Co je síťová bezpečnost: cíl, rozsah a principy
Síťová bezpečnost zahrnuje soubor technik, politik a procesů, které chrání přenosy dat, koncové body, síťové prvky i samotnou dostupnost služeb. Opírá se o triádu CIA (důvěrnost, integrita, dostupnost) a o moderní principy Zero Trust (nedůvěřuj, ověřuj), least privilege (minimální oprávnění) a defense in depth (vrstvená obrana). Cílem je snížit pravděpodobnost úspěšného útoku, omezit jeho dopad a urychlit detekci i zotavení.
Hrozby a útokové scénáře napříč OSI vrstvami
- L2 (linková vrstva): ARP spoofing/poisoning, MAC flooding, STP útoky, VLAN hopping.
- L3 (síťová vrstva): IP spoofing, route injection, BGP hijacking, ICMP tunneling.
- L4 (transportní): SYN flood, UDP flood, port scanning, session hijacking.
- L5–L7 (aplikační): DNS cache poisoning, HTTP(S) útoky (SQLi, XSS, SSRF), API abuse, credential stuffing, botnety.
- Bezpečnostní obcházení: šifrovaný C2 provoz, DNS-over-HTTPS tunely, living-off-the-land.
- Lidský faktor: phishing, spear-phishing, vishing, sociální inženýrství, mis-configurace.
Architektura a segmentace: jak navrhnout odolnou síť
- Segmentace a zónování: oddělení podle rizika (uživatelé, servery, OT/IoT, třetí strany), DMZ pro publikované služby, striktní L3/L7 politiky mezi segmenty.
- Microsegmentation: jemnozrnné politiky na úrovni pracovních zátěží (např. přes SDN/overlay nebo host-based firewally) s principem „deny by default“.
- Bezpečné hranice: NGFW s application awareness, IPS, WAF pro web/API, anti-DDoS scrubbing, egress řízení a explicitní povolování jen nutných destinací.
- Privátní přístupy: ZTNA/SSE/SD-WAN pro přístup uživatelů i aplikací bez nutnosti plošných VPN, řízených identitou a kontextem.
Kontroly a opatření po vrstvách
| Vrstva | Rizika | Kontroly |
|---|---|---|
| L2 | ARP spoofing, VLAN hopping | 802.1X, MAB, DHCP snooping, Dynamic ARP Inspection, PVLAN, BPDU guard, storm control |
| L3 | IP spoofing, route hijack | uRPF, ACL s deny all, segmentace, BGP prefix-filtering, TTL security |
| L4 | Floody, skeny | Stateful FW, rate limiting, syn-cookies, geo/IP reputation, throttling |
| L7 | SQLi, XSS, SSRF, boty | WAF, API gateway, schema/contract enforcement, bot management, DLP |
| Horizontální | Exfiltrace, C2 | DNS firewally, TLS decryption (dle politik), egress allow-list, NDR/IDS |
Identita, přístup a Zero Trust
- IAM a federace: centrální identita (IdP), SSO, MFA, passwordless, adaptivní politika dle kontextu (lokace, device posture, rizikové signály).
- Autorizace: role-based (RBAC) a attribute-based (ABAC) s granulárními pravidly; just-in-time zvýšení privilegií a časově omezené přístupy.
- Zero Trust Network Access (ZTNA): aplikační proxy s ověřením identity před navázáním cesty, segmentovaný přístup místo plošných síťových tunelů.
Kryptografie a bezpečný přenos
- TLS 1.2+/1.3: povolte moderní sady šifer, HSTS, OCSP stapling, certificate pinning podle rizika; rotace a životní cyklus certifikátů.
- IPsec a MACsec: šifrování site-to-site, remote access a na drátu (L2); klíčování přes IKEv2, bezpečná správa SA.
- DNSSEC a DoT/DoH: integrita DNS záznamů a šifrované dotazy s řízením politik (split-horizon, blokace škodlivých domén).
Wi-Fi a přístupová vrstva
- WPA3-Enterprise + 802.1X (EAP-TLS): certifikátové ověřování, per-user/per-device VLAN, dynamické ACL.
- Management frame protection (802.11w): ochrana před deauth/disassoc útoky, izolace klientů, band-steering a minimální síla signálu (RSSI) pro kvalitu.
- Guest a BYOD: captive portál s krátkodobými přístupy, oddělené SSID, segmentace a internet-only politiky.
DNS, DHCP a jádrové služby pod kontrolou
- DHCP snooping a IP source guard: prevence rogue DHCP a IP spoofingu, závaznost IP-MAC.
- Privátní resolvery s filtrováním: blokace C2/Typosquatting; logování dotazů pro forenzní analýzu.
- NTP a časová konzistence: podepsané zdroje času pro korektní korelaci logů a TLS validaci.
