23. diel - Sieťová segmentácia ako základ bezpečnej infraštruktúry Nové

V predchádzajúcej lekcii Šifrovanie lekciu sme si vysvetlili, čo je šifrovanie a prečo patrí medzi najdôležitejšie nástroje ochrany dát v kybernetickej bezpečnosti. Ukázali sme si rozdiel medzi symetrickým a asymetrickým šifrovaním, vrátane ich výhod, nevýhod a praktických príkladov použitia. HTTPS.

V tomto tutoriále kyberbezpečnosti preberieme tému sieťovej segmentácie. Povieme si, prečo je nutné sieť segmentovať, a ukážeme si rôzne typy segmentácie. Správne navrhnuté oddelenie častí siete dokáže zabrániť šíreniu útoku, zjednodušuje správu prístupov a prispieva k vyššej odolnosti celej infraštruktúry.

Sieťová segmentácia

Sieťová segmentácia je technika, pri ktorej sa počítačová sieť rozdeľuje do menších, vzájomne izolovaných častí (segmentov). Každý segment má obmedzený prístup k ostatným častiam siete podľa presne definovaných pravidiel. Cieľom segmentácie je minimalizovať dopad bezpečnostného incidentu a zabrániť tomu, aby sa útočník po prieniku mohol voľne pohybovať v rámci siete.

Predtým bola segmentácia považovaná za technológiu určenú hlavne pre veľké podnikové siete. Dnes sa však stáva bežnou súčasťou aj menších firiem, domácich sietí alebo cloudových prostredí. Okrem zvýšenia bezpečnosti prináša aj lepší výkon, jednoduchšiu správu a väčšiu prehľadnosť nad komunikáciou medzi zariadeniami.

Na obrázku nižšie vidíme domácu sieť, kde sú všetky zariadenia od počítačov a telefónov po šikovný zámok, kamery a žiarovky pripojené do jednej spoločnej siete. Bez segmentácie to znamená, že ak by útočník napadol napríklad múdru žiarovku alebo kameru (ktoré často majú slabšie zabezpečenie), mohol by sa dostať aj k citlivejším zariadeniam, ako je notebook alebo pracovný počítač:

Význam sieťovej segmentácie

Segmentácia nie je len technické opatrenie. Je to zásadná stratégia pre zvýšenie bezpečnosti, kontroly a odolnosti celej IT infraštruktúry. Rozdelením siete na menšie, logicky alebo fyzicky oddelené časti možno výrazne znížiť riziko útokov, obmedziť ich dopad a lepšie splniť požiadavky moderných bezpečnostných štandardov:

Pozrime sa na kľúčové dôvody, prečo by segmentácia mala byť súčasťou každej bezpečnostnej politiky.

Obmedzenie vplyvu útokov

Segmentácia siete zabraňuje tomu, aby sa útočník po prvom prieniku mohol voľne pohybovať naprieč celou organizáciou. Ak napríklad získa prístup k jednej pracovnej stanici, segmentácia mu zamedzí komunikáciu s inými časťami siete, ako sú servery, databázy alebo iné oddelenia. Vďaka tomu je výrazne znížené riziko šírenia ransomwaru, odcudzenia dát alebo získania vyššej úrovne prístupu k citlivým systémom.

Segmentácia funguje ako digitálna požiarna prepážka – incident zostane uzavretý v napadnutej časti a nemôže ovplyvniť zvyšok systému.

Ochrana kritických systémov

Nie všetky systémy majú rovnakú dôležitosť alebo úroveň citlivosti. Napríklad riadiace systémy výrobných liniek, dátové sklady s osobnými údajmi či servery s účtovnými dátami predstavujú vysokú hodnotu a musia byť chránené prísnejšie ako bežné kancelárske stanice. Vďaka segmentácii je možné tieto systémy úplne izolovať od bežnej prevádzky, čo zabraňuje náhodnému aj zámernému narušeniu.

