Návrh bezpečné síťové topologie: principy segmentace a odolnosti proti kybernetickým útokům

Marek T.

Proč je topologie klíčem k bezpečnosti

Bezpečná síťová topologie představuje více než jen rozmístění kabelů a uzlů. Jedná se o architektonický rámec, který v celé infrastruktuře uplatňuje zásady nejmenších oprávnění (least privilege), hloubkové obrany (defense in depth) a nulové důvěry (zero trust). Dobře navržené členění na zóny, kontrolní body a bezpečné komunikační cesty významně snižuje dopad bezpečnostních incidentů, usnadňuje audit i provoz a umožňuje předvídatelný růst. Tento článek nabízí referenční postupy a návrhové vzory pro podnikové LAN/WAN s přesahem do datových center, cloudu, Wi-Fi a OT/ICS prostředí.

Bezpečnostní cíle, kritéria a omezení

  • CIA triáda: důvěrnost, integrita, dostupnost – s jasným stanovením priorit pro jednotlivé zóny (například produkční databáze versus guest Wi-Fi).
  • Regulační rámce: mapování na NIST CSF, ISO/IEC 27001, případně ISA/IEC 62443 (pro OT), PCI DSS (platební zóna), GDPR (osobní data).
  • Obchodní omezení: rozpočet, latence, kapacita, dovednosti týmu, licenční modely a SLA s poskytovateli služeb.
  • Hrozby a scénáře: ransomware, laterální pohyb útočníka, DDoS útoky, insider threats, dodavatelský řetězec, kompromitovaná IoT/OT zařízení.

Zásady návrhu: Zero Trust a Defense in Depth

  • Implicitní nedůvěra: každé rozhraní, zóna i identita jsou považovány za nedůvěryhodné, dokud není prokázán opak (ověření identity zařízení/uživatele a jeho bezpečnostního stavu).
  • Segmentace a mikrosegmentace: definice zón a jemná pravidla minimalizují rozsah dopadu incidentu (blast radius).
  • Kontrolní body: umístění bezpečnostních funkcí na všechny klíčové hranice (north-south i east-west směry komunikace).
  • Princip nejmenších práv: výchozí nastavení deny, explicitní povolení s granularitou pěticestných pravidel společně s identitou a rolí uživatele či zařízení.
  • Observabilita: telemetrie jako nedílná součást návrhu – bez viditelnosti není bezpečnost.

Zónový model a logická segmentace

Začněte definicí zón podle citlivosti dat a typu provozu. Každou zónu oddělte na úrovni L3 a prosazujte komunikaci výhradně přes řízené brány.

  • Public/Internet (nezabezpečené prostředí)
  • Perimetr/DMZ (publikované služby, reverzní proxy/WAF, e-mailové a DNS brány)
  • Uživatelská zóna (kancelářské stanice, VDI)
  • Serverová aplikační zóna (aplikace, middleware)
  • Datová zóna (databáze, souborové služby, správa tajemství)
  • Správní zóna (MGMT/OOB) (bastiony, systémová správa, monitoring)
  • Guest/Partner (striktně oddělené, pouze přístup na internet nebo specifické bezpečné tunely)
  • IoT/OT (tiskárny, senzory, průmyslová řídicí technika – nutná izolace!)

VRF, VLAN a L2/L3 hranice

  • VRF pro oddělení směrovacích domén (uživatelé vs. servery vs. management).
  • Inter-VLAN směrování pouze přes kontrolní body (L3 SVI → firewall/NGFW).
  • Route leaking selektivně a auditovatelně; vyvarujte se plošnému transitnímu routingu.
  • Ochrana ARP/ND: DHCP Snooping, Dynamic ARP Inspection, RA Guard u IPv6.

