V dnešní digitální době je síťová infrastruktura podobná velkému městu. Jsou zde silnice, budovy, obyvatelé – a také zloději, kteří hledají snadný přístup k cennostem. Stejně jako ve městě pomáhají kontrolní body, ploty nebo bezpečnostní brány zabránit tomu, aby se někdo nežádoucí dostal tam, kam nemá, v počítačových sítích tuto funkci plní network segmentation, tedy síťová segmentace.
Základní myšlenka network segmentation je jednoduchá: místo jedné rozsáhlé sítě, kde mají všechna zařízení přístup ke všemu, rozdělíme infrastrukturu na menší části – tzv. segmenty – a mezi nimi nastavíme pravidla a kontroly. Každý segment tak může mít jinou úroveň důvěry, jiná bezpečnostní opatření a jiný účel.
Proč to má smysl?
Představte si nemocnici. Lékařské přístroje, počítače s pacientskými záznamy, systémy pro správu budovy, a dokonce i veřejná Wi-Fi – to vše bývá často připojeno do stejné fyzické sítě. Pokud se útočník dostane přes zranitelné zařízení na veřejné Wi-Fi, může se v takovém případě relativně snadno pohybovat i ke kritickým systémům. Síťová segmentace tomu zabraňuje. Veřejná Wi-Fi je v jednom segmentu, citlivé záznamy v jiném, přístroje v dalším – a mezi nimi jsou digitální zdi.
To je přesně důvod, proč se segmentace stala klíčovým prvkem kybernetické bezpečnosti. Už dávno neplatí, že největší riziko pochází zvenčí. Mnoho útoků (např. ransomware) se šíří uvnitř organizace – od jednoho infikovaného zařízení ke všem ostatním. A pokud jsou všechna zařízení ve stejné síti bez omezení, útočník má vyhráno.
Historické lekce
Jeden z nejslavnějších případů, který ukázal důležitost segmentace, byl útok na řetězec obchodů Target v roce 2013. Útočníci se do sítě dostali přes externího dodavatele, který měl přístup k systému HVAC (vytápění, ventilace a klimatizace). Odtud se malware šířil dál až k systémům pro zpracování plateb – protože ty byly ve stejné síti. Výsledkem byla krádež údajů o 40 milionech platebních karet.
Mnoho firem si po tomto incidentu uvědomilo, že nestačí mít jen firewall na perimetru (okraji) sítě. Je potřeba vnést ochranu i dovnitř, jako kdybyste si v domě neinstalovali alarm jen na vchodové dveře, ale i na jednotlivé pokoje.
Jak to funguje?
Segmentace může být fyzická (oddělená zařízení, kabely, přepínače) nebo logická (například pomocí VLAN – virtuálních LAN sítí). Moderní přístup využívá i tzv. mikrosegmentaci, kde je možné segmentovat síť až na úroveň jednotlivých aplikací nebo virtuálních serverů v cloudu. To se hodí hlavně v prostředí, kde jsou servery dynamické a často se mění.
V každém případě jde o to, aby každá část sítě měla přístup jen k tomu, co opravdu potřebuje. Například tiskárna nemusí komunikovat s databází zákazníků. Nebo účetní oddělení nemá důvod přistupovat ke kamerovým záznamům bezpečnostního systému. Tyto vztahy se definují pomocí pravidel a politik.
Výzvy a omyly
Implementace segmentace ale není jednoduchá. Vyžaduje znalost sítě, pochopení toho, jaké systémy spolu komunikují, a co je opravdu potřeba. Často se stává, že organizace chtějí zavést segmentaci, ale narazí na problém: neví, které aplikace potřebují které porty, a co by přestalo fungovat. To může vést k „přesegmentaci“, kdy něco důležitého přestane fungovat, nebo naopak k příliš volné konfiguraci, která útoky nijak nebrání.
Také je třeba počítat s tím, že segmentace není jednorázový projekt. Sítě se mění, přibývají nové systémy a zařízení – a všechno je třeba pravidelně přehodnocovat.
Segmentace v éře cloudu
V cloudových prostředích je síťová segmentace ještě důležitější. Tradiční hranice sítě se rozplývají – aplikace běží v kontejnerech, serverech bez operačního systému, na různých místech světa. Tady už fyzická segmentace nestačí. Cloud poskytovatelé proto nabízejí tzv. security groups, network access control lists (ACLs) nebo software-defined networking, které umožňují stejný princip – jen v prostředí bez kabelů.
Závěr
Síťová segmentace není nic nového – podobné principy známe i z fyzického světa. Ale v digitální bezpečnosti jde o jednu z nejúčinnějších zbraní proti šíření útoků a omezení jejich dopadu. Bez segmentace je každé zařízení součástí jedné velké zranitelné sítě. Se segmentací získáváme kontrolu, přehled a hlavně ochranu – nejen před vnějšími útoky, ale i před tím, co se může pokazit uvnitř.
Zejména v době, kdy se útoky stávají cílenějšími a sofistikovanějšími, je segmentace základní strategií, která může rozhodnout mezi drobným incidentem a katastrofou.
