Bezpieczna sieć to nie firewall. To architektura decyzji
W poprzednich wpisach serii NIS 2 skupialiśmy się na tym, jak bezpiecznie kupować systemy i jak je bezpiecznie wytwarzać.
Teraz przechodzimy do momentu, w którym wszystkie te decyzje spotykają się w jednym miejscu: w sieci.
Dla ENISA bezpieczeństwo sieci nie jest zestawem urządzeń.
Jest świadomą architekturą, która ogranicza skutki błędów, ataków i awarii.
Sieć jako mapa ryzyka, a nie plątanina kabli
Pierwszy obowiązek, który ENISA stawia bardzo jasno, to zrozumienie własnej sieci.
Nie intuicyjne. Nie „mniej więcej”. Tylko udokumentowane.
Organizacja powinna mieć aktualną i czytelną dokumentację architektury sieci, pokazującą:
- jak systemy są ze sobą połączone,
- gdzie przebiegają granice zaufania,
- które elementy są krytyczne,
- które połączenia są naprawdę potrzebne.
Dobra dokumentacja sieci nie służy audytorowi.
Służy zespołom, które w kryzysie muszą szybko zrozumieć, co można odłączyć, a czego nie.
Kontrola dostępu zamiast zaufania domyślnego
ENISA konsekwentnie odchodzi od założenia, że „wewnątrz sieci jest bezpiecznie”.
Bezpieczeństwo sieci w NIS 2 oznacza:
- ochronę sieci wewnętrznej przed nieautoryzowanym dostępem,
- blokowanie ruchu, który nie jest potrzebny do działania usług,
- świadome zarządzanie dostępem zdalnym, w tym dostępem dostawców.
Dostęp serwisowy „na stałe” to dziś antywzorzec.
Dostęp powinien być:
- czasowy,
- zatwierdzony,
- rejestrowany,
- możliwy do szybkiego cofnięcia.
To dokładnie tu zaczyna się zero trust w praktyce, nawet jeśli organizacja nie używa tej etykiety.
Usługi administracyjne to osobny świat
Jedna z mniej oczywistych, ale bardzo ważnych wytycznych ENISA dotyczy systemów administracyjnych.
Systemy służące do zarządzania bezpieczeństwem, konfiguracją czy monitoringiem nie powinny być używane do niczego innego.
Dlaczego?
Bo kompromitacja systemu administracyjnego oznacza kompromitację całej organizacji.
Dlatego takie systemy wymagają:
- osobnych stref sieciowych,
- ograniczonego dostępu,
- silnego uwierzytelniania,
- pełnego logowania działań.
Segmentacja sieci: ograniczanie skutków, nie złudzeń
Segmentacja sieci to jeden z najmocniejszych filarów odporności operacyjnej w NIS 2.
Jej celem nie jest „ładna architektura”.
Jej celem jest powstrzymanie rozlewania się incydentu.
Dobrze zaprojektowana segmentacja oznacza, że:
- systemy publicznie dostępne nie mają bezpośredniego dostępu do systemów wewnętrznych,
- systemy krytyczne są odseparowane od reszty infrastruktury,
- środowiska produkcyjne są oddzielone od testowych i deweloperskich,
- kanały administracyjne nie mieszają się z ruchem użytkowników.
To właśnie dlatego ENISA wymaga spójności segmentacji z oceną ryzyka, a nie kopiowania schematów „z internetu”.
DMZ, strefy i granice odpowiedzialności
Wytyczne ENISA wracają do klasycznych, ale nadal aktualnych koncepcji:
- strefy DMZ dla systemów wystawionych na świat,
- wyraźnych granic między siecią wewnętrzną a zewnętrzną,
- kontrolowanych interfejsów komunikacyjnych.
Kluczowe nie jest to, jaką technologię wybierzesz, ale czy potrafisz odpowiedzieć na pytanie:
co się stanie, gdy ten element zostanie przejęty?
Segmentacja to proces, nie jednorazowy projekt
Sieć się zmienia. Systemy się zmieniają. Ryzyka się zmieniają.
Dlatego ENISA wymaga, aby:
- segmentacja była regularnie przeglądana,
- zmiany były dokumentowane,
- testy penetracyjne i skany podatności weryfikowały jej skuteczność,
- incydenty prowadziły do korekt architektury, a nie tylko do „łatania dziur”.
Segmentacja, która nie jest przeglądana, z czasem przestaje chronić.
Co dalej w serii NIS 2
Jeżeli sieć jest już sensownie zaprojektowana i podzielona, kolejne pytanie brzmi:
czy umiemy wykrywać problemy na czas i reagować szybciej niż atakujący?
W następnym wpisie przejdziemy do dwóch kolejnych filarów NIS 2:
testów bezpieczeństwa oraz zarządzania podatnościami.
Bo odporna sieć to nie ta, która nigdy nie pęka.
Tylko ta, która pęknięcia wykrywa zanim staną się kryzysem.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!