Fyzická topologie a architektonické vzory

  • Campus: access–distribution–core model (nebo collapsed core pro SMB). Distribuce představuje ideální místo pro vložení L3 hran a firewallů.
  • Datové centrum: leaf–spine architektura s EVPN/VXLAN, vložení služeb FW/IDS pro east-west traffic.
  • WAN/SD-WAN: hub-and-spoke versus plná meshová topologie; centrální bezpečnostní služby v hubu nebo nasazení SASE/PoP.

Perimetr, DMZ a řízení odchozího provozu

  • DMZ s reverzní proxy/WAF, oddělením front-end a back-end vrstev a striktními ACL.
  • Egress filtrování: výchozí deny, povolení přístupů dle cílů, portů a TLS SNI/domén podle potřeb; omezení přímého přístupu k internetu z citlivých zón.
  • DDoS ochrana: scrubbing, Anycast, rate-limit, uRPF, Control Plane Policing (CoPP) na hraničních směrovačích.
  • DNS a e-mail brány: oddělené servery v DMZ, validace (SPF/DKIM/DMARC), DNS sinkhole a response-policy.

Mikrosegmentace a identitně řízené politiky

  • NGFW/SGT/SGACL nebo jejich ekvivalent (role-based politiky napříč VLAN/VRF).
  • Host-based firewally (Windows Firewall, iptables/nftables) jako poslední obranná linie.
  • Virtualizace/Kubernetes: NetworkPolicy (K8s), service mesh s mTLS a L7 politikami.

Oddělení managementu a provozní bezpečnost

  • OOB management síť (separátní fyzická nebo VRF), přístup pouze přes bastion/jump host.
  • AAA a RBAC: centralizované TACACS+/RADIUS, SSO, MFA pro administrativní úkony.
  • Bezpečné protokoly: SSH, TLS, SNMPv3, NETCONF/gNMI s certifikáty; zakázat plaintext protokoly.
  • Zálohy konfigurací, šifrované tajemství (trezor, rotace klíčů, audit).

Řízení přístupu na portu (LAN) a NAC

  • 802.1X (EAP-TLS) jako standard; fallback MAB pouze pro inventarizovaná zařízení.
  • Dynamické přiřazení VLAN/SGT na základě identity a stavu zařízení (posture; antivirová ochrana, šifrování, verze OS).
  • Oddělené Guest a BYOD s captive portálem a přísnou kontrolou odchozího provozu.

Wi-Fi bezpečnost

  • WPA3-Enterprise (SAE/192-bit, EAP-TLS), ochrana řídicích rámců (802.11w).
  • Fast BSS Transition (802.11r) a roaming s oddělenými SSID pro podnikové, guest a IoT sítě.
  • WIPS/WIDS pro detekci rogue AP a Evil Twin útoků.

Vzdálený přístup: VPN a ZTNA

  • IPsec/SSL VPN s MFA, kontrolou stavu zařízení a split-tunnel podle úrovně rizika.
  • ZTNA (aplikace jako cíl, nikoliv celá síť): přístup na základě identity, stavu zařízení a kontextu.

Datové centrum: east-west bezpečnost

  • EVPN/VXLAN pro škálovatelnou L2/L3 konektivitu, vložení NGFW/IDS služeb.
  • Mikrosegmentace na hypervizoru (vDS/NSX) nebo pomocí agentů v hostitelích.
  • Storage sítě (iSCSI/NVMe-oF/FC) izolovat; QoS a RBAC na skladovacích zařízeních.

Cloud a hybridní topologie

  • Hub-and-spoke ve VPC/VNet (Transit Gateway/peering), sdílené služby v hubu.
  • Řízení odchozího provozu (FWaaS/NAT GW), Private Endpoints a zákaz veřejných IP adres pro PaaS služby.
  • Cross-domain identita (IdP), jednotné politiky a logování do centrálního SIEM.

Bezpečnost síťových protokolů a směrování

  • BGP/OSPF: autentizace MD5/TTLs, nastavení max-prefix, prefix-listy, route-mapy, RPKI validace na hranici.
  • Control Plane Policing (CoPP) a BFD pro rychlou detekci výpadků.
  • uRPF a ACL pro potlačení spoofingu.

