V mikrosegmentaci už nestačí popisovat komunikaci tradiční kombinací adresa–protokol–port.
Přestože v posledních letech stále roste počet i sofistikovanost kybernetických útoků, většina z nich je oportunistická a nezačíná jako cílená akce proti konkrétní firmě. Jde o automatizované pokusy mířící plošně na více firem a organizací.
Podle zprávy Microsoft Digital Defense Report 2024 je 90 % organizací vystaveno alespoň jedné tzv. útočné cestě: sledu kroků a vztahů, kterým se útočník může dostat od vstupu k vysoce citlivému cíli. U 80 % z těchto organizací vedou útočné cesty skutečně až ke kritickým aktivům. Navíc 40 % útočných cest zahrnuje laterální pohyb na základě neinteraktivního vzdáleného spuštění kódu, tzn. že útočník se po prvním průniku může automatizovaně pohybovat napříč sítí z jednoho systému na další, aby se dostal k něčemu opravdu zajímavému. Jedním z efektivních způsobů, jak tyto cesty uzavřít, je správná mikrosegmentace firemního prostředí.
Místo vstupu do firemní sítě nebývá pro útočníky zajímavým cílem
Škodlivý kód se do firemní sítě většinou dostane přes nějakou její zranitelnou, ale pro útočníka zpočátku nedůležitou část. Může jít o zapomenutý testovací server, phishing, otevřený RDP protokol, tiskárnu nebo cokoli dalšího. Jakmile se zde usadí, začne se rozhlížet po síti a zkoušet komunikovat a prostupovat skrze další citlivá místa, která fyzická či virtualizovaná síť obsahuje.
Pokud síť není rozdělená na dostatečně malé, pečlivě zabezpečené úseky, zjednodušeně opatřená zamčenými dveřmi, může se útočník z této nepodstatné výchozí pozice dostat až k aktivům kritickým pro chod organizace. Ve chvíli, kdy je tento pohyb v síti automatický, je pro obránce velmi těžké zachytit ho včas. Mikrosegmentace sítě je způsob, jak zde umístit co nejvíce symbolických dveří, které budou zároveň co nejblíže místu průniku. Díky tomu nejen uzavřeme cestu ke kritickým aktivům, ale výrazně omezíme oblast, která může být útokem zasažena.
Mikrosegmentace se ve středních firmách prosazuje pomalu
V Česku však zatím není běžná ani pokročilá segmentace, natož mikrosegmentace. Středně velké firmy podle našich zkušeností využívají jen hrubou segmentaci na několik větších celků, a to pomocí technologie VLAN, tedy podle téměř 30 let starého standardu, který jistě neobstojí vůči aktuálním hrozbám. Jsou-li pro VLAN nastavena alespoň základní pravidla, může mít z pohledu bezpečnosti i hrubá segmentace své opodstatnění, můžeme ale říci, že už je jako samostatné bezpečnostní opatření nedostatečná. Obecně to platí pro segmentaci založenou pouze na síťových protokolech a portech, ale o tom ještě později.
Mezi hlavní problémy segmentování pomocí VLAN sítí patří ve středně velkých firmách malý počet segmentů (typicky jednotky či nižší desítky) v kombinaci s tím, že zde neexistují téměř žádná bezpečnostní pravidla nebo viditelnost do toho, co se v síti děje. Důvody pro segmentaci jsou totiž často provozní, tedy pořádek v síti, a ne bezpečnostní. Stejně tak jsou tyto sítě statické, tedy definované manuálně. V takovém případě ani není v silách běžného správce definovat více nízké desítky segmentů, natož pak udržovat komunikační pravidla mezi nimi.
Pomocí moderních řešení pro řízení sítě ale lze i v těchto menších firmách pokročile segmentovat až mikrosegmentovat, s přiměřenými náklady i nároky na odborné zdroje. Softwarové řízené fyzické sítě, pokročilé řízení a zabezpečení virtuálních VLAN, využití síťového firewalu v segmentační roli či správné nastavení kontejnerizace lze pokročilou segmentaci úspěšně nasadit i ve středních a menších společnostech.
