Návrh bezpečné topologie

Proč je topologie klíčem k bezpečnosti

Bezpečná síťová topologie je víc než jen rozložení kabelů a uzlů. Jde o architektonický rámec, který vynucuje zásady least privilege, defense in depth a zero trust v celé infrastruktuře. Dobře navržené členění na zóny, kontrolní body a bezpečné trasy provozu výrazně snižuje dopad incidentů, usnadňuje audit i provoz a umožňuje předvídatelný růst. Tento článek nabízí referenční postupy a návrhové vzory pro podnikové LAN/WAN s přesahem do datových center, cloudu, Wi-Fi a OT/ICS prostředí.

Bezpečnostní cíle, kritéria a omezení

• CIA triáda: důvěrnost, integrita, dostupnost – s jasnými prioritami pro jednotlivé zóny (např. produkční databáze vs. guest Wi-Fi).
• Regulační rámce: mapujte na NIST CSF, ISO/IEC 27001, případně ISA/IEC 62443 (pro OT), PCI DSS (platební zóna), GDPR (osobní data).
• Obchodní omezení: rozpočet, latence, kapacita, dovednosti týmu, licenční modely a SLA s dodavateli.
• Hrozby a scénáře: ransomware, postranní pohyb útočníka, DDoS, insider, dodavatelský řetězec, kompromitované IoT/OT.

Zásady návrhu: Zero Trust a Defense in Depth

• Implicitní nedůvěra: každé rozhraní, zóna i identita jsou považovány za nedůvěryhodné, dokud není prokázán opak (identita zařízení/uživatele + stav).
• Segmentace a mikrosegmentace: zóny a jejich jemná pravidla minimalizují blast radius.
• Kontrolní body: na všech klíčových hranách (north-south i east-west) vkládejte bezpečnostní funkce.
• Princip nejmenších práv: výchozí deny, explicitní povolení s granularitou 5-tuple + identita/role.
• Observabilita: telemetrie jako součást návrhu – bez viditelnosti není bezpečnost.

Zónový model a logická segmentace

Začněte definicí zón podle citlivosti a typu provozu. Každou zónu oddělte L3 hranicí a prosazujte komunikaci výhradně přes řízené brány.

• Public/Internet (nezabezpečené prostředí)
• Perimetr/DMZ (publikované služby, reverzní proxy/WAF, e-mail/DNS brány)
• Uživatelská zóna (kancelářské stanice, VDI)
• Serverová aplikační zóna (aplikace, middleware)
• Datová zóna (databáze, souborové služby, tajemství)
• Správní zóna (MGMT/OOB) (bastiony, systémová správa, monitoring)
• Gast/Partner (striktně oddělené, internet-only / specifické tunely)
• IoT/OT (tiskárny, senzory, průmyslová řídicí technika – izolovat!)

VRF, VLAN a L2/L3 hranice

• VRF pro oddělení směrovacích domén (uživatelé vs. servery vs. management).
• Inter-VLAN směrování pouze přes kontrolní body (L3 SVI → firewall/NGFW).
• Route leaking selektivně a auditovatelně; vyvarujte se plošného transitního routingu.
• ARP/ND ochrany: DHCP Snooping, Dynamic ARP Inspection, RA Guard u IPv6.

Fyzická topologie a architektonické vzory

• Campus: access–distribution–core (nebo collapsed core pro SMB). Distribuce je ideální místo pro L3 hrany a FW vložení.
• Datové centrum: leaf–spine s EVPN/VXLAN, služební inserce FW/IDS pro east-west.
• WAN/SD-WAN: hub-and-spoke vs. plná meshová topologie; centrální bezpečnostní služby v hubu nebo SASE/PoP.

Perimetr, DMZ a řízení odchozího provozu

• DMZ s reverzním proxy/WAF, oddělením front-end a back-end vrstev a striktními ACL.
• Egress filtrování: výchozí deny, povolovat cíle/porty a TLS SNI/domény dle potřeb; omezit přímý internet z citlivých zón.
• DDoS ochrana: scrubbing, Anycast, rate-limit, uRPF, CoPP na hraničních směrovačích.
• DNS a e-mail brány: oddělené servery v DMZ, validace (SPF/DKIM/DMARC), DNS sinkhole/response-policy.