Lepší prehľad a kontrola

V dobre segmentovanej sieti je možné presnejšie sledovať, odkiaľ kam dáta prúdia a kto s kým komunikuje. To zjednodušuje troubleshooting (systematické hľadanie a odstraňovanie chýb), umožňuje lepší audit a zrýchľuje reakciu na incidenty. Správca napríklad vidí, že pracovná stanica účtovníka sa snaží komunikovať so serverom HR, čo je neštandardné, a môže signalizovať bezpečnostný problém. Namiesto jednej "čiernej skrinky" tak správca vidí sieť ako prehľadnú mapu, kde je možné rýchlo identifikovať podozrivé aktivity.

Splnenie legislatívnych a bezpečnostných požiadaviek

Legislatíva aj bezpečnostné normy (napríklad GDPR, ISO 27001 alebo NIS2) vyžadujú, aby prístup k dátam bol obmedzený a auditovateľný. Segmentácia umožňuje presne určiť, kto má prístup ku ktorým systémom a dátam, čo výrazne uľahčuje plnenie právnych a certifikačných požiadaviek. Pri audite možno preukázať, že napríklad zákaznícke databázy sú prístupné iba obmedzenej skupine osôb a nie sú dostupné z iných častí siete.

Podpora princípu zero trust

Zero trust (nulová dôvera) vychádza z predpokladu, že žiadne zariadenie ani užívateľ nie je implicitne dôveryhodný, ani vo vnútri siete. Segmentácia je základnou súčasťou tejto filozofie. Každý prístup je kontrolovaný, každé spojenie je overované a nič nie je povolené bez oprávnenia. Vďaka segmentácii je možné nastaviť bezpečnostné pravidlá, ktoré zabránia tomu, aby sa bežný kancelársky počítač dostal priamo k cloudovej databáze bez overenia prístupu.

Typy segmentácie

Existuje niekoľko spôsobov, ako segmentáciu realizovať. Líšia sa v náročnosti, flexibilite aj úrovni zabezpečenia. Nižšie si predstavíme najčastejšie používané prístupy.

Fyzická segmentácia

Pri fyzickej segmentácii je každá časť siete skutočne oddelená od ostatných. Každý segment má vlastnú kabeláž, prepínače a routery a nie je nijako prepojený s ostatnými časťami. Takto navrhnutá sieť poskytuje najvyššiu úroveň izolácie, pretože prípadný problém v jednej časti sa nemôže rozšíriť ďalej.

Tento spôsob sa používa tam, kde je bezpečnosť úplne kľúčová – napríklad v jadrových elektrárňach, priemyselných riadiacich systémoch (ICS, SCADA) alebo v štátnych a vojenských sieťach:

Medzi výhody takéhoto riešenia patria:

• Maximálna izolácia a bezpečnosť.
• Odolnosť proti šíreniu útokov.
• Jednoduchá kontrola fyzického prístupu.

Uveďme si aj niekoľko nevýhod:

• Vysoké obstarávacie aj prevádzkové náklady.
• Malá flexibilita – každá zmena vyžaduje zásah do kabeláže.
• Náročná správa pri rozširovaní siete.

Logická segmentácia – VLAN (Virtual LAN)

Pri logickej segmentácii sa sieť rozdeľuje na menšie časti pomocou nastavenia prepínačov a smerovačov, nie fyzickým oddelením kabeláže. Najčastejšie sa využíva technológia VLAN (Virtual LAN), ktorá umožňuje vytvoriť viac samostatných virtuálnych sietí v rámci jedného fyzického zariadenia. Každá VLAN tvorí vlastný segment, v ktorom môžu zariadenia spolu komunikovať, ale s ostatnými sieťami iba vtedy, ak to výslovne dovolí router alebo firewall.

Tento spôsob je veľmi flexibilný a umožňuje sieť rýchlo meniť bez nutnosti fyzických zásahov. Hodí sa napríklad na rozdelenie infraštruktúry podľa oddelenia – samostatná VLAN môže byť určená pre kancelárske počítače, účtovný systém, vývojárske prostredie alebo hostí:

Výhody:

• Nízke náklady, využíva existujúci hardvér.
• Vysoká flexibilita – zmeny je možné vykonať v konfigurácii zariadenia, bez prepojovania káblov.
• Jednoduchá správa a rozširovanie.

