Bezpečnostní politika sítě

Posted on by Monika P.
Bezpečnostní politika sítě

Ochrana síťové infrastruktury

Tato bezpečnostní politika pro správu sítě stanovuje závazná pravidla, role a procesy k ochraně síťové infrastruktury, dat a provozu organizace. Cílem je minimalizovat rizika vyplývající z neoprávněného přístupu, chyb konfigurace, zranitelností, narušení dostupnosti a právních či regulatorních nedostatků. Politika je závazná pro interní zaměstnance, externí dodavatele i dočasné pracovníky, kteří se podílejí na správě síťových prvků, přístupové infrastruktury a přidružených systémů (např. DNS/DHCP/IPAM, VPN, firewall, proxy, WAF, IDS/IPS, NAC, SIEM, PAM).

Rozsah a definice

  • Rozsah: Datová centra, pobočky, cloudové VPC/VNET, OT/ICS segmenty, vzdálený přístup, Wi-Fi, síťové služby (routing, switching, load-balancing), bezpečnostní prvky, management out-of-band (OOB) a monitorovací infrastruktura.
  • Citlivá aktiva: Konfigurační soubory, šifrovací klíče, zálohy, management rozhraní, tajemství (hesla, tokeny, certifikáty), logy, topologické mapy.
  • Správa sítě: Veškeré činnosti vedoucí k návrhu, provozu, údržbě, změnám a monitoringu síťové infrastruktury.

Principy a bezpečnostní cíle

  • Zero Trust & Least Privilege: Předpokládej nedůvěru, uděluj pouze minimální potřebná oprávnění.
  • Segregace povinností: Rozděl role implementace, schvalování a auditování.
  • Secure by Default: Výchozí konfigurace musí být bezpečná, vše nepoužívané zakázat.
  • Auditovatelnost: Veškeré zásahy musí být dohledatelné, logované a korelovatelné s identitou.
  • Odolnost a kontinuita: Síť musí být navržena pro selhání komponent, útoky i lidské chyby.

Role a odpovědnosti (RACI)

Oblast Odpovídá (A) Provádí (R) Radí (C) Informovat (I)
Architektura sítě CISO/Head of Network Network Architect SecOps, IT Ops Audit, Management
Konfigurace firewallů SecOps Lead Firewall Engineer App Owner Service Desk
Správa identit (PAM) IAM Lead PAM Engineer HR, Legal Audit
Změnové řízení Change Manager Implementační tým Risk Manager Business Owner
Incident response IRT Manager IRT Analytik SecOps, PR Management

Klasifikace aktiv a segmentace sítě

  • Klasifikace dat: Veřejná, Interní, Důvěrná, Přísně důvěrná – řídí pravidla přístupu a šifrování.
  • Segmentace: Oddělit uživatelské, serverové, správcovské (OOB), výrobní/OT, DMZ a cloudové segmenty. Vynucovat L3/L4/L7 politiky mezi VLAN/VRF, mikrosegmentaci pomocí ACL/SGT/NSG/WAF.
  • Privilegované zóny: Management a trezor tajemství musí být přístupné pouze přes bastion/PAM s MFA a schválením.

Řízení přístupu a identit (AAA)

  • Autentizace: Povinné MFA pro veškerý administrátorský přístup (VPN + PAM + zařízení). Preferovat certifikáty/SSH klíče, zakázat lokální účty mimo nouzové („break-glass“).
  • Autorizace: Role-based access control (RBAC) a Just-In-Time (JIT) udělování práv; dočasná eskalace přes schválení změny.
  • Účetnictví (Accounting): Všechny administrátorské akce se logují do SIEM s neměnným úložištěm.
  • Protokoly: TACACS+/RADIUS pro síťové prvky, SSO/OIDC/SAML pro konzole, SNMPv3 (authPriv) pouze s unikátními uživateli.

Ochrana správcovských kanálů

  • Šifrování: Povoleno pouze SSHv2, TLS 1.2+ s moderními šifrovými sadami; zakázat Telnet/HTTP, povolit jen HTTPS.
  • Oddělení: Management rozhraní v dedikované VLAN/VRF; přístup pouze z bastion hostů a monitorovaných skokových serverů.
  • Inventarizace: CMDB/IMDB musí obsahovat všechna management rozhraní, verze OS, čísla sérií, a stav podpory.