Mikrosegmentace a identitně řízené politiky

• NGFW/SGT/SGACL nebo ekvivalent (role-based policie napříč VLAN/VRF).
• Host-based firewally (Windows Firewall, iptables/nftables) jako poslední linie.
• Virtualizace/Kubernetes: NetworkPolicy (K8s), service mesh s mTLS a L7 politikami.

Oddělení managementu a provozní bezpečnost

• OOB management síť (separátní fyzická/VRF), přístup pouze přes bastion/jump host.
• AAA a RBAC: centralizované TACACS+/RADIUS, SSO, mfa pro admin úkony.
• Bezpečné protokoly: SSH, TLS, SNMPv3, NETCONF/gNMI s certifikáty; zakázat plaintext.
• Zálohy konfigurací, šifrované tajemství (trezor, rotace klíčů, audit).

Řízení přístupu na portu (LAN) a NAC

• 802.1X (EAP-TLS) jako standard; fallback MAB jen pro inventarizované zařízení.
• Dynamické přiřazení VLAN/SGT dle identity a posture (AV, šifrování, verze OS).
• Oddělené Guest a BYOD s captive portálem a přísným egress.

Wi-Fi bezpečnost

• WPA3-Enterprise (SAE/192-bit, EAP-TLS), Management Frame Protection (802.11w).
• Fast BSS Transition (802.11r) a roaming s oddělením SSID pro podnik/guest/IoT.
• WIPS/WIDS pro detekci rogue AP a Evil Twin.

Vzdálený přístup: VPN a ZTNA

• IPsec/SSL VPN s MFA, device posture a split-tunnel podle rizika.
• ZTNA (aplikace jako cíl, ne síť): přístup na základě identity, stavu zařízení a kontextu.

Datové centrum: east-west bezpečnost

• EVPN/VXLAN pro škálovatelnou L2/L3 konektivitu, service insertion NGFW/IDS.
• Mikrosegmentace na hypervizoru (vDS/NSX) nebo pomocí agentů v hostech.
• Storage sítě (iSCSI/NVMe-oF/FC) izolovat; QoS a RBAC na úložištích.

Cloud a hybridní topologie

• Hub-and-spoke ve VPC/VNet (Transit Gateway/peering), sdílené služby v hubu.
• Egress control (FWaaS/NAT GW), Private Endpoints a zákaz veřejných IP pro PaaS.
• Cross-domain identita (IdP), jednotné politiky a logování do centrálního SIEM.

Bezpečnost síťových protokolů a směrování

• BGP/OSPF: MD5/TTLs, max-prefix, prefix-listy, route-mapy, RPKI validace u hranice.
• Control Plane Policing (CoPP) a BFD pro rychlou detekci výpadků.
• uRPF a ACL pro potlačení spoofingu.

L2 ochrany a stabilita

• Port Security, BPDU Guard, Root Guard, Loop Guard.
• STP/RSTP/MSTP konzistence, prahy a konzervativní design; omezte L2 domény.
• MLAG/MC-LAG pro redundantní servery/ToR, jasná pravidla pro LACP.

Bezpečné služby infrastruktury (DNS, DHCP, NTP)

• DNSSEC, RPZ/sinkhole, oddělení resolverů pro různé zóny.
• DHCP Snooping a IP-MAC vazby; statické mapy pro kritická zařízení.
• NTP/PTP s autentizací a interními servery; blokujte externí NTP mimo egress.

Viditelnost, logování a detekce

• NetFlow/IPFIX, sFlow na klíčových bodech; SPAN/TAP pro NDR/IDS.
• Syslog a SNMPv3 do SIEM/SOAR; normalizace a korelace událostí.
• Gauges a SLO/KPI: MTTD/MTTR, úspěšnost 802.1X, počet blokovaných pokusů, objem egress.

Vysoká dostupnost a odolnost

• Redundance N+1/2N (napájení, chlazení, uplinky, páteř).
• Dual-homing a ECMP; HSRP/VRRP s preemption a trackem.
• Graceful Restart/NSF, konsistentní MTU a QoS profily.

OT/ICS: zóny a kanály (ISA/IEC 62443)

• DMZ mezi IT a OT s jednosměrnými data diodes pro kritické toky.
• Zóny (Enterprise, DMZ, Supervisory, Control, Safety) a kanály s přesnými pravidly.
• Patch a change management s údržbovými okny a offline validací.

