gov.pl
Serwis informacyjno-usługowy dla przedsiębiorcy
Biznes.gov.pl

Bezpieczeństwo sieci

Bezpieczeństwo sieci to podstawa ochrony danych twojej organizacji. Obejmuje podział sieci na podsieci, stosowanie sieci VLAN, wirtualizację środowiska IT, prawidłowo skonfigurowane firewalle i routery, a także bezpieczne korzystanie z VPN. Równie ważna jest bezpieczna konfiguracja urządzeń, kont i danych uwierzytelniających.

Podsieci w organizacji

Podsieć to część sieci informatycznej organizacji, która została oddzielona od reszty za pomocą zapory sieciowej (firewalla) lub sieci VLAN.

Jeśli tylko część organizacji ma być oceniana pod kątem zgodności z programem Firma Bezpieczna Cyfrowo, musi zostać technicznie oddzielona od pozostałej części sieci. Można to zrobić, tworząc odrębną podsieć dla zasobów w zakresie certyfikacji albo dla tych poza zakresem.

Zakres objęty oceną, który nie ma wyraźnej, technicznej granicy sieci, nie jest dopuszczalny.

Pamiętaj! Indywidualny zespół projektowy nie może stanowić zakresu certyfikacji, jeśli jego systemy IT nie znajdują się w wyodrębnionej podsieci. Celem jest ochrona ocenianej części organizacji przed ryzykiem infekcji złośliwym oprogramowaniem pochodzącym z obszarów, które nie są objęte oceną.

Sieci VLAN w twojej organizacji

Twoja sieć lokalna (LAN) może obejmować wszystkie komputery, urządzenia mobilne i urządzenia IoT w domu lub biurze. Router dostarczony przez dostawcę internetu oddziela tę sieć lokalną od internetu.

W ramach jednej fizycznej sieci można wydzielić wirtualną sieć lokalną VLAN (Virtual Local Area Network), która logicznie separuje ruch pomiędzy wybranymi portami i urządzeniami. Technologia VLAN pozwala tworzyć wiele sieci logicznych w jednej sieci fizycznej, przy użyciu przełączników sieciowych.

Komputery, serwery i inne urządzenia mogą być ze sobą łączone lub od siebie oddzielane niezależnie od fizycznej lokalizacji. Nawet jeśli znajdują się w różnych miejscach, VLAN może pogrupować je w osobne, wirtualne sieci.

Sieci VLAN można wykorzystać do:

  • wydzielenia sieci zawierającej wrażliwe informacje i użytkowników z dostępem do nich
  • oddzielenia urządzeń służbowych od domowych, gdy biuro znajduje się w domu
  • stworzenia sieci dla gości, która nie ma dostępu do zasobów organizacji.

Separacja oznacza, że urządzenia w różnych sieciach VLAN nie komunikują się bezpośrednio – ruch między nimi przechodzi przez zapory sieciowe. Jeśli złośliwe oprogramowanie zainfekuje urządzenie w jednej sieci, urządzenia w innej, odseparowanej sieci pozostają chronione.

VLAN może służyć do stworzenia podsieci oddzielonej od reszty infrastruktury IT organizacji. W programie Firma Bezpieczna Cyfrowo sieć VLAN może wyznaczać granicę między tym, co jest objęte certyfikacją, a oprogramowaniem i urządzeniami poza zakresem. Można też przy jej użyciu odciąć od internetu niewspierane oprogramowanie i sprzęt.

Wirtualizacja w organizacji

Czym jest wirtualizacja

Wiele organizacji korzysta z serwerów wirtualnych (VS), maszyn wirtualnych (VM) i wirtualnych pulpitów. Wirtualizacja pozwala stworzyć programową, „wirtualną” wersję komputera z wykorzystaniem jednej fizycznej maszyny.

Na jednym serwerze fizycznym można uruchomić wiele maszyn wirtualnych. Każda z nich otrzymuje część zasobów procesora (CPU), pamięci RAM i przestrzeni dyskowej. Łączne przydzielone zasoby nie mogą przekroczyć możliwości sprzętu.

Początkowo wirtualizacja miała zwiększyć efektywność wykorzystania serwerów fizycznych. Wcześniej pojedyncze serwery zajmowały dużo miejsca, zużywały energię i były używane często tylko do jednej funkcji (np. poczta, strona internetowa, fragment sieci), a wykorzystywano około 30% ich mocy. Dzięki wirtualizacji można wykorzystać nawet około 80% zasobów serwera, przydzielając różnym maszynom wirtualnym różne zadania i systemy operacyjne.

Wirtualizacja jest możliwa dzięki oprogramowaniu zwanemu hipernadzorcą (hypervisor).

Rola hipernadzorcy

Hipernadzorca jest instalowany na serwerze i zarządza maszynami wirtualnymi. Przydziela im zasoby, umożliwia uruchamianie systemów operacyjnych i aplikacji oraz kontroluje dostęp administracyjny. Hipernadzorca bywa nazywany „warstwą wirtualizacji”. Maszyny wirtualne działają tylko wtedy, gdy hipernadzorca zarządza podziałem zasobów sprzętowych.

Wyróżnia się dwa główne typy hipernadzorców:

  • typ pierwszy – instalowany bezpośrednio na serwerze, bez innego systemu operacyjnego (np. VMWare vSphere/ESXi, Microsoft Hyper-V, Citrix XenServer). Administrator przydziela zasoby (CPU, RAM, pamięć) i instaluje systemy oraz aplikacje na maszynach wirtualnych, z których użytkownicy korzystają zdalnie.
  • typ drugi – instalowany na komputerze z istniejącym systemem operacyjnym. Maszyny wirtualne używają tzw. systemu gościa, który może różnić się od systemu hosta. Umożliwia to testowanie różnych systemów i aplikacji w bezpiecznym środowisku (np. VMWare Workstation/Fusion, Oracle VirtualBox, Parallels).

Maszyny wirtualne i wirtualne pulpity (VDI)

Maszyny wirtualne mogą służyć do uruchamiania wirtualnych pulpitów w środowisku Virtual Desktop Infrastructure (VDI).

Użytkownik widzi na ekranie system operacyjny, aplikacje i pliki tak, jak na zwykłym komputerze, ale wszystkie dane znajdują się na serwerach w innej lokalizacji. Wirtualny pulpit jest tylko obrazem środowiska uruchomionego na maszynie wirtualnej.

Dzięki temu:

  • użytkownik może logować się do tego samego środowiska z dowolnego urządzenia (laptop, smartfon, tablet)
  • dane znajdują się na serwerze, a nie na urządzeniu końcowym
  • łatwiej jest centralnie zarządzać aktualizacjami, konfiguracją i bezpieczeństwem.

Komputery typu cienki klient mają uproszczony system operacyjny i często służą wyłącznie do łączenia się z maszynami wirtualnymi. Są tańsze i łatwiejsze w utrzymaniu niż pełne stacje robocze.

Środowisko VDI zwiększa bezpieczeństwo, ponieważ utrata lub kradzież urządzenia nie oznacza utraty danych – są one przechowywane na serwerze.

Bezpieczeństwo środowisk wirtualnych

Maszyny wirtualne i ich sieci są narażone na te same zagrożenia co fizyczna infrastruktura IT. Nie są domyślnie bezpieczne. Włamania zwykle wynikają z:

  • błędnej konfiguracji serwerów
  • słabej kontroli dostępu użytkowników
  • niewłaściwej konfiguracji kont wirtualnych pulpitów.

Środowiska wirtualne wymagają starannej konfiguracji, monitorowania i regularnej konserwacji. Maszyna wirtualna jest tak bezpieczna, jak jej konfiguracja.

Dodatkową zaletą wirtualizacji jest możliwość łatwego przywracania środowisk – maszynę wirtualną można odtworzyć z kopii zapasowej albo szybko usunąć i zbudować ponownie po incydencie. Maszyny wirtualne mogą działać jak „piaskownica”, odizolowane środowisko testowe, oddzielone od innych systemów.

Zakres odpowiedzialności za bezpieczeństwo

Jeśli twoja organizacja korzysta z usług w chmurze opartych na wirtualizacji:

  • nie musisz stosować wymagań programu Firma Bezpieczna Cyfrowo do fizycznych serwerów i hipernadzorców dostawcy
  • musisz mieć jednak dowody, że dostawca utrzymuje swoją infrastrukturę w sposób bezpieczny i aktualny (patrz O usługach w chmurze).

