Motto: „Síťová bezpečnost je složitý předmět, jímž se historicky zaobírají pouze dobře vzdělaní a zkušení odborníci.“ Matt Curtin, Introduction to Network Security, březen 1997, http://www.interhack.net/pubs/network-security/ 

Vzpomínám si, jak jsem se na počátku devadesátých let společně s několika dalšími kolegy v rámci projektu počítačové sítě pro jednu velkou nemocnici zúčastnil diskuse o bezpečnosti počítačových sítí ve zdravotnictví. Většina otázek se paradoxně už tehdy netočila kolem funkčních vlastností či schopností sítě, nýbrž kolem její bezpečnosti. Přesněji řečeno kolem bezpečnosti dat, která by v ní kolovala nebo byla uložena. Z projektu nakonec sešlo i přes naše ujišťování, že uplatit sestřičku v registratuře, aby okopírovala zdravotní kartu, by vyšlo mnohem levněji než odchytávat analyzátorem data v síti někde uvnitř nemocničního areálu. Nevěřili nám nebo věřit nechtěli. 

Od té doby uplynulo už více než dvacet let. Množství dat soustředěných v globálně propojených sítích astronomicky narostlo, způsoby přístupu k nim a možnosti jejich využití se výrazně změnily a z určitého pohledu zásadně zjednodušily. Ochrana informací se tak stala nejenom životně důležitou povinností každého provozovatele informačního systému, ale je v nejrůznějších podobách vyžadována i legislativou. Zhruba od roku 2006 jsou principy síťové bezpečnosti rovněž shrnuty v standardu ISO/IEC 18028, jehož cílem bylo poskytnout rozbor a návod v oblasti bezpečnosti sítí zaměřený na jejich řízení, provoz, správu, používání a propojování. V současné době je síťová bezpečnost integrální součástí standardu ISO/IEC 27000, systém managementu a bezpečnosti informací (ISMS), jako norma ISO/IEC 27033. Je rozdělena do několika částí, z nichž, nemýlím-li se, jsou v současné době publikovány dvě: 27033-1:2009 (Cesty, principy a koncept) a 27033-3:2010, (Referenční síťové scénáře – hrozby, techniky návrhu a kontrolní mechanismy). Zatím zbývajících asi šest částí normy se připravuje nebo se pracuje na jejich návrhu. Po dopracování se předpokládá jejich postupné publikování.

Pojem bezpečnost sítě nebo síťová bezpečnost, chcete-li, je nicméně jako všechna zvučná a tudíž marketinkem uchopená hesla pro většinu smrtelníků poněkud mlhavým, neurčitým a nezřídka i podle potřeb a portfolia dodavatelů rozmanitých produktů a řešení značně přiohnutým pojmem. Pro různé uživatele sítě navíc síťová bezpečnost může mít diametrálně odlišný význam. Vedení firmy ji vnímá především jako nástroj ochrany intelektuálního vlastnictví a citlivých podnikových informací, zatímco pro systémového inženýra spočívá bezpečnost sítě spíše v ochraně informačního systému před vpádem „zlých hochů“, kteří by zde mohli páchat v lepším případě nějakou neplechu. Obecně dnešní síťová bezpečnost zahrnuje tři základní oblasti:

• zajištění důvěrnosti, tj. zamezení přístupu k citlivým informacím ze strany nepovolaných osob,
• zabezpečení dostupnosti, která někdy bývá označována jako „kontinuita“ a jejíž úlohou je postarat se, aby působením neoprávněných osob nedošlo k narušení či výpadku činnosti sítě nebo jejích částí, a
• zachování integrity spočívající v zabezpečení dat proti neoprávněné manipulaci, ať již záměrné nebo náhodné.

Do každé sítě, k citlivým datům či podnikovým aplikacím, vedou vždy dvě cesty: zvenku a zevnitř, tedy z vnějšího světa a od jejích uživatelů.