L2 ochrany a stabilita

  • Port Security, BPDU Guard, Root Guard, Loop Guard.
  • STP/RSTP/MSTP – konzistence nastavení, hranice a konzervativní návrh; omezte rozsah L2 domén.
  • MLAG/MC-LAG pro redundantní servery/ToR přepínače, jasná pravidla pro LACP.

Bezpečné služby infrastruktury (DNS, DHCP, NTP)

  • DNSSEC, RPZ/sinkhole, oddělení resolverů pro různé zóny.
  • DHCP Snooping a pevné vazby IP-MAC; statické mapy pro kritická zařízení.
  • NTP/PTP s autentizací a interními servery; blokace externího NTP mimo egress body.

Viditelnost, logování a detekce

  • NetFlow/IPFIX, sFlow na klíčových bodech; SPAN/TAP pro NDR/IDS.
  • Syslog a SNMPv3 do SIEM/SOAR; normalizace a korelace událostí.
  • Ukazatele a SLA/KPI: MTTD/MTTR, úspěšnost 802.1X autentizace, počet zablokovaných přístupů, objem odchozího provozu.

Vysoká dostupnost a odolnost

  • Redundance N+1/2N (napájení, chlazení, uplinky, síťová páteř).
  • Dual-homing a ECMP; HSRP/VRRP s funkcí preemption a sledováním stavu (track).
  • Graceful Restart/NSF, konzistentní nastavení MTU a QoS profilů.

OT/ICS: zóny a kanály (ISA/IEC 62443)

  • DMZ mezi IT a OT s jednosměrnými datovody (data diodes) pro kritické datové toky.
  • Zóny (Enterprise, DMZ, Supervisory, Control, Safety) a kanály s přesně definovanými pravidly komunikace.
  • Patch a change management s plánovanými okny údržby a offline validací.

Kubernetes a kontejnery

  • NetworkPolicy jako výchozí; service mesh s mTLS a autorizací.
  • Ingress přes WAF/NGFW; registry s podpisy a skenováním obrazů kontejnerů.

Konfigurační hygiena a Infrastructure as Code

  • GitOps (pull-requesty, code review), CI/CD procesy pro síť (lintování, testování, validace šablon).
  • IaC nástroje (Terraform/Ansible) a golden configs s parametrizací.
  • Zálohy a verzování konfigurací; rychlá obnova po bezpečnostních incidentech.

Testování, validace a chaos

  • Bezpečnostní testy: skeny zranitelností, penetrační testy, red/purple team cvičení.
  • Provozní testy: failover/DR cvičení, saturace linek, latence, packet loss.
  • Chaos engineering v izolovaných podmínkách: odpojení uplinku, výpadek uzlu, přetížení směrovacích tabulek.

Incident Response, BCP a DR

  • Playbooky pro izolaci zón (blackhole/RTBH, ACL drop, quarantine VLAN).
  • RTO/RPO a záložní konektivita (LTE/5G out-of-band, záložní ISP, alternativní trasy).
  • Forenzní připravenost: časová synchronizace, integrita logů, zachytávání paketů.

Referenční architektury podle velikosti

  • SMB: collapsed core, NGFW jako centrální brána mezi VLAN; guest a IoT sítě odděleny; cloudová ZTNA pro vzdálený přístup.
  • Střední podnik/campus: access–distribution–core model, všudypřítomný 802.1X, MGMT VRF/OOB; SD-WAN hub s centrálními bezpečnostními službami.
  • Enterprise/datové centrum: leaf

Súvisiace články

Řízení vztahů s komunitami a partnery

Řízení vztahů s komunitami a partnery představuje strategické aktivum pro budování důvěry, inovací a udržitelných spoluprací, s využitím stakeholder mappingu, engagementu a governance pro minimalizaci rizik a zvýšení reputace firmy.