Politika firewallů, IDS/IPS a proxy

  • Firewally: „Implicit deny“. Pravidla pojmenovávat dle schválené konvence (životnost, vlastník, ticket). Platnost pravidel omezená, pravidelný recertifikační proces.
  • IDS/IPS: Povinné nasazení v hraničních bodech a kritických vnitřních zónách; signatury aktualizovat denně, výjimky dokumentovat.
  • Proxy/WAF: Veškerý odchozí admin přístup na internet přes schválenou proxy; aplikační publikace přes WAF s TLS offload a kontrolou OWASP Top 10.

Politika šifrování a správy klíčů

  • V klidu: Konfigurace, zálohy, logy a tajemství ukládat šifrovaně (AES-256). Trezor tajemství (např. HSM/Vault) je povinný.
  • V přenosu: Management, autentizační a monitorovací toky šifrovat (TLS/Syslog-TLS, gNMI-TLS, IPsec/DTLS pro VPN).
  • Životní cyklus klíčů: Rotace certifikátů a klíčů dle klasifikace (90–365 dní), zakázat opětovné použití a sdílení.

Správa zranitelností a patch management

  • Inventura: Týdenní skenování zranitelností síťových prvků a management serverů; kritické CVSS ≥ 9.0 řešit do 7 dnů, vysoké do 30 dnů.
  • Patchování: Měsíční okna, testování v pre-prod, řízené rollback plány; zákaz „out-of-band“ změn bez incidentního čísla.
  • Hardening: Dodržovat baseline (CIS/NIST) a konfigurační standardy pro každou platformu; pravidelná konfigurační drift kontrola.

Změnové řízení (Change Management)

  1. Žádost o změnu (RFC): Obsahuje účel, rizika, testy, plán zavedení, plán návratu, dopad na službu, schválení vlastníka aplikace.
  2. Typy změn: Standardní (předem schválené), normální (CAB schválení), urgentní (IRT schválení, povinný post-review).
  3. Evidence: Každá změna má ticket, časové razítko a vazbu na konfiguraci v CMDB.

Konfigurační management a zálohování

  • Automatizace: Veškeré změny provádět přes Infrastructure-as-Code (např. Git + CI/CD + schvalování pull requestů). Manuální zásahy jen výjimečně a s následnou synchronizací do Git.
  • Zálohy: Denní šifrované zálohy konfigurací mimo primární doménu; test obnovy minimálně čtvrtletně.
  • Golden image/baseline: Standardizované verze OS a balíčků; odchylky dokumentovat a recertifikovat.

Monitoring, logování a metriky

  • Telemetrie: SNMPv3, streaming telemetry (gNMI), NetFlow/IPFIX; centrální sběr do monitoringu a SIEM.
  • Logování: Syslog-TLS, časová synchronizace NTP/PTS; retenční doby dle legislativy a klasifikace.
  • KPI: Doba nasazení záplaty, počet neschválených pravidel FW, míra konfigur. driftu, MTTR, míra úspěšnosti záloh/obnov.

Řízení přístupu koncových bodů a síťové přístupy (NAC)

  • 802.1X/MAB: Povinná autentizace zařízení na přístupové vrstvě; dynamické přiřazení VLAN/SGT.
  • Posture: Kontrola stavu (AV, šifrování disku, OS verze) před přidělením přístupu; neshodná zařízení do karantény.
  • BYOD/Guest: Oddělené SSID/VLAN, captive portal, časově omezené přístupy, bez přístupu do správcovských a serverových segmentů.

Bezpečnost v cloudu a hybridních prostředích

  • Perimetr v cloudu: Network Security Groups, aplikační brány/WAF, privátní end-pointy; inter-cloud spojení šifrovaně.
  • Identity: Správa přes centrální IAM; zákaz trvalých přístupových klíčů; rotace tajemství a přístupů JIT.
  • Viditelnost: Povinné flow logy, cloud SIEM konektory, CSPM/CIEM kontroly a pravidelné posture skeny.

Správa dodavatelů a třetích stran

  • Smluvní požadavky: Bezpečnostní dodatky (NDA, SLA, incidentní oznamování, auditní práva, lokalita dat, subdodavatelé).
  • Přístupy třetích stran: Pouze přes PAM/bastion, časově omezené, se záznamem relací; zákaz sdílených účtů.
  • Hodnocení rizik: Před nasazením a roční re-assessment; nápravná opatření sledovat v systému řízení rizik.

Ochrana před útoky a resilience

  • DDoS ochrana: Služby scrubbingu, BGP Flowspec/RTBH, kapacitní plán a runbook přepnutí.
  • DNS/DHCP/IPAM (DDI): Oddělené role, validace DNSSEC, ochrana před cache poisoning, HA cluster.
  • Fyzická bezpečnost: Omezený přístup do MDF/IDF, CCTV, zajištění racků, environmentální senzory.

