Bezpečnostní politika správy sítě: pravidla a postupy ochrany

Ochrana sieťovej infraštruktúry

Táto bezpečnostná politika pre správu siete stanovuje záväzné pravidlá, definované roly a procesy na ochranu sieťovej infraštruktúry, dát a prevádzky organizácie. Jej primárnym cieľom je minimalizovať bezpečnostné riziká vyplývajúce z neoprávneného prístupu, chýb v konfiguráciách, zraniteľností, narušení dostupnosti služieb a nedostatkov v súlade s právnymi či regulačnými požiadavkami. Táto politika platí pre všetkých interných zamestnancov, externých dodávateľov aj dočasných pracovníkov, ktorí majú zodpovednosť za správu sieťových komponentov, prístupovej infraštruktúry a súvisiacich systémov, ako sú DNS, DHCP, IPAM, VPN, firewall, proxy, WAF, IDS/IPS, NAC, SIEM či PAM.

Rozsah politiky a základné definície

• Rozsah: Politika sa vzťahuje na dátové centrá, pobočky, cloudové VPC/VNET prostredia, OT/ICS segmenty, vzdialený prístup, Wi-Fi siete, sieťové služby ako routing, switching, load-balancing, bezpečnostné prvky, management Out-of-Band (OOB) a monitorovaciu infraštruktúru.
• Citlivé aktíva: Zahŕňajú konfiguračné súbory, šifrovacie kľúče, zálohy, manažérske rozhrania, dôverné údaje ako heslá, tokeny a certifikáty, logy a topologické mapy siete.
• Správa siete: Pokrýva všetky aktivity súvisiace s návrhom, prevádzkou, údržbou, zmenami a monitorovaním siete.

Zásady bezpečnosti a hlavné ciele

• Zero Trust a princíp minimálnych oprávnení: Výchozí predpoklad nedôvery v každú entitu, pričom sa prideľujú iba nevyhnutné, minimálne práva.
• Segregácia povinností: Jasné rozdelenie rolí medzi implementáciu, schvaľovanie a auditovanie bezpečnostných procesov.
• Zabezpečenie od základu (Secure by Default): Všetky výchozie konfigurácie musia byť bezpečné, nepoužívané služby a funkcie nevyhnutne zakázané.
• Auditovateľnosť: Všetky zásahy a operácie musia byť dôsledne logované, dohľadateľné a viazané na konkrétne identity.
• Odolnosť a kontinuita prevádzky: Sieťové architektúry by mali byť navrhnuté tak, aby zvládli zlyhania komponentov, kybernetické útoky aj ľudské chyby bez prerušenia služieb.

Role a zodpovednosti v správe siete (RACI model)

Klasifikácia dát a segmentácia siete

• Klasifikácia dát: Definovanie úrovní citlivosti: verejná, interná, dôverná a prísne dôverná, ktoré určujú pravidlá prístupu a používané šifrovacie mechanizmy.
• Segmentácia siete: Oddelenie používateľských, serverových, správcovských (OOB), výrobnych/OT, DMZ a cloudových segmentov s implementáciou L3/L4/L7 politík, mikrosegmentácie pomocou ACL, SGT, NSG a WAF.
• Privilegované zóny: Manažment prístupov a ukladanie tajomstiev sú zabezpečené cez bastion hosty alebo PAM riešenia s viacfaktorovou autentifikáciou (MFA) a schválením prístupu.

Riadenie prístupu a identít (AAA model)

• Autentifikácia: Povinné používanie viacfaktorovej autentifikácie (MFA) pri všetkých administrátorských prístupoch vrátane VPN, PAM a zariadení. Preferencia certifikátov a SSH kľúčov. Lokálne účty sa zakazujú, okrem výnimočných režimov „break-glass“.
• Autorizácia: Implementácia riadenia prístupu na základe rolí (RBAC) a modelu Just-In-Time (JIT) pre dočasné pridelenie práv, s povinnosťou schválenia každej eskalácie práv.
• Účetníctvo: Všetky administrátorské aktivity sa logujú do SIEM systémov s nemenným zabezpečením úložísk záznamov.
• Protokoly: Používanie TACACS+ alebo RADIUS pre autentifikáciu sieťových prvkov, SSO/OIDC/SAML pri prístupe ku konzolám, a SNMPv3 so zabezpečením authPriv so jedinečnými používateľmi.

Ochrana správcovských kanálov

• Šifrovanie komunikácie: Povolené iba bezpečné protokoly ako SSHv2 a TLS 1.2+, s použitím moderných kryptografických súprav; zakázané je používanie Telnetu a HTTP, povolené len HTTPS.
• Izolácia management rozhraní: Manažérske rozhrania musia byť umiestnené v vyhradených VLAN alebo VRF, prístup je možný iba z bastion hostov a monitorovaných skokových serverov.
• Inventarizácia: Kompletná evidenciu management rozhraní v CMDB/IMDB vrátane OS verzií, sériových čísel a aktuálneho stavu podpory.