Velké firmy mikrosegmentují více, ne vždy však na základě analýzy rizik
Ve velkých společnostech je podle našich zkušeností situace lepší, úměrně větším finančním i odborným možnostem. Nasazeny jsou softwarově řízené fyzické sítě, někde i s přímou vazbou na vyhrazený segmentační firewall. Virtualizované sítě jsou opatřeny pokročilými rozšiřujícími nástroji, které jsou buď na jemnou segmentaci přímo určeny, nebo ji do značné míry umožňují. Vše obsluhuje automatizace, takže segmentace může být velmi granulární. Existují zde však dvě hlavní omezení, které vyřešeny obvykle nejsou – mikrosegmentuje se jen v některých částech infrastruktury a o nasazení se rozhoduje podle možností technologie, ne podle potřeby cíleného omezení rizika nad kritickým aktivem. Je to škoda, protože velké organizace se řízením rizik zabývají velmi pečlivě, s ohledem na regulace a nařízení. V praxi to pak vede k situacím, že se kritické aktivum nachází na útočné cestě, která dostatečně segmentována není.
Mikrosegmentace je mnohovrstevné téma a najít její optimální podobu není jednoduché. Stejně jako v celé oblasti kybernetické bezpečnosti by i segmentace měla vycházet z analýzy rizik kritických aktiv. Nejdříve je nutné „najít své zlato“ – vědět, kde se nachází, komu patří, s čím souvisí a jaké všechny cesty k němu vedou. Jen tak máme jistotu, že vynakládané investice míří správným směrem.
Mikrosegmentace se neobejde bez automatizačních nástrojů
Nezbytnou součástí, a zároveň největší komplikací následujícího kroku, je detailní a průběžné mapování komunikačních toků a závislostí technických součástí, které se na daném aktivu podílejí. Prakticky není možné tento krok dělat ručně; bez pokročilého nástroje se zde neobejdeme. V mikrosegmentaci už nestačí popisovat komunikaci tradiční kombinací adresa–protokol–port. Potřebujeme větší detail: pracujeme s jednotlivými workloady a konkrétními toky mezi nimi, které se v aplikacích a prostředí neustále mění – zvlášť ve virtualizovaném a kontejnerovém světě.
Proto je nutné oddělit bezpečnostní štítek (identitu) workloadu od síťové topologie: bezpečnostní politiky se řídí právě těmito štítky, nikoli IP adresami nebo VLANami. Změní-li se bezpečnostní kontext workloadu, síť se nemění, a naopak při změně sítě zůstává bezpečnostní politika platná. Automatizovaná mapa těchto vztahů pak poskytuje detailní vhled do veškerých komunikačních toků takto popsaných workloadů.
Pokročilá mikrosegmentace se pochopitelně neobejde bez značné míry automatizace a orchestrace, a tu zajišťuje její „mozek“, centrální management, skrze agenty, umístěné na koncové workloady. Tím je také mimo jiné zajištěn důležitý princip oddělení definice bezpečnostní politiky od jejího vynucení. Politiku lze simulovat a testovat, bezpečně vyzkoušet a následně skrze agenta vynutit. Při výpadku managementu nehrozí výpadek provozu mezi workloady a naopak agenti nic neprovedou bez pečlivě prověřeného pokynu „shora“.
Tímto celkovým přístupem k mikrosegmentaci budou nakonec spokojeny všechny strany. Majitelé aktiv budou mít podstatná rizika pod kontrolou, správcům sítě zůstane stabilní, přehledné a výkonné prostředí a bezpečnostní tým získá velmi granulární a dobře auditovatelná pravidla. A co je důležité – nástroje, které tento model mikrosegmentace umožňují, už na trhu existují a reálně se nasazují i v ČR.
Začít lze i v menším měřítku
Je zřejmé, že jde o komplexní problematiku, jejíž zvládnutí není ani snadné, ani levné. Do prostředí velkých společností s rozsáhlou heterogenní infrastrukturou však dnes už patří. Začít se ale dá i v menším měřítku. Ve firmách, které svá kritická aktiva hostují výhradně ve virtualizovaném prostředí VMware, stačí k výraznému posunu směrem k mikrosegmentaci relativně malý krok: nasadit specializovaný distribuovaný firewall běžící přímo v hypervizoru. Každý virtuální stroj (workload) pak může mít vlastní bezpečnostní politiku popsanou pomocí tagů.
V organizacích s moderní softwarově definovanou sítí Cisco lze naopak využít segmentaci založenou na komunikačních dohodách (kontraktech) mezi skupinami koncových bodů (tzv. endpoint security groups) a jejich provázání se specializovaným segmentačním firewallem. V kontejnerech lze s úspěchem využít jejich interní síťová rozhraní (CNI), jednodušší Calico nebo pokročilejší Cilium. I takto „zjednodušená“ řešení jsou o řád dál než prosté, třicet let staré oddělování sítí pomocí VLAN.
Autor: Pavel Srnka, poradce pro kybernetickou bezpečnost ve společnosti ANECT