Reakce na incidenty (IR) a forenzní připravenost

  1. Detekce a triáž: SIEM alerty, korelace s telemetrií; klasifikace dle dopadu na CIA triadu.
  2. Obsahování a eradikace: Síťové karantény, blokace pravidly, izolace segmentů; koordinace s vlastníkům služeb.
  3. Obnova a poučení: Post-incident review, aktualizace baselinů, zlepšení detekcí a playbooků.

Kontinuita provozu a zotavení po havárii (BCP/DR)

  • RTO/RPO: Definovat pro kritické služby; test DR scénářů minimálně 1× ročně.
  • Redundance: Dual-homed spoje, diverse path, HA páry firewallů, více poskytovatelů konektivity.
  • Offline zálohy: Izolované, pravidelně testované, s řízenou obnovou přístupových klíčů a certifikátů.

Školení, povědomí a disciplína

  • Povinná školení: Roční trénink adminů (novinky, lessons learned), kvartální mikro-školení k vybraným tématům (např. phishing, konfigurační anti-patterns).
  • Porušení politiky: Disciplinární řízení dle interních předpisů; bezpečnostní oddělení vede evidenci a reportuje trend porušení.

Soulad s právními a normativními požadavky

  • Legislativa: GDPR (osobní údaje v logách), zákonné odposlechy dle jurisdikce, uchovávání provozních a lokalizačních údajů dle regulace.
  • Normy a rámce: ISO/IEC 27001/27002, NIST SP 800-53/-61, CIS Controls; pro provozovatele služeb NIS2 požadavky na řízení rizik a incident reporting.
  • Audit: Vnitřní i externí audity alespoň ročně; nálezy musí mít vlastníka, termín nápravy a ověření.

Měření účinnosti a reportování

Metodika KPI Cílová hodnota Frekvence
Vulnerability Management Čas do nápravy (kritické) ≤ 7 dní Týdně
Change Management Podíl změn s rollback plánem 100 % Měsíčně
Access Control Re-certifikace práv 100 % účtů čtvrtletně Čtvrtletně
Backups Úspěšnost obnovy testů ≥ 99 % Čtvrtletně
Logging Pokrytí kritických systémů 100 % Měsíčně

Výjimky a jejich řízení

Výjimky jsou časově omezené, zdůvodněné, schválené bezpečnostním manažerem a evidované s datem expirace. Po vypršení musí být reevaluovány nebo zrušeny. Kritické výjimky vyžadují mitigace (kompenzační kontrola, zvýšený monitoring).

Životní cyklus této politiky

  • Vydání a účinnost: Politika nabývá účinnosti dnem schválení vedením.
  • Revize: Minimálně ročně, nebo po významném incidentu či změně architektury/regulace.
  • Distribuce: Publikace v intranetu, potvrzení seznámení od všech relevantních rolí.

Přílohy (normativní a informativní)

  • Konfigurační baseline: Povinné parametry (zakázané protokoly, povolené šifry, banner, idle timeout, login grace time, logging severity, NTP, syslog cíle).
  • Názvosloví a konvence: Standardy pro pojmenování VLAN/VRF, ACL, pravidel FW, objektů a adresářové struktury v Git.
  • Runbooky: Playbooky pro havarijní přístup („break-glass“), DDoS, kompromitaci účtu admina, výpadek autentizačního serveru, incidenty v cloudu.
  • Šablony: RFC formulář, risk assessment, výjimkový formulář, checklist před nasazením.

Závěr

Bezpečnostní politika pro správu sítě vytváří jednotný, auditovatelný a udržitelný rámec pro ochranu kritické infrastruktury. Dodržováním principů „Zero Trust“, řízením identit a přístupů, systematickým změnovým řízením, průběžným monitoringem a jasnou odpovědností napříč rolemi organizace lze snížit rizika a posílit odolnost vůči moderním hrozbám bez negativního dopadu na agilitu a dostupnost služeb.

Related Posts

Budúcnosť výživy

Budúcnosť výživy

Kam smeruje výživa: rastlinné alternatívy a laboratórne jedlá. Výzvy chuti, ceny aj výživovej vyváženosti v praxi.

Breakbeat a jungle

Breakbeat a jungle

Breakbeat a jungle – predchodcovia žánru: Jasné vysvetlenia pojmov, nástrojov a vývoja scény. Príklady producentov, štýlov a techník, plus tipy na počúvanie a tvorbu pre začia

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *