Co je síťová bezpečnost: cíl, rozsah a principy
Síťová bezpečnost zahrnuje soubor technik, politik a procesů, které chrání přenos dat, koncové body, síťové prvky i samotnou dostupnost služeb. Opírá se o triádu CIA (důvěrnost, integrita, dostupnost) a o moderní principy Zero Trust (nedůvěřuj, ověřuj), least privilege (minimální oprávnění) a defense in depth (vrstvená obrana). Cílem je snížit pravděpodobnost úspěšného útoku, omezit jeho dopad a urychlit detekci i zotavení.
Hrozby a útokové scénáře napříč OSI vrstvami
- L2 (linková vrstva): ARP spoofing/poisoning, MAC flooding, STP útoky, VLAN hopping.
- L3 (síťová vrstva): IP spoofing, route injection, BGP hijacking, ICMP tunneling.
- L4 (transportní): SYN flood, UDP flood, port scanning, session hijacking.
- L5–L7 (aplikační): DNS cache poisoning, HTTP(S) útoky (SQLi, XSS, SSRF), zneužití API, credential stuffing, botnety.
- Bezpečnostní obcházení: šifrovaný C2 provoz, DNS-over-HTTPS tunely, living-off-the-land.
- Lidský faktor: phishing, spear-phishing, vishing, sociální inženýrství, nesprávná konfigurace.
Architektura a segmentace: jak navrhnout odolnou síť
- Segmentace a zónování: oddělení podle rizika (uživatelé, servery, OT/IoT, třetí strany), DMZ pro publikované služby, přísné L3/L7 politiky mezi segmenty.
- Microsegmentation: jemnozrnné politiky na úrovni pracovních zátěží (např. přes SDN/overlay nebo host-based firewally) s principem „deny by default“.
- Bezpečné hranice: NGFW s application awareness, IPS, WAF pro web/API, anti-DDoS scrubbing, egress řízení a explicitní povolování pouze nezbytných destinací.
- Privátní přístupy: ZTNA/SSE/SD-WAN pro přístup uživatelů i aplikací bez nutnosti plošných VPN, řízených identitou a kontextem.
Kontroly a opatření po vrstvách
| Vrstva | Rizika | Kontroly |
|---|---|---|
| L2 | ARP spoofing, VLAN hopping | 802.1X, MAB, DHCP snooping, Dynamic ARP Inspection, PVLAN, BPDU guard, storm control |
| L3 | IP spoofing, route hijack | uRPF, ACL s deny all, segmentace, BGP prefix-filtering, TTL security |
| L4 | DDoS útoky, skenování portů | Stateful FW, rate limiting, syn-cookies, geo/IP reputace, throttling |
| L7 | SQLi, XSS, SSRF, botnety | WAF, API gateway, vynucování schémat/smluv, bot management, DLP |
| Horizontální | Exfiltrace, C2 | DNS firewally, TLS dešifrování (dle politik), egress allow-list, NDR/IDS |
Identita, přístup a Zero Trust
- IAM a federace: centrální identita (IdP), SSO, MFA, passwordless, adaptivní politika dle kontextu (lokace, stav zařízení, rizikové signály).
- Autorizace: role-based (RBAC) a attribute-based (ABAC) s granulárními pravidly; just-in-time zvýšení privilegií a časově omezené přístupy.
- Zero Trust Network Access (ZTNA): aplikační proxy s ověřením identity před navázáním relace, segmentovaný přístup místo plošných síťových tunelů.
Kryptografie a bezpečný přenos
- TLS 1.2+/1.3: povolte moderní šifrovací sady, HSTS, OCSP stapling, certificate pinning dle rizika; rotace a životní cyklus certifikátů.
- IPsec a MACsec: šifrování site-to-site, vzdálený přístup a na linkové vrstvě (L2); klíčování přes IKEv2, bezpečná správa bezpečnostních asociací.
- DNSSEC a DoT/DoH: integrita DNS záznamů a šifrované dotazy s řízením politik (split-horizon, blokace škodlivých domén).
Wi-Fi a přístupová vrstva
- WPA3-Enterprise + 802.1X (EAP-TLS): ověřování pomocí certifikátů, VLAN na uživatele/zařízení, dynamické ACL.
- Ochrana řídicích rámců (802.11w): ochrana před deauth/disassoc útoky, izolace klientů, band-steering a minimální síla signálu (RSSI) pro kvalitu připojení.
- Guest a BYOD: captive portál s krátkodobými přístupy, oddělená SSID, segmentace a politiky jen pro přístup na internet.
DNS, DHCP a jádrové služby pod kontrolou
- DHCP snooping a IP source guard: prevence rogue DHCP serverů a IP spoofingu, vázanost IP na MAC adresu.
- Privátní resolvery s filtrováním: blokace C2 serverů a typosquattingu; logování dotazů pro forenzní analýzu.
- NTP a časová synchronizace: podepsané zdroje času pro korektní korelaci logů a validaci TLS certifikátů.
Detekce, monitoring a reakce (SOC, SIEM, NDR)
- Telemetrie: flow záznamy (NetFlow/IPFIX), syslog, SNMP/telemetrie, aplikační logy, EDR/XDR a NDR senzory.
- SIEM a korelace: normalizace, korelační pravidla, detekce anomálií, mapování na MITRE ATT&CK; retenční politiky a ochrana logů proti manipulaci.
- SOAR a playbooky: automatizované containment (blokace domény, karanténa zařízení, odebrání tokenu), eskalace a post-incidentní lessons learned.
Bezpečnost v cloudu, SD-WAN, SASE/SSE
- Cloudová síť: VPC/VNet segmentace, privátní endpointy, security groups a L7 politiky; řízení egressu a CASB pro SaaS aplikace.
- SD-WAN: identitní směrování provozu podle aplikací a rizika, integrované FW/IPS, optimalizace latence k SaaS/IaaS.
- SASE/SSE: konsolidace ZTNA, SWG, CASB, DLP a FWaaS do jednotné politiky s inspekcí TLS a řízením identity.
Kontejnery, Kubernetes a service mesh
- Network Policies: default-deny mezi pod(y), explicitní povolení odchozího/příchozího provozu; izolace jmenných prostorů.
- Service mesh mTLS: šifrování pod-to-pod, identity workloadů, L7 autorizace a intent-based politiky.
- Registr tajemství a dodavatelský řetězec: rotace tajemství, podpis obrazů (Sigstore), skenování zranitelností a policy as code.
IoT/OT: specifika průmyslu a „non-IT“ zařízení
- Inventarizace a profilace: pasivní NDR pro identifikaci zařízení a protokolů (Modbus, DNP3, BACnet).
- Oddělení domén: přísná segmentace OT od IT, jednosměrné brány (data diode) u kritické infrastruktury.
- Bezpečné aktualizace: řízení patchování vs. dostupnost, kompenzační kontroly (IPS, whitelisting).
E-mail a doménová reputace
- SPF, DKIM, DMARC: ochrana proti spoofingu a phishingu, politiky
p=quarantine/rejects monitorováním. - Bezpečnostní brány: sandboxing příloh, URL rewriting, detekce BEC a uživatelské reportování.
Governance, riziko a shoda
- Politiky a standardy: síťové baseline, secure configuration guides, životní cyklus změn (CAB), policy as code.
- Posouzení rizik: katalog aktiv, hrozeb a kontrol; kvantifikace dopadů (např. FAIR) a mapování na SLO.
- Compliance a audit: logická separace, nezměnitelné logy, role-based přístupy k administraci a nezávislé kontroly.
Provozní excelence: dostupnost, výkon a kapacita
- SLA/SLO/SLI: definujte měřitelné cíle latence, propustnosti a dostupnosti bezpečnostních bran a sond.
- Testování a cvičení: red/purple teaming, attack simulation, tabletop cvičení incident response, pravidelný failover.
- Kapacitní plánování: sizing inspekce TLS, WAF a IPS, aby obrana nebyla „úzkým hrdlem“.
Ekonomika bezpečnosti: náklady vs. riziko
Efektivní program vyvažuje investice do prevence, detekce a reakce. Využijte risk-based prioritizaci, threat-informed defense (ATT&CK), měření mean time to detect/respond a průběžnou optimalizaci licencí a provozu (konsolidace funkcí, SASE, automatizace).
Nejčastější chyby a antipatterny
- Plošné povolení egressu bez dohledu a DLP.
- Chybějící segmentace a „flat“ sítě, kde jeden kompromitovaný stroj ohrozí celou organizaci.
- Nedostatečná správa certifikátů a slabé TLS profily.
- Slepá důvěra VPN bez kontextu zařízení a uživatele.
- Logy bez korelace, krátká retence a absence playbooků.
Praktický check-list síťové bezpečnosti
- Má síť default-deny na hraně i mezi segmenty a definované allow-listy?
- Je nasazené 802.1X, DHCP snooping a ARP inspection na přístupové vrstvě?
- Řídíte egress (DNS, HTTP(S), NTP) a máte dohled nad anomáliemi?
- Je Wi-Fi v režimu WPA3-Enterprise s EAP-TLS a MFP?
- Běží centralizované SIEM/NDR s MITRE mapováním a automatizovanou reakcí?
- Máte ZTNA pro externí i interní aplikace a odsunujete plošné VPN?
- Jsou definované a testované playbooky pro DDoS, malware breakout, exfiltraci a kompromitaci účtu?
Závěr
Moderní síťová bezpečnost je neustálý proces, nikoli jednorázový projekt. Úspěch závisí na správné architektuře (segmentace, Zero Trust), kvalitních kontrolách napříč vrstvami, průběžné detekci a rychlé reakci. V kombinaci s disciplinovaným provozem, správou identit a kryptografií vytváří odolnou infrastrukturu, která podporuje byznysové cíle i v prostředí rostoucích hrozeb.
