Hodnocení bezpečnosti cloud a on-premise infrastruktury

cloud

Security assessment infrastruktury, ať už cloudové nebo on-premise, představuje významnou součást strategického řízení kybernetických rizik. Zatímco cloudová prostředí přinášejí dynamiku, škálovatelnost a modely sdílené odpovědnosti, on-premise infrastruktura zůstává častým cílem pokročilých útoků. Ověření zabezpečení těchto prostředí pomáhá chránit důležitá aktiva, služby i data organizace.

Přínosy bezpečnostního testování Cloud a On-Premise prostředí

  • Identifikace slabin v konfiguraci, přístupových právech a síťové segmentaci.
  • Ověření správného nastavení bezpečnostních politik, firewallů a IAM modelu.
  • Detekce nesprávně nakonfigurovaných služeb, přístupových tokenů nebo shadow IT.
  • Testování propojení mezi cloudem a onpremise (např. hybridní VPN, SSO, AD Sync).
  • Validace souladu s DORA a podpora požadavků NIS2 či GDPR na ochranu dat.

Hlavní cíle security assessmentu infrastruktury

  • Ověřit správné nastavení řízení identit a přístupů (IAM).
  • Prověřit hardening a segmentaci síťové architektury.
  • Identifikovat exponované služby a rozhraní (např. veřejné IP, porty, API).
  • Simulovat reálné hrozby a útoky v rámci red-team scénářů.
  • Zhodnotit bezpečnostní parametry ve sdílené odpovědnosti (cloud modely).

Typické zranitelnosti a rozdíly mezi Cloud a On-Premise prostředím

Zranitelnost/útok Typ prostředí Kategorie Popis
Nadměrně privilegované role IAM Cloud Identity (IAM) Účet má přístup ke službám mimo svou roli
Veřejné S3 buckety / Azure Blob Cloud Konfigurace Únik dat přes veřejně dostupné objekty
Výchozí přihlašovací údaje na hypervisoru On-Premise Konfigurace, procesy Původní hesla nezměněná na serverech nebo VM
Nezabezpečená VPN / RDP expozice Cloud a on-premise Síťová zranitelnost Přístup z internetu bez MFA nebo bez segmentace
Nesprávně nakonfigurované protokolování a upozornění Cloud a on-premise Konfigurace Nefunkční nebo chybně nastavený audit log nebo SIEM

Jaké jsou požadavky na testovací týmy?

  • Zkušenosti s hybridními architekturami (Azure, AWS, GCP i tradiční on-prem)
  • Schopnost identifikovat rizika na úrovni sítí, správy identit, šifrování a aplikací
  • DORA neukládá konkrétní certifikace, ale vyžaduje odpovídající odbornost týmu
  • Znalost regulatorních očekávání a auditních požadavků
  • Nezávislost – testovací tým (interní či externí) nesmí být v konfliktu zájmů s provozními a vývojovými týmy

Jaké požadavky stanovuje DORA v souvislosti s hodnocením bezpečnosti infrastruktury?

DORA vyžaduje rizikově řízený program testů ICT systémů podporujících kritické nebo důležité obchodní funkce, bez ohledu na to, zda běží v cloudu, on-premise či hybridně.
DORA dále požaduje:

01

Vyhodnocování konfigurací a bezpečnostních kontrol ve všech používaných cloudových službách (IaaS, PaaS, SaaS).

02

Zapojení kvalifikovaných a nezávislých testovacích týmů.

03

Posouzení technických i organizačních slabin a zajištění souladu s požadavky.

04

Dokumentaci zjištění, návrh nápravných opatření a jejich ověření.

05

Hodnocení i u třetích stran (např. cloudových poskytovatelů, outsourcingu).

Proč spolupracovat s BDO?

BDO poskytuje komplexní bezpečnostní hodnocení pro cloudové i on-premise infrastruktury v souladu s regulačními požadavky a podle osvědčených rámců (např. CIS Benchmarks, NIST CSF, ISO 27001). Naše testy pomáhají organizacím identifikovat zranitelnosti, zhodnotit odolnost a připravit se na audity

01 Technická odbornost a zkušenosti

BDO má expertní týmy, které testují infrastrukturu předních bank, pojišťoven, průmyslových podniků i digitálních platforem. Provádíme testy přístupových politik, síťových hranic, segmentace, šifrování dat i detekčních mechanismů v prostředích jako Microsoft Azure, AWS, GCP i VMware.

02  Znalost regulatorního rámce

Detailně známe požadavky DORA, NIS2 i GDPR a dokážeme bezpečnostní zhodnocení přizpůsobit očekáváním dozorových orgánů (např. ČNB, ECB, CNIL). Pomáháme organizacím integrovat výsledky testů do strategie kybernetické odolnosti.

03  Nezávislost a důvěryhodnost

Jako nezávislá poradenská firma nejsme vázáni na žádného technologického dodavatele. Poskytujeme objektivní pohled na bezpečnost infrastruktury a jsme důvěryhodným partnerem jak pro klienty, tak pro regulátory. Výsledky naší práce podporují rozhodování na úrovni představenstva i provozního řízení.

04  Certifikovaný tým s expertní praxí

Náš tým tvoří certifikovaní odborníci s praxí v oblasti infrastruktury a cloudových prostředí. Disponujeme uznávanými certifikacemi jako OSCP, CRTP, CEH, CCISO, CompTIA PenTest+ a CREST CPSA, které potvrzují technickou způsobilost pro pokročilé bezpečnostní audity infrastruktury.

Hlavní kontaktní osoby

Martin Hořický

Martin Hořický

Partner • Digital Services
View bio
kovalcik

Marek Kovalčík

Chief Information Security Officer • Digital Services
View bio