Politika firewallov, IDS/IPS a proxy systémov

• Firewally: Princíp implicitného zamietnutia („implicit deny“). Pravidlá musia byť pomenované podľa schválenej konvencie, uvádzať životnosť, vlastníka a relevantný pokyn. Platnosť pravidiel je obmedzená a pravidelne podliehajú recertifikácii.
• IDS/IPS: Povinné umiestnenie na hraničných bodoch a v kritických vnútorných sieťových zónach. Aktualizácie signatúr sa vykonávajú denne, pričom výnimky sú riadne zdokumentované.
• Proxy a WAF: Všetka administratívna odchádzajúca prevádzka na internet prechádza cez schválenú proxy. Publikácia aplikačných služieb je realizovaná cez WAF s TLS offloadom a zabezpečením podľa OWASP Top 10 rizík.

Politika šifrovania a správa šifrovacích kľúčov

• Dáta v pokoji: Ukladanie konfigurácií, záloh, logov a dôverných informácií je povinne šifrované pomocou štandardu AES-256. Použitie bezpečnostných trezorov kľúčov, ako HSM alebo Vault, je nevyhnutné.
• Šifrovanie počas prenosu: Manažérske, autentifikačné a monitorovacie toky musia byť zabezpečené cez protokoly TLS, Syslog-TLS, gNMI-TLS či IPsec/DTLS pre VPN.
• Životný cyklus kľúčov: Certifikáty a kľúče sa rotujú podľa citlivosti (interval 90–365 dní), zakazuje sa opakované použitie a ich zdieľanie medzi entitami.

Správa zraniteľností a patch management

• Inventarizácia zraniteľností: Týždenné vyhľadávanie a skenovanie zraniteľností na sieťových zariadeniach a manažérskych serveroch. Kritické chyby s CVSS hodnotením ≥ 9.0 sa musia riešiť do 7 dní, vysoké chyby do 30 dní.
• Patchovanie: Realizované v mesačných oknách, so zapojením testovania v preprodukčnom prostredí a pripravenými rollback plánmi. „Out-of-band“ zmeny sú zakázané bez prideleného incidentného čísla.
• Hardening zariadení: Dodržiavanie bezpečnostných baseline podľa štandardov CIS a NIST, pravidelné kontroly odchýlok konfigurácií a ich náprava.

Proces zmenového riadenia (Change Management)

1. Žiadosť o zmenu (RFC): Musí obsahovať účel zmeny, analýzu rizík, testovanie, plán implementácie aj návratu, vplyv na služby a schválenie vlastníka aplikácie.
2. Typy zmien: Štandardné (vopred schválené), normálne (schvaľované CAB), urgentné (schvaľované IRT s následnou post-review analýzou).
3. Evidence: Každá zmena musí byť evidovaná v systéme s jedinečným číslom, časovým záznamom a väzbou na konfigurácie v CMDB.

Konfiguračný manažment a zálohovanie

• Automatizácia: Všetky zmeny majú byť vykonávané prostredníctvom Infrastructure-as-Code nástrojov (napr. Git, CI/CD pipelines) so schválenými pull requestami. Manuálne zásahy sú prípustné len výnimočne a musia byť následne synchronizované do repozitára Git.
• Zálohy: Denné šifrované zálohy konfiguračných súborov sa ukladajú mimo primárnej prevádzkovej lokality, pričom sa minimálne štvrťročne testuje obnova.
• Zlatý štandard (golden image): Používajú sa štandardizované verzie operačných systémov a balíčkov; odchýlky musia byť zdokumentované a znovu certifikované.

Monitoring, logovanie a metriky výkonnosti

• Telemetria: Zbieranie dát cez SNMPv3, streaming telemetry (gNMI) a NetFlow/IPFIX do centralizovaných monitorovacích systémov a SIEM riešení.
• Upozornenia a alarmy: Nastavenie prahov pre automatické upozornenia pri abnormalitách v správe siete a bezpečnostných incidentoch s prioritizáciou podľa závažnosti.
• Analýza logov: Pravidelná korelácia udalostí pomocou SIEM nástrojov, vrátane analýzy anomálií a forenzných vyhodnotení v prípade incidentov.
• Výkonové metriky: Monitorovanie kapacitných a latenčných parametrov sieťových zariadení pre včasnú detekciu možných problémov a optimalizáciu zdrojov.

Implementácia uvedených pravidiel a postupov zabezpečí vysokú úroveň ochrany správy siete, minimalizuje riziká zneužitia a umožní rýchlu reakciu na potenciálne bezpečnostné incidenty. Dôležité je pravidelné prehodnocovanie a aktualizácia bezpečnostnej politiky, aby vždy reflektovala aktuálne hrozby a technologické trendy.

Bezpečnostná kultúra v organizácii, podpora vedenia a školenia pre používateľov sú nevyhnutnou súčasťou úspešnej ochrany siete a jej správy.