Základy síťové bezpečnosti

Posted on by L. Horváthová
Základy síťové bezpečnosti

Síťová bezpečnost

Síťová bezpečnost je soubor principů, procesů a technických opatření, jejichž cílem je chránit dostupnost, integritu a důvěrnost (CIA triáda) dat a služeb v komunikujících systémech. Zahrnuje prevenční i detekční mechanismy, řízení rizik, reakci na incidenty a průběžné zlepšování. V moderních hybridních infrastrukturách (on-premises, cloud, edge, mobilní a IoT) je síťová bezpečnost neoddělitelná od správy identit, kryptografie a provozní disciplíny (governance).

Model hrozeb a řízení rizik

  • Identifikace aktiv: katalogizace kritických systémů, datových toků a závislostí napříč síťovými segmenty.
  • Hrozby a zranitelnosti: oponenti (externí/insider), vektory útoku (phishing, malware, zneužití zranitelnosti, DDoS), misconfigurace.
  • Odhad dopadů a pravděpodobnosti: kvantitativní/kalitativní metody, modely FAIR, scénáře „co kdyby“.
  • Ošetření rizik: akceptace, mitigace, transfer (pojištění), eliminace; mapování na kontrolní rámce (ISO/IEC 27001/2, NIST CSF, CIS Controls).

Zásady „security by design“ a „defense in depth“

Vícevrstvá obrana kombinuje preventivní, detekční a reaktivní prvky v síťové, aplikační i identitní vrstvě. Bezpečnostní vlastnosti se navrhují od začátku (princip KISS, minimalizace útokové plochy) a vynucují se automatizovaně (policy as code). Žádná jednotlivá kontrola není všemocná – vrstvení snižuje pravděpodobnost průlomu a limituje dopady incidentu.

Zero Trust: nikdy nevěř, vždy ověř

  • Ověření identit a kontextu: silná autentizace (MFA), atestace zařízení, signály rizika (IP reputace, geolokace, chování).
  • Nejmenší oprávnění (least privilege): dynamické řízení přístupu (ABAC/RBAC), just-in-time a just-enough privileges.
  • Mikrosegmentace a izolace: granularita až na úroveň workloadu (L3–L7 policy), default-deny a explicitní povolení.
  • Kontinuální monitoring: telemetrie, detekce anomálií a enforcement v reálném čase.

Autentizace, autorizace a správa identit (IAM)

  • Autentizace: hesla s správou životního cyklu, bezheslové metody (FIDO2/WebAuthn), OTP, certifikáty, Kerberos/NTLM v doménách.
  • Federace a SSO: protokoly SAML, OpenID Connect, OAuth 2.0; správa vztahů důvěry mezi doménami.
  • Autorizace: RBAC, ABAC, PBAC; centralizované politiky (OPA, XACML) a jejich auditovatelnost.
  • Privilegované přístupy (PAM): trezory tajemství, session brokery, záznam relací, schvalovací workflow.

Kryptografie a klíčová infrastruktura

  • Šifrování v klidu a za běhu: AES-GCM pro data, TLS 1.2/1.3 pro transport; volba silných sad (PFS – ECDHE).
  • PKI: certifikační autority, životní cyklus certifikátů (CSR, vydávání, rotace, revokace), automatizace (ACME).
  • Hashování a integrita: SHA-256+, HMAC; digitální podpisy (RSA/ECDSA/EdDSA).
  • Správa klíčů a tajemství: HSM/KMS, segmentace klíčů, envelope encryption, tajemství mimo kód (vaulty).
  • Kryptografie odolná vůči kvantům (PQC): plán migrace, hybridní výměna klíčů, inventarizace algoritmů.

Segmentace sítě a architektonické vzory

  • Makro- a mikrosegmentace: VLAN, VRF, SD-WAN; mikrosegmentace pomocí agentů/overlays (L7 policy).
  • Oddělení zón: uživatelská, serverová, management, OT/IoT, DMZ; řízené prostupy a skokové servery (jump hosts).
  • Boundary security: reverzní proxy, WAF, API gateway, brokerované přístupy (ZTNA) namísto VPN s plným tunelem.

Perimetr a L3/L4/L7 kontroly

  • Firewally: stavové filtry (L3/L4), NGFW s DPI a aplikačními politikami; zásada „deny-all, allow-explicit“.
  • IDS/IPS a NDR: signaturní i behaviorální detekce, sandboxing, TLS dešifrace s ohledem na soukromí.
  • DDoS ochrana: scrubbing, rate limiting, BGP blackholing/flow-spec, anycast.
  • DNS bezpečnost: DNSSEC validace, filtrování domén, izolace resolverů a egress control.
  • Poštovní brány: SPF, DKIM, DMARC, anti-phishing, sandboxing příloh.

Bezpečné protokoly a síťové služby

  • Správa zařízení: SSH/HTTPS místo Telnet/HTTP, TACACS+/RADIUS pro AAA, oddělené management VLAN.
  • VPN a přístup na dálku: IPsec/IKEv2, TLS VPN; split-tunneling podle rizika; posture check klienta.
  • Synchronizace času: zabezpečený NTP/PTP (NTS), prevence spoofingu.

Ochrana koncových bodů a EDR/XDR

  • Hardening OS: minimalizace služeb, aktualizace, politiky aplikací (AppLocker/SELinux), šifrování disků.
  • Antimalware a EDR: senzory chování, izolace procesů, rollback po ransomware.
  • Správa zařízení: MDM/UEM pro inventář, konfigurace, compliance a vzdálené vymazání.