Nevýhody:

• Menšia úroveň izolácie ako pri fyzickej segmentácii.
• Riziko chybnej konfigurácie, ktorá môže oslabiť zabezpečenie.

Logická segmentácia je najbežnejšia forma oddelenia sietí v moderných organizáciách. Ponúka rovnováhu medzi bezpečnosťou, nákladmi a flexibilitou správy.

Subnetting – rozdelenie pomocou IP rozsahov

Subnetting znamená rozdelenie jednej veľkej siete na menšie časti – podsiete. Každá podsieť má vlastný rozsah IP adries a funguje ako samostatný segment. Tento prístup zlepšuje prehľadnosť, znižuje zaťaženie siete a umožňuje lepšie riadiť, ktoré zariadenia spolu môžu komunikovať.

Subnetting sa často kombinuje s VLAN, aby bolo možné ešte presnejšie vymedziť prístupové pravidlá medzi jednotlivými časťami infraštruktúry. Správne navrhnuté podsiete pomáhajú obmedziť zbytočnú prevádzku a zvyšujú efektivitu prenosov dát v celej sieti:

Výhody:

• Lepší výkon vďaka menším broadcast doménam.
• Prehľadnejšia štruktúra siete a jednoduchšia správa.
• Možnosť riadiť prístup podľa IP adries.

Nevýhody:

• Vyžaduje znalosť sieťového plánovania a maskovania adries.
• Zložitejšia konfigurácia pri väčšom počte podsietí.

Segmentácia pomocou firewallov

Segmentácia pomocou firewallov rozdeľuje sieť na časti podľa komunikačných pravidiel, ktoré určujú, ktoré systémy spolu smú komunikovať a akým spôsobom. Firewall tak nefunguje len ako bariéra medzi sieťou a internetom, ale aj ako vnútorný prvok riadenia prístupu medzi jednotlivými segmentmi.

Pomocou pravidiel je možné povoliť alebo zakázať prenos dát podľa IP adries, portov či typov služieb. Napríklad sieť vývojárov môže mať povolený prístup do siete s produkčnými dátami len pre databázu a iba jedným smerom. Vďaka tomu je sieť bezpečnejšia, povoľuje sa len to, čo je naozaj potrebné, a všetko ostatné sa blokuje:

Výhody:

• Vysoká úroveň bezpečnosti.
• Možnosť detailne definovať povolenú prevádzku.
• Prehľad o sieťovej aktivite vďaka logovaniu a monitoringu.

Nevýhody:

• Vyššie nároky na správu a technické znalosti.
• Chybné nastavenie môže zablokovať legitímnu prevádzku.

Mikrosegmentácia

Mikrosegmentácia rozdeľuje sieť na malé časti, napríklad až na úroveň jednotlivých serverov alebo aplikácií. Každá z týchto častí má svoje vlastné pravidlá, kto s kým môže komunikovať. Používa sa hlavne v cloudových prostrediach a dátových centrách a riadi ju špeciálny softvér.

Výhodou je vysoká bezpečnosť – aj keď sú dve zariadenia v rovnakej sieti, nemôžu si posielať dáta, pokiaľ to nie je povolené. Tento prístup vychádza z princípu zero trust, teda nikomu never, pokiaľ to nie je overené:

Výhody:

• Najvyššia úroveň kontroly a bezpečnosti.
• Obmedzenie pohybu útočníka aj po prieniku do siete.
• Možnosť sledovať a logovať každý prenos dát.

Nevýhody:

• Vyššia náročnosť na správu a konfiguráciu.
• Vyžaduje pokročilý softvér a znalosti správcov.

Každý typ segmentácie ponúka inú mieru izolácie, flexibility aj nákladov, preto je ideálne zvoliť takú kombináciu, ktorá najlepšie zodpovedá potrebám konkrétnej siete. Správne navrhnutá segmentácia vytvára pevné základy bezpečnej infraštruktúry, ktorá zostáva prehľadná, stabilná a odolná voči útokom.

V nasledujúcej lekcii, Návrh a implementácia sieťovej segmentácie v praxi , sa naučíme, ako navrhnúť a nastaviť segmentáciu siete v praxi – od analýzy dátových tokov až po riadenie prístupu medzi segmentmi.