance doit répondre aux critères repris ci-dessous :

4.2.1. Caractéristiques matérielles

• Au minimum 8 interfaces Gigabit avec possibilité d’extension • Un débit supporté de 4500 Mb par seconde et au moins 500 000 connexions

simultanées supportées • Disques durs en RAID1 • Redondance de l’alimentation

4.2.2. Firewall – Politique de sécurité

• Filtrage en fonction de l’adresse source, adresse destination, utilisateur, service,

protocole, interface d’entrée… • Gestion des plages d’adresses, des groupes d’IPs (machines, réseaux, plages

d’adresses), des groupes d’utilisateurs, groupes de services… • Possibilité d’associer de la qualité de service à une règle de filtrage. • Possibilité de gérer deux niveaux d’intervention dans la politique de filtrage en

fonction des droits propres à chacun des administrateurs. • Filtrage bloquant par défaut : tout ce qui n’est pas autorisé est interdit. • Outil de test de cohérence des règles (pour vérifier que des règles identiques ou

contradictoires ne cohabitent dans la politique). • Possibilité de donner un nom à une règle (l’objectif est de faciliter son suivi dans

les logs sur des longues périodes). • Possibilité de choisir le mode d’analyse (filtrage, IDS, IPS) dans les règles de filtrage

(donc en fonction de la source, de la destination, du protocole, du service…) • Activation des fonctionnalités applicatives (filtrage URLs, Antivirus…) directement

dans la politique de filtrage.

4.2.2.1. Translation d’adresse

• Gestion du PAT - NAT • Possibilité de translater source et destination d’un paquet en une seule règle de

Translation


4.2.2.2. Configuration Réseau

• Gestion de la répartition de charge et du backup sur plusieurs liens opérateurs. • Support du Policy Based Routing (routage en fonction de tous les critères d’une

règle : l’IP source, de l’IP destination, de l’interface, du protocole, de l’interface d’entrée, de l’application).

• Possibilité de configurer les interfaces en mode routé, en mode bridge ou en mode mixte (association du mode routé et du mode bridge).

• Gestion des Vlans et support du mode bridge avec les vlans.

4.2.2.3. IPS

• Analyse comportementale : analyse statistique du trafic qui détermine si le

comportement peut être considéré comme « normal » (ex : détection de scan de ports, identification de machines infectées par un cheval de Troie…).

• Analyse protocolaire avec attachement automatique de l’analyse des protocoles (pas nécessaire d’affecter manuellement une analyse à un service) : vérification de la conformité des paquets réseau et des comportements par rapport aux RFC (Ethernet, IP, TCP, UDP...), conformité face aux protocoles applicatifs (HTTP, FTP,…) grâce à l’analyse applicative (sans proxy).

• Analyse par signatures : analyse complémentaire qui permet de détecter le détournement d’utilisation de protocole (ex : encapsulation dans le http des peer-to-peer, messageries instantanées, des flux multimédia…), les scanners de vulnérabilités, les injections SQL…

• Pour chaque événement, il sera possible de laisser passer ou bloquer, d’envoyer une alarme, d’envoyer un mail, de faire une mise en quarantaine automatique (IP totalement bloquée pendant un temps donné)…

• Identification de flux applicatifs tels que Peer to peer, messagerie instantanée avec la possibilité de les bloquer.

• Détection des flux HTTPS non chiffrés avec possibilité de les interdire. • Détection d’applications (MSN, Yahoo Messenger, TeamViewer, LogMeIn) avec

possibilité de bloquer/passer et de remontées des alarmes. • Gestion de profils IPS avec association à certains trafics dans la politique de filtrage

(IP source, IP destination, service, protocole, réseau…) • Détection du Javascript à la volée (sans proxy) et analyse (décodage tel que le fait

le navigateur). Possibilité de bloquer la page ou de supprimer la fonction Javascript suspecte (par la mise en commentaire dans le code).

4.2.1. Administration

• Ensemble des outils d’administration en Français • Protocole de communication sécurisé pour tous les outils.

4.2.1.1. Management

• Interface graphique HTTPs simple et ergonomique (possibilité de faire des Drag and

drop depuis la base d’objets, recherche simple dans la politique de filtrage…). • Configuration des différents politiques et des différents modules en mode « objet »

(machines, réseaux, services, protocoles…) avec possibilité de faire des groupes.


4.2.1.2. Reporting

• Les traces de l’activité doivent pouvoir être exportées vers un serveur syslog ou

dans une base SQL externe aux boitiers Firewalls. • Mise à disposition de différents types de logs : les alarmes, les vulnérabilités, les

connexions… • Possibilité de visualiser les différents logs sur une période donnée. • Possibilité de faire des filtres sur chacune des informations de la ligne de logs. • Visualisation sous forme de graphiques de la charge CPU, du débit sur les

interfaces, du niveau de sécurité… • Disponibilité des logs d’administration afin de savoir quel administrateur à fait quoi

et quand. • Logs de suivi des tunnels VPN afin de pouvoir savoir si un tunnel est tombé et pour

quelle raison.