Detekce, monitoring a reakce (SOC, SIEM, NDR)
- Telemetrie: flow záznamy (NetFlow/IPFIX), syslog, SNMP/telemetrie, aplikační logy, EDR/XDR a NDR senzory.
- SIEM a korelace: normalizace, korelační pravidla, detekce anomálií, mapování na MITRE ATT&CK; retenční politiky a ochrana logů proti manipulaci.
- SOAR a playbooky: automatizované containment (blokace domény, karanténa zařízení, odebrání tokenu), eskalace a post-incidentní lessons learned.
Bezpečnost v cloudu, SD-WAN, SASE/SSE
- Cloudová síť: VPC/VNet segmentace, privátní end-pointy, security groups a L7 politiky; egress kontrola a CASB pro SaaS.
- SD-WAN: identitní směrování provozu podle aplikací a rizika, integrované FW/IPS, optimalizace latence k SaaS/IaaS.
- SASE/SSE: konsolidace ZTNA, SWG, CASB, DLP a FWaaS do jednotné politiky s inspekcí TLS a řízením identity.
Kontejnery, Kubernetes a service mesh
- Network Policies: default-deny mezi pod(y), explicitní povolení egress/ingress; izolace jmenných prostorů.
- Service mesh mTLS: šifrování pod-to-pod, identity workloadů, L7 autorizace a intent-based politiky.
- Registr tajemství a supply chain: rotace tajemství, podpis obrazů (Sigstore), skenování zranitelností a policy as code.
IoT/OT: specifika průmyslu a „non-IT“ zařízení
- Inventarizace a profilace: pasivní NDR pro identifikaci zařízení a protokolů (Modbus, DNP3, BACnet).
- Oddělení domén: přísná segmentace OT od IT, jednosměrné brány (data diode) u kritické infrastruktury.
- Bezpečné aktualizace: řízení patchování vs. dostupnost, kompenzační kontroly (IPS, whitelisting).
E-mail a doménová reputace
- SPF, DKIM, DMARC: ochrana proti spoofingu a phishingu, politiky
p=quarantine/rejects monitorováním. - Bezpečnostní brány: sandboxing příloh, URL rewriting, BEC detekce a uživatelské reportování.
Governance, riziko a shoda
- Politiky a standardy: síťové baseline, secure configuration guides, životní cyklus změn (CAB), policy as code.
- Posouzení rizik: katalog aktiv, hrozeb a kontrol; kvantifikace dopadů (např. FAIR) a mapování na SLO.
- Compliance a audit: logická separace, nezměnitelné logy, role-based přístupy k administraci a nezávislé kontroly.
Provozní excelence: dostupnost, výkon a kapacita
- SLA/SLO/SLI: definujte měřitelné cíle latence, propustnosti a dostupnosti bezpečnostních bran a sond.
- Testování a cvičení: red/purple teaming, attack simulation, tabletop cvičení incident response, pravidelný failover.
- Kapacitní plánování: sizing inspekce TLS, WAF a IPS, aby obrana nebyla „úzkým hrdlem“.
Ekonomika bezpečnosti: náklady vs. riziko
Efektivní program vyvažuje investice do prevence, detekce a reakce. Využijte risk-based prioritizaci, threat-informed defense (ATT&CK), měření mean time to detect/respond a průběžnou optimalizaci licencí a provozu (konsolidace funkcí, SASE, automatizace).
Nejčastější chyby a antipatterny
- Plošné povolení egressu bez dohledu a DLP.
- Chybějící segmentace a „flat“ sítě, kde jeden kompromitovaný stroj ohrozí celou organizaci.
- Nedostatečná správa certifikátů a slabé TLS profily.
- Slepá důvěra VPN bez kontextu zařízení a uživatele.
- Logy bez korelace, krátká retence a absence playbooků.
Praktický check-list síťové bezpečnosti
- Má síť default-deny na hraně i mezi segmenty a definované allow-listy?
- Je nasazené 802.1X, DHCP snooping a ARP inspection na přístupové vrstvě?
- Řídíte egress (DNS, HTTP(S), NTP) a máte dohled nad anomáliemi?
- Je Wi-Fi v režimu WPA3-Enterprise s EAP-TLS a MFP?
- Běží centralizované SIEM/NDR s MITRE mapováním a automatizovanou reakcí?
- Máte ZTNA pro externí i interní aplikace a odsunujete plošné VPN?
- Jsou definované a testované playbooky pro DDoS, malware breakout, exfiltraci a kompromitaci účtu?
Závěr
Moderní síťová bezpečnost je neustálý proces, nikoli jednorázový projekt. Úspěch závisí na správné architektuře (segmentace, Zero Trust), kvalitních kontrolách napříč vrstvami, průběžné detekci a rychlé reakci. V kombinaci s disciplinovaným provozem, správou identit a kryptografií vytváří odolnou infrastrukturu, která podporuje byznysové cíle i v prostředí rostoucích hrozeb.