Ačkoli obecné bezpečnostní tendence spočívají obvykle spíše v obraně proti vnějšímu narušiteli, neřku-li nepříteli, je třeba mít neustále na paměti, že většinu škod, ať už záměrně nebo neúmyslně, napáchají uživatelé. Obě cesty je proto nezbytné spolehlivě a důkladně zajistit. Základní strukturu zabezpečení znázorňuje vrstvový bezpečnostní model (vypůjčený z http://www.brighthub.com/computing/enterprise-security/articles/65221.aspx). Nejvyšší úroveň představují tzv. bezpečnostní politiky, soustava principů a pravidel, jimiž se řídí celková bezpečnost sítě. Jejich správná a úplná definice, bezchybná implementace, a především důsledné dodržování jsou základním předpokladem úspěšného zabezpečení sítě.  Ochrana perimetru představuje první bezpečnostní vrstvu mezi okolním světem a sítí. Chrání ji před neoprávněným průnikem zvenčí a sleduje případné abnormální chování na hranici sítě a okolního světa.

Nejčastěji se ochrana perimetru realizuje prostřednictvím firewallu a systému ochrany proti průniku (Intrusion Prevention System, IPS). Úlohou segmentace je minimalizovat možnost všeobecného přístupu k citlivým datům nebo aplikacím. Obvykle spočívá ve vytvoření virtuálních lokáních sítí, VLAN, přičemž přístup do každé z nich je povolen pouze oprávněným subjektům. Čím tvrdší, ale také dražší, jsou pravidla přístupu k jednotlivým segmentům, tím jsou citlivá data lépe chráněna. Každé zařízení připojené k síti musí být samo o sobě zabezpečeno, aby se, v tom nejjednodušším případě, nemohlo stát otevřenou vstupní branou pro potenciálního útočníka. Ochrana hostitelských systémů spočívá nejenom v instalaci lokálních antivirových a antimalwarových systémů na každé zařízení, ale také v použití bezpečného a zejména z hlediska bezpečnosti aktualizovaného operačního systému, jeho komponent i aplikací. Řízení přístupu nespočívá pouze v autentizaci uživatele pomocí identifikátoru a hesla, ale zahrnuje také řízení přístupu k jednotlivým segmentům sítě a nezbytná omezení přístupu uživatelů ke kritickým součástem infrastruktury. Neodmyslitelnou a velmi důležitou součástí je bezpečná konfigurace všech zařízení připojených k síti.  Mimo jiné zahrnuje například zákaz používání všech síťových portů i systémových služeb, které nejsou pro vykonávání činností uživatele nezbytné, správnou a bezpečnou konfiguraci síťových prvků, včasnou aktualizaci jejich systémového software včetně dodržování pokynů a pravidel předepsaných výrobci zařízení.

Jen málokdy se však v životě stává, že vše funguje a pracuje tak, jak bylo navrženo, naplánováno nebo snad dokonce konfigurováno. Kdyby tomu tak bylo, neexistovaly by nejspíš ani Murphyho zákony. Šedá je teorie a zelený strom života, praví klasické pořekadlo techniků, a člověk by nikdy neměl předpokládat, že systém, který nastavil, se chová tak, jak zamýšlel.  Důležitou součástí bezpečnosti sítě jsou proto její monitorování, správně navržená soustava výstrah a vhodně zvolený systém hlášení, která mají nejenom dostatečnou vypovídací hodnotu, ale také mohou být následně automaticky i ručně analyzována. Umožní odhalit nejenom nedostatky v nastavení systému, ale i nové hrozby, které nebylo možné předpokládat nebo vzít do úvahy.

Bezpečnost sítě není nějaká černá skříňka, která se připojí mezi síť a svět, zapne a nastaví, nýbrž soustava vzájemně provázaných zařízení, programového vybavení, pravidel a činností, která, jsou-li správně realizována, provozována a prováděna, minimalizují riziko vzniku problémů, které může porušení síťové bezpečnosti přinést.

Autorem odborného článku k hlavnímu tématu je Dag Jeger, externí redaktor.