Kubernetes a kontejnery

• NetworkPolicy jako výchozí; service mesh s mTLS a autorizací.
• Ingress přes WAF/NGFW; registry s podpisy a skenováním obrazů.

Konfigurační hygiena a Infrastructure as Code

• GitOps (pull-requesty, code review), CI/CD pro síť (lint, testy, validace šablon).
• IaC nástroje (Terraform/Ansible) a golden configs s parametrizací.
• Zálohy a verzování konfigurací; rychlá obnova po incidentu.

Testování, validace a chaos

• Bezpečnostní testy: skeny zranitelností, pen-test, red/purple team.
• Provozní testy: failover/DR, saturace linek, latence, packet loss.
• Chaos engineering v izolovaném okně: zahození uplinku, výpadek uzlu, přetížení tabulek.

Incident Response, BCP a DR

• Playbooky pro izolaci zón (blackhole/RTBH, ACL drop, quarantine VLAN).
• RTO/RPO a záložní konektivita (LTE/5G out-of-band, záložní ISP, alternativní trasy).
• Forenzní připravenost: časová synchronizace, integrita logů, paketové záznamy.

Referenční architektury podle velikosti

• SMB: collapsed core, NGFW jako centrální brána mezi VLAN; guest a IoT odděleny; cloudová ZTNA pro vzdálený přístup.
• Střední podnik/campus: access–distribution–core, 802.1X všude, MGMT VRF/OOB; SD-WAN hub s centrálními službami.
• Enterprise/DC: leaf–spine, EVPN/VXLAN, service insertion, mikrosegmentace; více hubů, SASE pro pobočky a hybrid cloud.

Implementační postup krok za krokem

1. Inventarizace a klasifikace aktiv (data, aplikace, zařízení, identity).
2. Model hrozeb a požadavků (regulace, SLA, latence, kapacita).
3. Návrh zón/VRF a toků (datové toky, egress, závislosti).
4. Volba topologie (campus/DC/WAN), umístění kontrolních bodů.
5. Adresní a DNS/DHCP plán (IPv4/IPv6, rezerva, delegace).
6. Bezpečnostní politiky (ACL, NGFW, ZTNA, 802.1X, Wi-Fi).
7. Observabilita (telemetrie, SIEM, runbooky a alerting).
8. HA a DR (redundance, testy failoveru).
9. Dokumentace a školení (diagramy L2/L3, politiky, postupy).
10. Pilot a iterace (postupná migrace, měření KPI).

Nejčastější chyby a jak se jim vyhnout

• Flat síť bez L3 hranic – umožňuje postranní pohyb útočníků.
• „Any-any allow“ mezi zónami – ztráta smyslu segmentace.
• Chybějící egress control – malware volně komunikuje ven.
• Sdílený management s produkcí – snadný pivot na síťové prvky.
• Nedostatečná viditelnost – slepá místa bez telemetrie a logů.
• Konfigurační drift – bez IaC a verzování dochází k nekonzistenci.

Kontrolní seznam před uvedením do provozu

• Zóny/VRF definovány, výchozí deny mezi nimi, povoleny jen nezbytné toky.
• 802.1X/aaa nasazeno, guest/IoT izolovány, posture vynucen.
• DMZ s WAF/reverzní proxy; egress filtrování a DNS politiky.
• OOB/MGMT oddělen, bastion a audit přístupů funkční.
• NetFlow/IPFIX, syslog, SNMPv3 a integrace do SIEM ověřeny.
• HA/failover scénáře otestovány (HSRP/VRRP, ECMP, MLAG).
• Zálohy konfigurací, recovery postupy a DR linky připraveny.
• Dokumentace a diagramy aktuální, školení dokončeno.

Závěr a doporučené další kroky

Bezpečná topologie je kombinací jasných zón, řízených hran a měřitelné observability. Začněte modelováním hrozeb a klasifikací aktiv, navrhněte zónový plán s minimálními oprávněními, vložte bezpečnostní funkce na všechny klíčové hrany a zaveďte automatizaci i telemetrii. Následně v iteracích refineujte politiky podle reálných toků, průběžně testujte odolnost a udržujte dokumentaci i školení v souladu s praxí. Tak dosáhnete sítě, která je nejen bezpečná, ale i provozně udržitelná a škálovatelná.