Návrh bezpečné síťové topologie

Planner

Proč je topologie klíčem k bezpečnosti

Bezpečná síťová topologie představuje více než pouhé rozmístění kabelů a uzlů. Jedná se o architektonický rámec, který prosazuje principy nejmenších oprávnění (least privilege), obrany do hloubky (defense in depth) a zero trust napříč celou infrastrukturou. Kvalitně navržené dělení na zóny, kontrolní body a bezpečné trasy provozu zásadně snižuje dopad bezpečnostních incidentů, usnadňuje audit a provoz a umožňuje předvídatelný růst. Tento článek nabízí referenční postupy a návrhové vzory pro podnikové LAN/WAN s přesahem do datových center, cloudu, Wi-Fi a prostředí OT/ICS.

Bezpečnostní cíle, kritéria a omezení

  • CIA triáda: důvěrnost, integrita, dostupnost – s jasným vymezením priorit pro jednotlivé zóny (například produkční databáze vs. guest Wi-Fi).
  • Regulační rámce: vymezte je dle NIST CSF, ISO/IEC 27001, případně ISA/IEC 62443 (pro OT), PCI DSS (platební zóna), GDPR (ochrana osobních údajů).
  • Obchodní omezení: rozpočet, latence, kapacita, znalosti týmu, licenční modely a SLA s dodavateli.
  • Hrozby a scénáře: ransomware, laterální pohyb útočníka, DDoS útoky, insider threat, dodavatelský řetězec, kompromitované IoT/OT zařízení.

Zásady návrhu: Zero Trust a Defense in Depth

  • Implicitní nedůvěra: každé rozhraní, zóna i identita jsou považovány za nedůvěryhodné, dokud není prokázán opak (identita zařízení/uživatele a jeho aktuální stav).
  • Segmentace a mikrosegmentace: zóny a detailní pravidla minimalizují rozsah možného dopadu útoku (blast radius).
  • Kontrolní body: na všech klíčových hranách (north-south i east-west) integrujte bezpečnostní funkce.
  • Princip nejmenších práv: výchozí politika deny, explicitní povolení s granularitou na úrovni 5-tuple spolu s identitou nebo rolí.
  • Observabilita: telemetrie jako nedílná součást návrhu – bez viditelnosti není bezpečnosti.

Zónový model a logická segmentace

Začněte definováním zón podle citlivosti a typu provozu. Každou zónu oddělte na úrovni L3 a komunikaci povolujte výhradně přes řízené brány.

  • Public/Internet (nezabezpečené prostředí)
  • Perimetr/DMZ (publikované služby, reverzní proxy/WAF, emailové a DNS brány)
  • Uživatelská zóna (kancelářské pracovní stanice, VDI)
  • Serverová aplikační zóna (aplikace, middleware)
  • Datová zóna (databáze, souborové služby, tajemství)
  • Správní zóna (MGMT/OOB) (bastiony, systémová správa, monitoring)
  • Guest/Partner (striktně oddělené, přístup pouze do internetu / specifické tunely)
  • IoT/OT (tiskárny, senzory, průmyslová řídicí technika – izolovat!)

VRF, VLAN a L2/L3 hranice

  • VRF pro oddělení směrovacích domén (uživatelé vs. servery vs. management).
  • Inter-VLAN směrování pouze přes kontrolní body (L3 SVI směrovány přes firewall/NGFW).
  • Route leaking selektivně a auditovatelně; vyhněte se plošnému transitnímu routingu.
  • Ochrany ARP/ND: DHCP Snooping, Dynamic ARP Inspection, RA Guard pro IPv6.

Fyzická topologie a architektonické vzory

  • Campus: access–distribution–core (nebo collapsed core pro SMB). Distribuce je ideálním místem pro L3 hrany a nasazení firewallů.
  • Datové centrum: leaf–spine architektura s EVPN/VXLAN, služební vložení firewallu/IDS pro east-west provoz.
  • WAN/SD-WAN: topologie hub-and-spoke versus plná meshová; centrální bezpečnostní služby v hubu nebo SASE/PoP.

Perimetr, DMZ a řízení odchozího provozu

  • DMZ s reverzní proxy/WAF, oddělením front-end a back-end vrstev a striktními ACL.
  • Egress filtrování: výchozí politika deny, povolovat cílové adresy, porty a TLS SNI/domény podle potřeby; omezit přímý přístup na internet z citlivých zón.
  • DDoS ochrana: scrubbing, Anycast, rate-limit, uRPF, CoPP na hraničních směrovačích.
  • DNS a emailové brány: oddělené servery v DMZ, validace (SPF/DKIM/DMARC), DNS sinkhole/response-policy.

Mikrosegmentace a identitně řízené politiky

  • NGFW/SGT/SGACL nebo ekvivalent (politiky řízené podle rolí napříč VLAN/VRF).
  • Host-based firewally (Windows Firewall, iptables/nftables) jako poslední linie obrany.
  • Virtualizace/Kubernetes: NetworkPolicy (K8s), service mesh s mTLS a politikami na vrstvě L7.

Oddělení managementu a provozní bezpečnost

  • OOB management síť (separátní fyzická/VRF), přístup výhradně přes bastion/jump host.
  • AAA a RBAC: centralizované TACACS+/RADIUS, SSO, MFA pro administrativní úkony.
  • Bezpečné protokoly: SSH, TLS, SNMPv3, NETCONF/gNMI s certifikáty; zakázat plaintext protokoly.
  • Zálohy konfigurací, šifrovaná tajemství (trezor, rotace klíčů, auditace).

Řízení přístupu na portu (LAN) a NAC

  • 802.1X (EAP-TLS) jako standard; fallback na MAB pouze pro inventarizovaná zařízení.
  • Dynamické přiřazení VLAN/SGT dle identity a posture (antivirová ochrana, šifrování, verzování OS).
  • Oddělené Guest a BYOD sítě s captive portálem a přísnou kontrolou odchozí komunikace.

Wi-Fi bezpečnost

  • WPA3-Enterprise (SAE/192-bit, EAP-TLS), ochrana management frame (802.11w).
  • Fast BSS Transition (802.11r) a roaming s oddělenými SSID pro podnik, hosty a IoT.
  • WIPS/WIDS pro detekci rogue AP a Evil Twin útoků.

Vzdálený přístup: VPN a ZTNA

  • IPsec/SSL VPN s MFA, kontrolou stavu zařízení a split-tunnel podle rizika.
  • ZTNA (aplikace jako cíl, ne síť): přístup na základě identity, stavu zařízení a kontextu.

Datové centrum: east-west bezpečnost

  • EVPN/VXLAN pro škálovatelnou L2/L3 konektivitu, služební vložení NGFW/IDS.
  • Mikrosegmentace na hypervizoru (vDS/NSX) nebo pomocí agentů v hostech.
  • Storage sítě (iSCSI/NVMe-oF/FC) izolovat; QoS a RBAC na úložištích.

Cloud a hybridní topologie

  • Hub-and-spoke ve VPC/VNet (Transit Gateway/peering), sdílené služby v hubu.
  • Řízení odchozího provozu (FWaaS/NAT GW), Private Endpoints a zákaz veřejných IP pro PaaS.
  • Křížové doménové identity (IdP), jednotné politiky a logování do centrálního SIEM.

Bezpečnost síťových protokolů a směrování

  • BGP/OSPF: MD5/TTLs, max-prefix, seznamy prefixů, route-mapy, RPKI validace na hranicích.
  • Control Plane Policing (CoPP) a BFD pro rychlou detekci výpadků.
  • uRPF a ACL pro potlačení IP spoofingu.

L2 ochrany a stabilita

  • Port Security, BPDU Guard, Root Guard, Loop Guard.
  • STP/RSTP/MSTP konzistence, vhodné prahy a konzervativní design; omezte rozsah L2 domén.
  • MLAG/MC-LAG pro redundantní servery/Top of Rack switche, jasná pravidla pro LACP.

Bezpečné služby infrastruktury (DNS, DHCP, NTP)

  • DNSSEC, RPZ/sinkhole, oddělení resolverů podle zón.
  • DHCP Snooping a pevné vazby IP-MAC; statické mapování pro kritická zařízení.
  • NTP/PTP s autentizací a interními časovými servery; blokování externích NTP mimo egress.

Viditelnost, logování a detekce

  • NetFlow/IPFIX, sFlow na klíčových bodech; SPAN/TAP pro Network Detection and Response (NDR)/IDS.
  • Syslog a SNMPv3 do SIEM/SOAR; normalizace a korelace událostí.
  • Metrologie a provozní ukazatele (SLO/KPI): MTTD/MTTR, úspěšnost 802.1X autentizace, počet blokovaných pokusů, objem odchozí komunikace.

Vysoká dostupnost a odolnost

  • Redundance N+1/2N (napájení, chlazení, uplinky, páteřní spoje).
  • Dual-homing a ECMP; HSRP/VRRP s preemption a sledováním (tracking).
  • Graceful Restart/NSF, konzistentní MTU a QoS profily.

OT/ICS: zóny a kanály (ISA/IEC 62443)

  • DMZ mezi IT a OT s jednosměrnými data diodes pro kritické datové toky.
  • Zóny (Enterprise, DMZ, Supervisory, Control, Safety) a kanály s přesnými bezpečnostními pravidly.
  • Patch a change management s údržbovými okny a offline validací.

Kubernetes a kontejnery

  • NetworkPolicy jako výchozí; service mesh s mTLS a autorizací.
  • Ingress přes WAF/NGFW; registry obrazů s podpisy a bezpečnostním skenováním.

Konfigurační hygiena a Infrastructure as Code

  • GitOps (pull-requesty, code review), CI/CD pro síť (lintování, testy, validace šablon).
  • IaC nástroje (Terraform, Ansible) a golden configs s parametrizací.
  • Zálohy a verzování konfigurací; rychlá obnova po incidentech.

Testování, validace a chaos

  • Bezpečnostní testy: skeny zranitelností, penetrační testy, red/purple team aktivity.
  • Provozní testy: testy failover/DR, saturace linek, latence, packet loss.
  • Chaos engineering v izolovaném režimu: simulace výpadku uplinku, selhání uzlu, přetížení tabulek.

Incident Response, BCP a DR

  • Playbooky pro izolaci zón (blackhole/RTBH, explicitní blokace ACL, karanténa VLAN).
  • RTO/RPO a záložní konektivita (LTE/5G out-of-band, záložní ISP, alternativní trasy).
  • Forenzní připravenost: časová synchronizace, integrita logů, zachycení paketových záznamů.

Referenční architektury podle velikosti

  • SMB: collapsed core, NGFW jako centrální brána mezi VLAN; guest a IoT sítě oddělené; cloudová ZTNA pro vzdálený přístup.
  • Střední podnik/campus: access–distribution–core, všudypřítomné 802.1X, MGMT VRF/OOB; SD-WAN hub s centrálními bezpečnostními službami.
  • Enterprise/DC: leaf–spine architektura, EVPN/VXLAN, služební vložení, mikrosegmentace; vícenásobné huby, SASE pro pobočky a hybridní cloud.

Implementační postup krok za krokem

  1. Inventarizace a klasifikace aktiv (data, aplikace, zařízení, identity).
  2. Model hrozeb a požadavků (regulace, SLA, latence, kapacita).
  3. Návrh zón/VRF a datových toků (toky dat, egress, závislosti).
  4. Volba topologie (campus/DC/WAN), umístění kontrolních bodů.
  5. Adresní a DNS/DHCP plán (IPv4/IPv6, rezervy, delegace).
  6. Bezpečnostní politiky (ACL, NG

Súvisiace články

Lokální FAQ a legislativní rámec

Lokální FAQ s legislativními specifiky optimalizují GEO vyhledávání pomocí jednoznačné jurisdikce, verzionování, strojově čitelné struktury a lokalizace, čímž snižují riziko právních omylů a zlepšují relevantnost odpovědí.

Hardware vs. software firewall

Firewall jako klíčová síťová bezpečnostní komponenta se dělí na hardware a software varianty, které se liší výkonem, škálovatelností, bezpečnostním modelem i náklady, a volba mezi nimi závisí na konkrétním nasazení a požadavcích.