Collapo logo
Collapo logo
Network Security

Network Security - síť sama chrání, co přenáší

Síť dnes není jen o připojení. Je to místo, kde začíná i končí bezpečnost. Přes síť prochází všechna firemní data, všechny požadavky, každá interakce mezi uživatelem a aplikací – a každé z těchto spojení může být vektor útoku.

A právě proto dnes nestačí mít jen „nějaký firewall“ na perimetru. Moderní bezpečnost musí být integrovaná přímo v síťové infrastruktuře – dynamická, kontextová, reagující v reálném čase. Taková, která nebrání provozu, ale rozumí mu. Taková, kterou nabízí Cisco.



Síť jako bezpečnostní senzor i enforcement point

Cisco staví bezpečnost přímo do DNA sítě. Ať už se jedná o přístupovou síť, WAN nebo datové centrum, každé zařízení je schopno:

  • rozpoznat, kdo a co je připojeno
  • analyzovat typ provozu a kontext
  • aplikovat politiky pro povolení, omezení nebo zablokování komunikace.

Namísto statických pravidel a rozsáhlých ACL nabízí Cisco architekturu, kde jsou bezpečnostní politiky založené na identitě, umístění, roli a typu zařízení – a to v reálném čase.



Vstupní bod: identita a segmentace

Když chcete řídit přístup, musíte nejprve vědět, kdo nebo co přistupuje.

V dnešní síti nestačí řídit přístup podle IP adres nebo statických VLAN. Síť se stala dynamickým prostředím, kde se každý den připojují desítky až stovky různých zařízení – uživatelských, služebních i IoT. Bez jasné identifikace není možné nastavit smysluplnou segmentaci. A bez segmentace se jakákoliv bezpečnostní architektura stává chatrnou.

Cisco řeší tento problém systematicky a automatizovaně – na základě identity, role, typu zařízení a kontextu.


Cisco ISE – mozek řízení přístupu

Cisco Identity Services Engine (ISE) je platforma, která rozhoduje, kdo nebo co se může připojit do sítě, kam smí, kdy a jak. Funguje jako „centrální imigrační úřad“ pro celou infrastrukturu. Ať už se do sítě připojuje uživatel notebookem přes Wi-Fi, nebo bezpečnostní kamera přes kabel, ISE:

  • identifikuje zařízení pomocí 802.1X, MAB nebo profilování,
  • ověří uživatele dle přihlašovacích údajů, certifikátů nebo doménové identity,
  • přidělí danému subjektu Security Group Tag (SGT) – digitální značku, která reprezentuje jeho roli.

▶ Např. lékař ve fakultní nemocnici získá jinou úroveň přístupu než zdravotnické zařízení, student nebo návštěvník – a to vše automaticky, bez zásahu administrátora.


Cisco TrustSec – identita místo IP adres

V tradiční síti je segmentace závislá na VLAN, subnetech a často složitých ACL pravidlech. Ale co když chcete segmentovat uživatele, kteří jsou ve stejné síti? Nebo zařízení, která mění IP adresu podle lokality?

Zde přichází na scénu Cisco TrustSec – technologie, která zavádí segmentaci nezávislou na IP adresách, pomocí SGT (Security Group Tag).

  • každému zařízení nebo uživateli je přidělena bezpečnostní značka (SGT)
  • síťové prvky (přepínače, bezdrátové kontroléry, firewally) rozpoznávají SGT a uplatňují pravidla
  • pravidla jsou definována centrálně v tzv. Policy Matrix – jednoduché „kdo smí komunikovat s kým“

▶ Například: tiskárna má SGT „Office Devices“, pracovní stanice mají „Employees“, návštěvníci „Guests“. V policy matrix je definováno, že Guests nesmějí komunikovat s Office Devices – a síť to aplikuje automaticky.


Mikrosegmentace v každé části sítě

Segmentace pomocí SGT (Security Group Tags) není omezena jen na přístupovou vrstvu. Je plně podporována napříč celou Cisco infrastrukturou – ať už se jedná o kabelovou síť, Wi-Fi, WAN, datové centrum nebo firewallovou ochranu.

SGT se přenáší sítí jako součást metadat a slouží jako „identifikační známka“, která cestuje s daty a umožňuje síťovým prvkům dynamicky aplikovat bezpečnostní politiky – bez ohledu na to, odkud provoz přichází nebo přes jaké médium teče.

Podporované platformy:

  • přístupová síť: Cisco Catalyst 9000 (Switching i Wireless)
  • WAN: Cisco SD-WAN (s integrovaným SGT transportem)
  • datové centrum: Cisco ACI s mapováním EPG na SGT
  • firewall: Cisco Secure Firewall (FTD) – možnost vytvářet pravidla firewallu podle SGT bez závislosti na IP, portu či rozhraní

▶ Např. SGT „Zdravotnická zařízení“ má přístup pouze ke specifickým aplikacím a rozhraním v datovém centru – tato pravidla se automaticky uplatní ve firewallu, bez nutnosti ručně sledovat IP adresy nebo přepínat kontext.

Co to znamená v praxi?

  • mikrosegmentace je konzistentní napříč různými sítěmi i lokalitami
  • zásady přístupu jsou vázané na roli nebo typ zařízení, nikoliv na umístění
  • firewall dokáže vytvářet politiky na základě SGT, nikoliv jen podle IP adres a portů
  • snížení počtu pravidel, jednodušší audit, vyšší transparentnost

➡ Díky nativní podpoře SGT v přepínačích, kontrolérech, SD-WAN směrovačích i firewallech lze vytvářet bezpečnostní zóny napříč celou sítí bez složitých pravidel a bez rizika, že by něco prošlo „mezerou“ v infrastruktuře.



Perimetrická a distribuovaná ochrana: Cisco Secure Firewall

Když se útoky stávají sofistikovanějšími, obrana musí být chytřejší, přizpůsobivější a stále přítomná.

Bezpečnost se dnes nemůže omezit na jeden bod v síti. Musí být všude – na pomezí vnějšího světa i uvnitř infrastruktury. Ať už chráníte hlavní perimetr, datové centrum nebo průmyslovou zónu, Cisco Secure Firewall nabízí jednotnou platformu, která vám umožní přizpůsobit bezpečnost architektuře sítě – a ne naopak.

Každý model Cisco Secure Firewall má jiný účel, ale jedno společné jádro: Threat Defense (FTD) engine, který spojuje firewall, IPS, aplikační viditelnost, bezpečnostní politiky a centrální správu. Díky tomu získáte síťovou ochranu s jednotným chováním napříč celou infrastrukturou.


Cisco Secure Firewall 1200 Series – kompaktní síla pro distribuovanou bezpečnost

Řada 1200 je navržena pro organizace, které chtějí zajistit plnohodnotnou bezpečnostní ochranu i v distribuovaných lokalitách – například v pobočkách, menších technologických uzlech nebo edge lokalitách. Tyto firewally kombinují výborný poměr výkonu a rozměrů a umožňují provozovat Cisco SD-WAN (s FTD), ovšem ve své vlastní architektuře nezávislé na platformě Catalyst SD-WAN.

  • integrace bezpečnosti přímo do síťové vrstvy
  • podpora šifrování, aplikačního řízení, IPS, URL filtrace
  • možnost provozu jako samostatný firewall, nebo jako SD-WAN edge v prostředí Cisco Secure Firewall.
  • rozšířená podpora VPN segmentace, ZBFW a centralizované správy přes FMC nebo CDO

▶ Vhodné pro zákazníky, kteří budují samostatnou bezpečnostní infrastrukturu nebo nasazují SD-WAN založený na FTD architektuře – nikoliv pro kombinaci s Cisco Catalyst SD-WAN routery.


Cisco Secure Firewall 3100 Series – výkonná bezpečnost pro podniky a perimetry

Řada 3100 je zlatou střední cestou pro organizace, které hledají vysoký výkon, hardwarovou akceleraci a flexibilní nasazení. Díky výpočetnímu výkonu, který podporuje deep packet inspection i TLS dešifrování bez ztráty propustnosti, je řada 3100 připravena i na nejnáročnější scénáře.

  • škálovatelný výkon až desítky Gbps
  • dedikovaný hardware pro IPS a kryptografii
  • možnost provozu jako NGFW (FTD) nebo klasické ASA
  • podpora HA, clusteringu a virtualizace (VRF, context)

▶ Perfektní pro datová centra, centrály a zákazníky s vysokými nároky na dostupnost a kontrolu.


Cisco Secure Firewall 4200 Series – ochrana nové generace pro datová centra a multitenantní prostředí

Řada 4200 přináší nejnovější architekturu Cisco pro organizace, které chtějí síťovou bezpečnost škálovat podle výkonu a segmentů, nikoliv podle počtu boxů.

  • špičkový výkon až 140 Gbps
  • až 60 milionů současných relací při zachování inspekce provozu
  • virtualizace v rámci jedné appliance (multi-context)
  • možnost škálování až na 16 firewallů v clusteru
  • podpora rozhraní až do rychlosti 400 Gbps

▶ Ideální pro moderní datová centra, poskytovatele služeb a zákazníky s vysokou mírou virtualizace a potřebou bezpečnosti na úrovni fabric.


Cisco Secure Firewall ISA3000 – ochrana průmyslových sítí (OT Security)

Průmyslové prostředí má svá specifika – provozní technologie (OT) musí fungovat 24/7, nejsou často patchované a jejich ochrana vyžaduje preciznost. Firewall v této oblasti musí být kompaktní, odolný a připravený na prostředí, kde jde o víc než jen data – jde o výrobu, bezpečnost a životy.

ISA3000 přináší:

  • odolné provedení (DIN montáž, bez ventilátoru)
  • průmyslové certifikace (např. pro SCADA, IEC 61850)
  • segmentace OT sítí a inspekce průmyslových protokolů (Modbus, DNP3, IEC 104)
  • možnost integrace s Cisco Cyber Vision pro OT monitoring

▶ Pro průmyslové závody, distribuční centra, výrobní linky a SCADA sítě je ISA3000 nejen firewall, ale i klíčový bezpečnostní prvek celé OT architektury.


Ať už potřebujete chránit centrálu, pobočku nebo výrobní halu…

Cisco Secure Firewall vám umožní:

  • zvolit formát (fyzický, virtuální, cloud-native) podle potřeby
  • spravovat pravidla centrálně přes Defense Orchestrator nebo FMC
  • získat integrované security intelligence z Cisco Talos
  • zajistit konzistenci politik napříč WAN, LAN, cloudem i OT sítí

➡ Nejde jen o firewall – jde o strategickou bezpečnostní platformu, která chrání celou vaši síť napříč technologiemi, lokalitami a vrstvami.



Centralizovaná správa a orchestrace – vidíte, co chráníte. A chráníte, co vidíte.

Skutečně efektivní ochrana není jen o výkonném firewallu – je o konzistentních pravidlech, rychlé reakci, přehledu o provozu a jednoduché správě stovek zařízení napříč celou infrastrukturou. Cisco nabízí dvě možnosti správy, které reflektují různé potřeby zákazníků – od robustního provozního řízení až po cloudově řízenou bezpečnost.


Cisco Firewall Management Center (FMC) – hloubková správa a analýza provozu

Cisco FMC je on-premise platforma určená pro organizace, které potřebují detailní kontrolu nad bezpečnostní politikou, pokročilou analýzu hrozeb a široké možnosti reportingu.

  • centrální správa firewallů všech velikostí (1200, 3100, 4200, vFTD, ISA3000)
  • tvorba, správa a audit pravidel napříč segmenty, zónami a tenanty
  • integrace s Cisco ISE pro politiky na základě identity (SGT)
  • korelace bezpečnostních událostí, přehled o aplikačním provozu a IPS detekcích
  • automatizované aktualizace threat signatur z Cisco Talos

▶ Vhodné pro zákazníky, kteří provozují bezpečnostní infrastrukturu ve vlastním prostředí a vyžadují detailní přehled i pokročilé provozní funkce.


Cisco Defense Orchestrator (CDO) – jednoduchá a bezpečná správa z cloudu

Moderní infrastruktury se už dávno neomezují jen na datová centra. Firemní bezpečnost dnes musí sahat až do cloudu, poboček, SD-WAN routerů i koncových zařízení. A právě zde přichází ke slovu Cisco Defense Orchestrator – cloudová platforma, která propojuje bezpečnostní řízení napříč různými typy prostředí.

Díky architektuře Security Cloud Control umožňuje CDO centrálně spravovat prvky bezpečnostní politiky a konfigurace napříč:

  • Cisco Secure Firewall – jak ASA, tak FTD (fyzické i virtuální nasazení)
  • Cisco Meraki MX – konfigurace firewallových politik a zabezpečení poboček
  • Cisco IOS zařízení – vybrané bezpečnostní konfigurace na směrovačích a přepínačích
  • Cisco Multicloud Defense – bezpečnostní vrstvy v prostředí veřejného cloudu
  • AWS Security Groups – správa cloudových bezpečnostních politik přímo z CDO

CDO tak funguje jako centrální nervový systém pro bezpečnostní správu, který propojuje různé bezpečnostní domény do jednoho místa – bez ohledu na to, zda jsou ve fyzickém datovém centru, v pobočce nebo v cloudu.

Klíčové výhody Cisco CDO:

  • jednotné prostředí pro řízení politik a konfigurací napříč platformami
  • nativní podpora hybridního a multicloud prostředí (Meraki, AWS, Multicloud Defense)
  • snadné porovnávání konfigurací, verzování a audit změn
  • možnost nasazení změn bezpečně, konzistentně a s minimem chyb
  • uživatelsky přívětivé rozhraní, které nevyžaduje hluboké znalosti každé platformy

▶ CDO je ideální pro organizace, které provozují kombinaci bezpečnostních platforem Cisco a chtějí nad nimi vybudovat jednotný řídicí bod, který rozšiřuje možnosti řízení bezpečnosti z firewallu na celou bezpečnostní topologii – napříč cloudem, pobočkami i datovým centrem, bez složité integrace nebo replatformingu a s lehkostí, kterou ocení každý bezpečnostní tým.



Bezpečnost napříč WAN – SD-WAN s integrovanou ochranou

Když WAN připojení není jen o spojení, ale o důvěře.

V době, kdy většina organizací propojuje své pobočky přes veřejný internet, LTE nebo hybridní linky, je tradiční myšlenka „bezpečnosti na perimetru“ nedostačující. Potřebujeme zabezpečit komunikaci napříč celou WAN sítí a to způsobem, který je kontextový, automatizovaný a řízený záměrem.

Cisco Catalyst SD-WAN přináší do WAN infrastruktury integrovanou bezpečnost – bez nutnosti nasazovat samostatné bezpečnostní prvky do každé lokality. Zabezpečení je nedílnou součástí architektury, ne přídavný modul.


Co je součástí integrované ochrany?
  • zónový firewall (ZBFW) – řízení provozu mezi segmenty, rolemi nebo aplikacemi
  • IPS/IDS engine – detekce útoků na aplikační a protokolové vrstvě
  • URL filtering – blokace rizikových webů podle kategorií i reputace
  • DNS security (Cisco Umbrella) – ochrana proti škodlivým doménám už na úrovni DNS dotazu
  • Advanced Malware Protection (AMP) – kontrola přenášených souborů v reálném čase
  • Cloud sandboxing – analýza neznámých hrozeb v izolovaném prostředí
  • SD-WAN segmentation – oddělení provozu mezi odděleními, aplikacemi, IoT a partnery


Centralizovaná správa a automatizace

Všechny bezpečnostní funkce jsou řízeny z jednoho místa – Cisco Catalyst SD-WAN Manager. To umožňuje:

  • tvorbu jednotných politik pro všechny lokality,
  • aktualizaci pravidel bez výpadku,
  • monitoring bezpečnostních incidentů v reálném čase,
  • integraci s Cisco XDR pro korelaci napříč celým bezpečnostním ekosystémem.


Klíčové přínosy pro zákazníka
  • není třeba do každé pobočky nasazovat separátní NGFW
  • bezpečnost je jednotná, konzistentní a vynutitelná napříč sítí
  • zjednodušení provozu a rychlejší reakce na nové hrozby
  • možnost kombinace s cloudovými službami jako Umbrella nebo Secure Access
  • zabezpečení poboček bez kompromisu mezi výkonem a ochranou

➡ Cisco SD-WAN s integrovanou bezpečností umožňuje chránit komunikaci mezi lokalitami stejně sofistikovaně jako v datovém centru – bez ztráty flexibility, výkonu nebo provozní jednoduchosti.



Cisco Secure Network Analytics – když chcete vědět, co se v síti opravdu děje

Firewall může blokovat známé hrozby. ISE může řídit přístup. Ale co když je útočník už uvnitř? Co když kompromitované zařízení komunikuje nenápadně, ale vytrvale? Jak poznat, že se v síti děje něco neobvyklého, co neodpovídá běžnému chování?

Právě na tyto otázky odpovídá Cisco Secure Network Analytics – platforma pro behaviorální detekci hrozeb na základě síťového provozu. Dříve známá jako Stealthwatch, dnes klíčový nástroj pro síťovou detekci a reakci (NDR).


Jak to funguje?

Secure Network Analytics využívá telemetrii z celé sítě – NetFlow, IPFIX, NVM, datovou analytiku z přepínačů a směrovačů – a sleduje:

  • kdo s kým komunikuje
  • jak často, kam, kdy a jak dlouho
  • jestli provoz odpovídá běžnému chování dané entity

Díky pokročilé analytice (včetně strojového učení) systém rozpozná anomálie, interní útoky, laterální pohyb a např. i známky ransomwaru – často ještě dříve, než klasické zabezpečení zareaguje.


Typické scénáře využití:
  • detekce kompromitovaných zařízení (např. stroj, který se najednou připojuje do neznámých zemí)
  • odhalení laterálního pohybu útočníka mezi subnety
  • audit provozu mezi segmenty – např. i tam, kde neexistuje firewall
  • identifikace skenování, beaconingu, C2 komunikace
  • forenzní analýza incidentu na základě archivovaných dat


Integrace a provoz

Secure Network Analytics se integruje s:

  • Cisco ISE (identita + SGT = kontextová detekce),
  • Cisco XDR pro automatizované reakce a korelaci,
  • ThousandEyes, Umbrella a dalšími nástroji Cisco,
  • SIEM systémy (např. Splunk) nebo SOAR platformami.

Díky tomu je možné nejen detekovat incidenty, ale také je automaticky vyhodnotit, eskalovat nebo zastavit – včetně např. izolace podezřelého zařízení přímo v síti.

▶ Pro organizace, které chtějí posunout zabezpečení na úroveň „vidím, chápu, reaguji“, je Cisco Secure Network Analytics nepostradatelným prvkem bezpečnostní architektury.


Network Threat Intelligence – Cisco Talos

Nejúčinnější obrana je ta, která ví, co má hledat – dřív, než to vůbec dorazí.

Za každým bezpečnostním rozhodnutím v architektuře Cisco stojí zpravodajská síla, která pracuje na pozadí – a která zásadně mění pravidla hry. Řeč je o Cisco Talos Intelligence Group, jednom z největších a nejrespektovanějších týmů pro kybernetický výzkum a hrozbovou analýzu na světě.

Talos každý den analyzuje miliardy bezpečnostních událostí z celého světa. Informace sbírá z globálních sítí, honeypotů, zákaznických nasazení i veřejných zdrojů, a pomocí pokročilé analytiky a strojového učení identifikuje:

  • nové typy malwaru a ransomwaru
  • techniky APT skupin
  • zero-day zranitelnosti
  • aktivní útoky probíhající v reálném čase

Výsledky tohoto výzkumu nejsou uzavřené v laboratoři – jsou přímo integrovány do všech hlavních bezpečnostních technologií Cisco:

  • Cisco Secure Firewall (FTD) – aktualizace signatur IPS a aplikační inspekce
  • Cisco Umbrella – blokování škodlivých domén a IP v DNS vrstvě
  • Cisco Secure Network Analytics – rozpoznání anomálního chování
  • Cisco Secure Endpoint a Email Security – detekce škodlivých souborů a URL
  • Cisco XDR – korelace událostí a automatizace reakce napříč systémy

▶ V praxi to znamená, že vaše infrastruktura získává každý den přístup k nejnovějším informacím o hrozbách – a může na ně reagovat dřív, než se rozšíří.


Network Security - když síť sama chrání, co přenáší