4.2.1.3. Monitoring

• Tableau de bord général présentant de façon globale l’état de l’équipement. • Visualisation en temps réel :

- Des remontés d’alarmes, - Des vulnérabilités, - Du débit sur chacune des interfaces, - Des utilisateurs authentifiés, - De l’état des tunnels VPN, - De la charge CPU, - Des sessions actives, - …

• Possibilité de faire des filtre afin de faciliter la lecture des nouvelles informations.

4.2.2. VPN

4.2.2.1. IPsec

• Nécessiter de pouvoir faire des tunnels site à site et nomades. • Capacité de monter des tunnels avec des produits concurrents. • Possibilité d’activer le DPD (détection de chute de tunnels VPN IPsec). • Analyse des flux déchiffrés par l’IPS et le module de filtrage. • Support des protocoles de chiffrement 3DES et AES. • Fonctionnement avec clefs pré partagées ou certificats. • Gestion de la redondance de tunnels VPN automatique avec la configuration d’un

tunnel de Backup.

4.2.2.2. VPN SSL

• VPN SSL intégré à la solution. • Portail https d’authentification pour l’accès au système d’information de façon

sécurisée. • Chaque utilisateur pourra avoir un profil spécifique donnant droit à l’accès à

certaines applications.


• Liens de redirection vers les applications WEB directement sur le portail. • Pour les autres applications, possibilités de lancer directement l’application via un

simple « click » sur un bouton (ex : lancement d’un telnet, du client TSE…). • Possibilité de lancer des scripts à l’ouverture et à la fermeture du tunnel (purge des

traces dans le navigateur…).

4.3. S Serveur mandataire – filtrage d’url

La solution doit se présenter sous forme d’une appliance connectable au pare-feu. Cette solution doit répondre aux caractéristiques suivantes :

- Administration avec une interface en Français

- Filtrage d’urls

- Filtrage protocolaires

- Antivirus

- Gestion du cache

- Intégration avec la solution cœur de réseau

- Statistiques et Reporting

- Intégration à l’annuaire Active Directory

- Documentation logicielle intégralement en Français

- La solution doit permettre une protection conforme au droit pénal français

4.4. Maintenance et mise à jour

Tous les matériels proposés dans le présent lot doivent être garantie pièces et main d’œuvre pour une durée de 3 ans avec intervention sur site à J+1, 5/7 jours.

Les mises à jour correctives et évolutives des logiciels fournis doivent assurées pour une période de 3 ans.

4.5. Prestations projet du Lot 2

- Voir annexe 1

- La prestation de mise en œuvre, ainsi que le transfert de compétence devront être proposés pour le cœur de réseau, réseau ainsi que la solution de filtrage.

- Intégration du cœur de réseau avec reprise de toute notre configuration (Vlans, filtrages, Nat, VPN, …)

- Mise en œuvre de la solution proxy avec l’intégration au cœur de réseau et création des règles de filtrages.

- La livraison d’un dossier technique reprenant l’ensemble des opérations réalisées (schémas d’installation, configurations…)

Le soumissionnaire détaillera dans son offre la méthodologie d’intégration de la solution.


ANNEXES



Salle serveur 14 rue Jeanne Maillote

59013 Lille

Annexe 2

Existant

HP BladeSystem c7000 Enclosure

10 serveurs « lame »

3 -ProLiant BL480c G1

7 ProLiant BL460c G1

2 HP StorageWorks SB920c

2 HP 1Gb Ethernet Pass-Thru Module for c-Class

BladeSystem (4 ports libres)

SERVEUR-NAS; ProLiant DL320s G1

Baie de disque 1,2 Tera Octets


Annexe 3

HP BladeSystem c7000 Enclosure

10 serveurs « lame »

3 -ProLiant BL480c G1

7 ProLiant BL460c G1

2 HP StorageWorks SB920c

2 HP 1Gb Ethernet Pass-Thru Module for c-Class

BladeSystem (4 ports libres)

SERVEUR-NAS; ProLiant DL320s G1

Baie de disque 1,2 Tera Octets

Existant

Upgrade et virtualisation d’un serveur lame

existante (ProLiant BL460c G1 /Quad-Core

Intel Xeon, 2666 MHz /Mémoire 4G) avec comme

disque dur un espace sur la Baie 1

Upgrade chassis HP existant HP

BladeSystem c7000 Enclosure

CCTP 2.5



59013 Lille

Baie de disque

N°1

Serveur de

virtualisation

Annexe 4

Sauvegardes

Serveur

NAS

existant

SAS SATA

Sauvegardes sur bandes

avec Auto loader



59013 Lille

Baie de disque

N°1

Serveur de

virtualisation

Serveur NAS

existant

SAS SATA

Annexe 5