Jeżeli korzystasz z modelu Infrastructure as a Service (IaaS), odpowiadasz za zastosowanie wytycznych programu do swojego środowiska wirtualnego – wirtualnych desktopów, sieci VLAN, wirtualnych firewalli, przełączników i innych elementów.

Jeśli posiadasz lub dzierżawisz własne serwery (na miejscu lub w centrum danych) i samodzielnie instalujesz oprogramowanie do wirtualizacji, musisz stosować wytyczne programu do sprzętu i hipernadzorców. Sprzęt i oprogramowanie muszą być licencjonowane, aktualizowane i łatane.

Często zakłada się, że usługi w chmurze i zdalne środowiska wirtualne są domyślnie bezpieczne. To nie jest prawda. Wymagają one takiej samej uwagi jak każda inna infrastruktura IT.

W praktyce może być potrzebne szkolenie zespołu IT, aby prawidłowo skonfigurować i utrzymywać te narzędzia.

Serwer wirtualny

Serwer wirtualny to wydzielony wirtualnie fragment większego serwera fizycznego. Za pomocą hipernadzorcy dzieli się moc jednego serwera na części. Każda część otrzymuje własny system operacyjny i aplikacje i staje się maszyną wirtualną (VM). Zbiór takich maszyn tworzy serwer wirtualny (VS).

Wirtualizacja pozwala znacznie lepiej wykorzystać fizyczny serwer niż wtedy, gdy służy on tylko do jednej funkcji.

Firewalle, routery i bezpieczeństwo sieci

Sieć i urządzenia brzegowe

Sieć to zbiór urządzeń – komputerów, laptopów, smartfonów, tabletów – które mogą się ze sobą komunikować. Może to być sieć domowa, sieć firmowa albo sam internet jako sieć połączonych ze sobą mniejszych sieci.

Urządzenia znajdujące się na obrzeżach sieci prywatnej, takie jak router szerokopasmowy czy sprzętowy firewall, nazywamy urządzeniami brzegowymi. Łączą one sieć prywatną z internetem.

Dostawca usług internetowych dostarcza router, który pełni funkcję bramy między siecią prywatną a internetem. Jeśli nie jest właściwie zabezpieczony, może umożliwić nieuprawniony dostęp do sieci.

Hasło do routera:

  • nie jest tym samym co hasło do sieci Wi-Fi
  • chroni ustawienia i konfigurację urządzenia
  • powinno zostać zmienione z domyślnego, aby nikt nie mógł przejąć kontroli nad siecią.

Routery domowe dostarczone przez dostawcę usług internetowych nie są objęte zakresem programu Firma Bezpieczna Cyfrowo, chyba że dostarczyła je organizacja na potrzeby pracy zdalnej.

Rodzaje firewalli

Termin „firewall” pochodzi od ognioodpornej ściany, która zapobiega rozprzestrzenianiu się ognia między budynkami. W sieci komputerowej firewall pełni podobną funkcję – jest barierą bezpieczeństwa, która sprawdza ruch w obie strony i na podstawie reguł decyduje, czy dane mogą przejść dalej.

Wyróżnia się m.in.:

  • firewall sprzętowy/brzegowy – oddzielne urządzenie pomiędzy siecią a internetem albo funkcja w routerze, która monitoruje ruch przychodzący i wychodzący
  • firewall programowy – zainstalowany na pojedynczym komputerze, chroni to konkretne urządzenie; większość nowoczesnych systemów operacyjnych zawiera taki firewall
  • firewall wirtualny – wbudowany w hipernadzorcę, kontroluje ruch między maszynami wirtualnymi w środowisku wirtualnym.

Wszystkie urządzenia powinny mieć włączony firewall, jeśli system operacyjny go zapewnia. W małych sieciach router zazwyczaj pełni funkcję sprzętowej zapory – ważne jest sprawdzenie, czy firewall jest aktywny i poprawnie skonfigurowany.

Najlepszą praktyką jest stosowanie co najmniej dwóch warstw ochrony: firewalla programowego na każdym urządzeniu oraz sprzętowego lub wirtualnego firewalla na granicy sieci.

Pracownicy zdalni powinni mieć bezpiecznie skonfigurowane firewalle na swoich urządzeniach. Smartfony zwykle nie mają wbudowanego firewalla i nie jest on konieczny, o ile instalowane są tylko zaufane aplikacje z renomowanych źródeł.

Otwarte porty i zdalne zarządzanie

Urządzenia w organizacji łączą się z internetem przez bramę – router, firewall sprzętowy lub firewall wirtualny. Zapora sieciowa kontroluje, jakie połączenia są dozwolone.

Czasami konieczne jest otwarcie portu na firewallu, aby jakaś usługa (np. serwer VPN, serwer pocztowy, baza danych) była dostępna z internetu. Powinno to być uzasadnione potrzebą biznesową i odpowiednio udokumentowane. Otwarte porty, które nie są już potrzebne, należy zamknąć.

Przestępcy używają zautomatyzowanych narzędzi (botów), aby skanować internet w poszukiwaniu otwartych portów i słabo zabezpieczonych usług. Jeśli konfiguracja jest błędna, mogą to wykorzystać zanim organizacja zorientuje się w problemie.

Routery i zapory można konfigurować zdalnie, na przykład przez zewnętrzną firmę IT. Warto ograniczyć dostęp administracyjny tylko do wybranych adresów IP oraz stosować uwierzytelnianie wieloskładnikowe. Usługi dostępne z zewnątrz powinny być na bieżąco aktualizowane.

Ważne! Wszystkie porty przychodzące powinny być domyślnie zablokowane. Należy otwierać tylko te, które są rzeczywiście potrzebne, i regularnie sprawdzać ich listę.

Wirtualne sieci prywatne (VPN)

Co to jest VPN i jak działa

VPN (Virtual Private Network) to szyfrowane połączenie sieciowe, które pozwala zdalnym użytkownikom bezpiecznie uzyskać dostęp do usług organizacji przez niezaufaną sieć, taką jak internet.

Organizacja konfiguruje swoją korporacyjną sieć VPN, zazwyczaj przy użyciu zapory sieciowej lub innej infrastruktury sieciowej. Na urządzeniach użytkowników instaluje się klienta VPN. Po zalogowaniu się do VPN cały ruch internetowy jest kierowany przez serwer VPN, a dane są szyfrowane.

Z zewnątrz widać tylko połączenie z serwerem VPN, a nie z konkretnym urządzeniem. Tylko urządzenie użytkownika i serwer VPN mogą zaszyfrować i odszyfrować dane.

VPN jest:

  • wirtualny, bo połączenie jest tworzone programowo, bez fizycznego kabla do serwera
  • prywatny, ponieważ szyfruje dane i ukrywa adres IP użytkownika
  • siecią, bo łączy wiele urządzeń.

Korzyści z korzystania z VPN (dla organizacji)

W kontekście programu Firma Bezpieczna Cyfrowo istotne są m.in. takie korzyści:

  • umożliwienie bezpiecznego dostępu zdalnych pracowników do poczty, usług i plików organizacji
  • ochrona starszych systemów, które nie były projektowane z myślą o pracy przez internet
  • ochrona wewnętrznych serwerów przed atakami zewnętrznymi – dostęp mają tylko uwierzytelnione urządzenia
  • ochrona urządzenia użytkownika przed atakami z lokalnej sieci (np. w publicznym Wi-Fi)
  • wymuszenie przechodzenia ruchu przez wewnętrzne narzędzia monitorujące i filtrujące, co ułatwia blokowanie złośliwych treści
  • możliwość monitorowania i filtrowania ruchu zgodnie z przepisami prawa i regulacjami wewnętrznymi.

Ochrona danych „w locie” ma kluczowe znaczenie, szczególnie przy pracy mobilnej.

Typy VPN i zalecenia programu Firma Bezpieczna Cyfrowo

Stosuje się różne rozwiązania VPN:

  • VPN z jednym tunelem (korporacyjny VPN), który kieruje cały ruch użytkownika przez sieć organizacji
  • VPN typu site-to-site, łączący sieci różnych lokalizacji firmy
  • VPN z dzielonym tunelem (split tunnel), gdzie tylko część ruchu przechodzi przez VPN, a reszta trafia bezpośrednio do internetu.

Split tunnelling oszczędza przepustowość, ale wiąże się z dodatkowymi zagrożeniami. Nie wszystkie protokoły tunelowania VPN zapewniają ten sam poziom bezpieczeństwa – niektóre są przestarzałe i niewystarczająco chronią dane.

Program Firma Bezpieczna Cyfrowo zaleca korzystanie z VPN z pojedynczym tunelem do sieci korporacyjnej. Inne typy nie zapewniają wystarczającego poziomu bezpieczeństwa w kontekście tego programu.

Konfiguracja i utrzymanie VPN jest złożone. Błędy mogą powodować przerwy w działaniu organizacji, dlatego warto powierzyć to zadanie specjalistom.

Bezpieczna konfiguracja sprzętu, sieci i kont

Pozostawienie domyślnych ustawień w sprzęcie, urządzeniach sieciowych i oprogramowaniu może stworzyć nowy wektor ataku.

Do typowych zagrożeń należą:

  • konta administracyjne z domyślnymi hasłami, bez uwierzytelniania wieloskładnikowego
  • domyślne, nieużywane konta użytkowników, czasem z dodatkowymi uprawnieniami
  • preinstalowane, nieużywane aplikacje, usługi i otwarte porty.

Takie elementy mogą pozwolić atakującym na uzyskanie nieuprawnionego dostępu do wrażliwych informacji.

Zarządzanie bezpieczeństwem komputerów i urządzeń sieciowych

Organizacja powinna regularnie:

  • usuwać lub wyłączać nieużywane konta użytkowników
  • zmieniać domyślne lub łatwe do odgadnięcia hasła
  • usuwać lub wyłączać zbędne oprogramowanie, narzędzia systemowe i usługi sieciowe
  • wyłączać funkcje automatycznego uruchamiania plików przy pobieraniu
  • wymagać uwierzytelnienia użytkownika przed dostępem do danych lub usług organizacji
  • włączać automatyczne blokowanie urządzenia po okresie bezczynności oraz umożliwiać ręczne blokowanie przez użytkownika.

Dane uwierzytelniające i ochrona przed atakami brute-force

Jeśli urządzenie wymaga fizycznej obecności użytkownika (np. logowanie do laptopa, odblokowanie telefonu), użytkownik musi posiadać dane uwierzytelniające – hasło, kod PIN lub dane biometryczne.

Aby chronić te dane przed atakami typu brute-force, należy stosować zabezpieczenia techniczne, takie jak:

  • ograniczanie liczby i częstotliwości prób logowania, z wydłużaniem czasu oczekiwania po kolejnych błędnych próbach
  • blokowanie konta po więcej niż trzech nieudanych próbach logowania
  • wymaganie co najmniej 6-znakowego hasła lub kodu PIN do odblokowania urządzenia
  • stosowanie pełnych wymagań dotyczących haseł, jeśli dane uwierzytelniające służą także do logowania do usług organizacji.
gov.pl /

Mapa Biznes.gov.pl

Portal nadzorowany jest przez Ministerstwo Rozwoju i Technologii. Partnerzy projektu: Sieć Badawcza Łukasiewicz - Poznański Instytut Technologiczny, Krajowa Izba Gospodarcza. Projekt jest współfinansowany z Programu Polska Cyfrowa ze środków Unii Europejskiej z Europejskiego Funduszu Rozwoju Regionalnego i jest kontynuacją projektu pt.: "Centralna Ewidencja i Informacja o Działalności Gospodarczej" finansowanego z Programu Innowacyjna Gospodarka oraz projektu "Uproszczenie i elektronizacja procedur" finansowanego z Programu Kapitał Ludzki.

Artykuły zamieszczone w serwisie GOV.PL, w których nie podajemy żadnych dodatkowych informacji na temat praw autorskich, należą do informacji publicznych i udostępniamy je bezpłatnie. Korzystanie z nich, niezależnie od celu i sposobu korzystania, nie wymaga zgody Ministerstwa. Dostępne są w ramach licencji Creative Commons Uznanie Autorstwa 3.0 Polska. Serwis Biznes.gov.pl używa plików cookies. Kontynuując przeglądanie naszej witryny bez zmiany ustawień przeglądarki, wyrażasz zgodę na użycie plików cookie. Zawsze możesz zmienić ustawienia przeglądarki i zablokować te pliki.

Fundusze Europejskie Flaga RP Unia Europejska