Monitoring, logování a SIEM

  • Telemetrie: síťové toky (NetFlow/IPFIX), syslog, auditní záznamy IAM, aplikační logy.
  • Normalizace a korelace: SIEM/SOAR, alerting, orámování detekcí dle MITRE ATT&CK.
  • Retence a integrita logů: WORM úložiště, časová razítka, řetězení hashů; ochrana před mazáním útočníkem.

Vulnerability management a konfigurace

  • Skener zranitelností: periodické skeny (authenticované), hodnocení CVSS s kontextem byznysu.
  • Patch management: okna údržby, canary deployment, rollback plány; prioritizace kritických aktualizací.
  • Compliance a konfigurace: šablony (CIS Benchmarks), drift detection, Infrastructure as Code (GitOps, review, signování).

Incident response a forenzní připravenost

  • Příprava: playbooky, komunikační plány, smluvní rámce s dodavateli (SLA), cvičení tabletop.
  • Detekce a analýza: triage, tvorba hypotéz, sběr artefaktů s řádným řetězcem důkazů.
  • Obsahování, eradikace, obnova: izolace segmentů, rotace tajemství, reinstalace čistými obrazy, verifikace integrity.
  • Lessons learned: post-mortem bez hledání viníka, aktualizace kontrol a politik.

Bezpečnost v cloudu a v prostředí kontejnerů

  • Shared responsibility: jasné vymezení odpovědností mezi poskytovatelem a zákazníkem.
  • Cloud-native kontroly: bezpečné VPC/VNet peeringy, SG/NSG, privátní endpoints, WAF, DLP.
  • Kontejnery a Kubernetes: podpis a sken obrazů, minimální base image, Pod Security Standards, síťové politiky (CNI), tajemství mimo kontejnery.
  • Cloud IAM: princip nejmenších oprávnění, oddělené účty a projekty, break-glass účty s trezorem.

Ochrana dat a kontinuita provozu

  • Klasifikace a označování: veřejné / interní / citlivé / tajné; mapování na řízení přístupu a šifrování.
  • Zálohy a obnova: 3-2-1 strategie, offline/immutable kopie, pravidelné testy obnovy.
  • DLP a tokenizace: inspekce na egressu, maskování citlivých polí, pseudonymizace.
  • BCP/DR: RTO/RPO cíle, geografická redundance, plán přesměrování provozu.

Lidský faktor a bezpečnostní kultura

  • Školení a simulace: phishingové kampaně, bezpečné zacházení s daty, hlášení incidentů bez postihu.
  • Procesy a disciplína: „change management“, čtyři oči, segregace rolí, schvalování výjimek.
  • Dodavatelský řetězec: due diligence, smluvní požadavky, penetrační testy třetích stran, SBOM.

Testování bezpečnosti a SDLC

  • Penetrační testy a red teaming: pravidelné ověřování obrany, scénáře TTP, cvičení modrý vs. červený tým.
  • Bezpečný vývoj (DevSecOps): SAST/DAST/IAST, sken závislostí, hrozbové modelování (STRIDE), bezpečné CI/CD s podepisováním artefaktů.
  • Chaos engineering pro bezpečnost: záměrné injektování selhání pro ověření robustnosti a reakce.

Metriky, audit a governance

  • Výkonnostní ukazatele: MTTD/MTTR, patch compliance, pokrytí logů, míra blokovaných hrozeb, úspěšnost obnovy.
  • Audit a dohled: periodické ověřování kontrol, kontinuita souladu s regulací (GDPR, NIS2, PCI DSS).
  • Politiky a standardy: jasná dokumentace, schvalovací procesy, průběžná aktualizace.

Specifika OT/IoT bezpečnosti

  • Inventarizace a pasivní monitoring: zjišťování zařízení bez narušení provozu (SPAN/TAP).
  • Segmentace a whitelisting: deterministické toky, přísné L4/L7 politiky, protokolové brány.
  • Správa životního cyklu: patching s ohledem na dostupnost, kompenzační kontroly, fyzické zabezpečení.

Doporučená minimální baseline

  1. MFA pro všechny privilegované i vzdálené přístupy.
  2. Šifrování dat za běhu (TLS 1.2/1.3) a v klidu (AES-GCM), řízená správa klíčů.
  3. Segmentace s default-deny a řízeným egress/ingress.
  4. Centralizované logování, SIEM a základní SOAR playbooky.
  5. Pravidelné skeny zranitelností, patching a hardening dle CIS.
  6. Zálohy se zkouškami obnovy a alespoň jednou neměnnou kopií.
  7. Bezpečné IAM s principem nejmenších oprávnění a PAM.
  8. Ochrana emailu a DNS s DMARC/DKIM/SPF a DNSSEC validací.
  9. Plán reakce na incidenty a cvičení tabletop alespoň 2× ročně.

Závěr

Základní principy síťové bezpečnosti nestojí na jedné technologii, ale na kombinaci správné architektury, disciplinovaného provozu a informovaných lidí. Zero Trust, defense in depth, silná kryptografie, řízení identit, segmentace a průběžný monitoring tvoří páteř odolnosti. V prostředí dynamických hrozeb je klíčové kontinuální zlepšování – měřit, testovat, učit se a automatizovat.

Related Posts

Zefektivnění IT úloh

Zefektivnění IT úloh

Jak zefektivnit opakované IT úlohy: standardizace, skripty a CI/CD zkracují čas, snižují chyby a zlepšují auditovatelnost provozu.

Zaistenie

Zaistenie v oblasti poistenia a zaistenia Ide vlastne o poistenie poistenia. V prípade veľkého rizika sa rozdelí toto riziko medzi poisťovateľa a jedného alebo viacerých […]

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *