Segmentace firemní sítě znamená rozdělení jedné společné sítě do několika oddělených zón (nejčastěji pomocí VLAN) tak, aby na sebe zařízení s různou mírou důvěry nemohla volně „vidět“. Pro malou firmu je to jeden z nejúčinnějších a zároveň nejlevnějších bezpečnostních kroků: když útočník napadne jednu kameru nebo notebook, segmentace mu zabrání dostat se k serveru s firemními daty. V tomto průvodci si vysvětlíme, co VLAN je, proč se vyplatí i firmě s deseti počítači a jak segmentaci naplánovat krok za krokem.

Podle dat o kybernetické bezpečnosti dnes výrazná část útoků míří právě na malé a střední firmy – útočníci spoléhají na to, že mají jednu plochou síť, kde po prvním průniku získají přístup ke všemu. Segmentace tenhle scénář láme. A dobrá zpráva je, že na ni ve většině případů stačí hardware, který už ve firmě máte.

Co je segmentace sítě a co jsou VLAN

Segmentace sítě je rozdělení počítačové sítě na menší, logicky oddělené části. Každá část (segment) sdružuje zařízení s podobnou rolí a úrovní důvěry – třeba zvlášť počítače zaměstnanců, zvlášť servery, zvlášť kamery a zvlášť Wi-Fi pro návštěvy.

VLAN (Virtual Local Area Network) je technologie, která tohle oddělení umožní na jednom fyzickém switchi a jedné kabeláži. Místo abyste pro každou zónu tahali samostatné kabely a kupovali samostatné switche, vytvoříte virtuální sítě softwarově. Každá VLAN dostane své číslo (např. VLAN 10, VLAN 20) a chová se, jako by šlo o úplně samostatnou síť.

Klíčové pravidlo zní: provoz mezi VLAN neprochází automaticky. O tom, co smí komunikovat s čím, rozhoduje router nebo firewall pomocí pravidel. Díky tomu můžete například povolit, aby počítače tiskly na síťovou tiskárnu, ale zároveň zakázat, aby se host na firemní Wi-Fi dostal k firemnímu serveru.

Proč plochá síť je riziko pro malou firmu

Většina malých firem jede na takzvané ploché síti – všechno je zapojené do jednoho routeru a jedné podsítě (typicky 192.168.1.0/24). Notebooky, server, NAS, IP kamery, tiskárny i Wi-Fi pro hosty sdílí jeden prostor a vidí na sebe navzájem.

To přináší několik konkrétních problémů:

• Boční pohyb útočníka (lateral movement) – stačí, aby se ransomware dostal do jednoho počítače přes phishing, a má volnou cestu k serveru i zálohám.
• Zranitelná IoT zařízení – levné kamery, tiskárny nebo chytré zásuvky často mívají neaktualizovaný firmware a stávají se vstupní branou.
• Hosté a soukromá zařízení – návštěva nebo zaměstnanec s napadeným mobilem se přes sdílenou Wi-Fi ocitne přímo ve firemní síti.
• Zahlcení provozem – v ploché síti se některý provoz (broadcast) šíří všem zařízením a u větší firmy zbytečně zatěžuje síť.

Segmentace všechna tato rizika omezuje tím, že každou skupinu zařízení uzavře do vlastní zóny. Následující schéma ukazuje rozdíl mezi plochou a segmentovanou sítí.

Jaké VLAN ve firmě nastavit

Návrh segmentace vychází z toho, jak moc jednotlivým zařízením důvěřujete a jak citlivá data zpracovávají. Pro typickou malou firmu se osvědčuje toto rozdělení:

• VLAN 10 – Kancelář: počítače a notebooky zaměstnanců, firemní telefony.
• VLAN 20 – Servery a data: firemní server, NAS, zálohovací úložiště – nejcitlivější zóna s nejpřísnějšími pravidly.
• VLAN 30 – Hosté: Wi-Fi pro návštěvy a externí spolupracovníky, s přístupem pouze na internet, nikoli do firmy.
• VLAN 40 – IoT a kamery: IP kamery, tiskárny, chytrá zařízení, která mají často slabé zabezpečení.
• VLAN 50 – Správa (management): přístup k administraci switchů, access pointů a firewallu – oddělený od běžného provozu.

Menší firma klidně začne se třemi zónami (kancelář, hosté, servery) a postupně přidává další. Důležitější než počet VLAN je správně nastavená pravidla mezi nimi. Návrh sítě a počet potřebných portů je dobré sladit s výběrem hardwaru – více o tom v našem průvodci jak vybrat a nastavit firemní síťový switch.

Co je potřeba k zavedení VLAN

Dobrá zpráva: na segmentaci ve většině případů nepotřebujete žádný drahý hardware navíc. Stačí, aby vaše prvky podporovaly standard 802.1Q (značkování VLAN). Konkrétně budete potřebovat:

1. Managed (řiditelný) switch – na rozdíl od levných „neřízených“ switchů umí pracovat s VLAN. Dnes je standardem i u cenově dostupných modelů.
2. Router nebo firewall s podporou VLAN – ten řídí, co smí komunikovat mezi zónami, a zajišťuje směrování.
3. Access pointy s podporou více SSID a VLAN – aby šlo oddělit firemní a hostovskou Wi-Fi. Praktické tipy najdete v článku o výběru firemního access pointu.

Mnoho malých firem už takový hardware má – třeba ekosystém UniFi, který umožní spravovat switche, access pointy i bránu z jednoho rozhraní. Pak je segmentace především otázkou správné konfigurace, ne nákupu nového vybavení. Pokud teprve řešíte základní zapojení, pomůže náš přehled o nastavení sítě a Wi-Fi.

Segmentace sítě krok za krokem

Zavedení VLAN ve fungující firmě je nejlepší naplánovat tak, aby nenarušilo provoz. Osvědčený postup vypadá takto:

1. Zmapujte zařízení. Sepište, co všechno je v síti a do jaké zóny to logicky patří. Tento krok je často součástí firemního IT auditu.
2. Navrhněte zóny a adresní plán. Každé VLAN přiřaďte číslo a rozsah IP adres (např. VLAN 10 → 10.0.10.0/24).
3. Vytvořte VLAN na switchi a přiřaďte porty – který port patří do které zóny, případně nastavte „trunk“ porty pro propojení prvků.
4. Nastavte SSID na access pointech a přiřaďte je k jednotlivým VLAN (firemní SSID → VLAN 10, hostovské → VLAN 30).
5. Definujte pravidla na firewallu. Toto je nejdůležitější krok – ve výchozím stavu zakažte veškerý provoz mezi VLAN a povolujte jen to, co je nutné (princip nejmenšího nutného přístupu).
6. Otestujte a zdokumentujte. Ověřte, že potřebná komunikace funguje a zakázaná je skutečně blokovaná. Vše zapište do IT dokumentace.

Právě poslední dva body bývají místem, kde laická konfigurace selhává – buď se zakáže příliš mnoho a přestane fungovat tisk či sdílení, nebo příliš málo a segmentace ztrácí smysl.

Segmentace jako součást Zero Trust

Segmentace sítě je základním stavebním kamenem modernějšího přístupu k bezpečnosti zvaného Zero Trust – tedy „nikomu nevěř automaticky, každý přístup ověř“. Rozdělení sítě do zón je v podstatě praktická aplikace tohoto principu na úrovni sítě. Mezinárodní institut NIST popisuje segmentaci jako jeden z pilířů architektury nulové důvěry ve své publikaci Zero Trust Architecture (NIST SP 800-207).

Také americká agentura CISA doporučuje segmentaci jako jedno z nejúčinnějších opatření proti šíření útoku – přehledně to shrnuje v materiálu Layering Network Security Through Segmentation. V českém prostředí pak doporučení k zabezpečení sítí vydává Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), jehož požadavky se navíc s nástupem regulace NIS2 týkají stále většího okruhu firem.

Chcete-li jít dál než jen k segmentaci, přečtěte si náš průvodce Zero Trust pro malé firmy, kde na segmentaci navazujeme dalšími kroky.

Nejčastější chyby při segmentaci

• Segmentace bez pravidel. Vytvořit VLAN a pak povolit veškerý provoz mezi nimi je jako postavit zdi, ale nechat všude otevřené dveře.
• Zapomenutá management VLAN. Administrace switchů a firewallu by neměla být dostupná z běžné kancelářské sítě.
• IoT a kamery v kancelářské zóně. Právě tato zařízení patří do oddělené, přísně omezené VLAN.
• Chybějící dokumentace. Bez záznamu, který port patří do které VLAN, se síť stává neudržovatelnou.

FAQ – časté dotazy k segmentaci firemní sítě

Vyplatí se VLAN i pro firmu s deseti počítači?

Ano. I malá firma typicky kombinuje citlivá data, hostovskou Wi-Fi a IoT zařízení v jedné síti. Oddělení alespoň hostů a serverů od běžných počítačů výrazně snižuje riziko a u řiditelného switche je to otázka konfigurace, ne nákladů.

Zpomalí segmentace sítě moji firemní síť?

Naopak. Segmentace zpravidla výkon zlepšuje, protože omezí šíření broadcastového provozu na celou síť. Směrování mezi VLAN řeší moderní switche a firewally rychlostí, kterou běžná kancelář nepozná.

Potřebuji kvůli VLAN kupovat nový hardware?

Většinou ne. Pokud máte řiditelný (managed) switch, router s podporou VLAN a access pointy s více SSID, stačí je správně nakonfigurovat. Nový hardware je potřeba jen tehdy, máte-li čistě neřízené prvky.

Jaký je rozdíl mezi VLAN a podsítí (subnetem)?

VLAN odděluje síť na druhé (linkové) vrstvě – rozhoduje, která zařízení spolu vůbec mohou komunikovat na úrovni switche. Podsíť je adresní rozsah na třetí (síťové) vrstvě. V praxi se obvykle používají společně: každá VLAN má svou podsíť.

Zvládnu segmentaci nastavit sám?

Základní rozdělení si zdatnější uživatel nastaví podle návodu výrobce. Citlivé je ale nastavení firewallových pravidel mezi zónami – tam se vyplatí konzultace s IT specialistou, aby segmentace skutečně chránila a zároveň nic nerozbila.

Závěr: bezpečnější síť bez velké investice

Segmentace firemní sítě pomocí VLAN patří k opatřením s nejlepším poměrem přínosu a nákladů. Rozdělení sítě do bezpečných zón omezí škody při napadení, ochrání citlivá data, zkrotí zranitelná IoT zařízení a zároveň zpřehlední provoz. Ve většině malých firem stačí k jejímu zavedení hardware, který už máte – klíčem je správný návrh a nastavení pravidel.

Nevíte, jak je na tom vaše síť a kde má slabiny? Nabízíme bezplatný IT audit, při kterém zmapujeme vaši infrastrukturu a navrhneme konkrétní plán segmentace na míru. Podívejte se na naši správu firemního IT nebo nás rovnou kontaktujte – jako certifikovaní technici UniFi vám síť navrhneme tak, aby byla bezpečná i připravená na růst.

Autor: tým IT Doma – profesionální správa firemního IT v Praze a okolí.