Hodnotenie bezpečnosti infraštruktúry v cloude a on-premise

Hodnotenie bezpečnosti infraštruktúry v cloude a on-premise

Hodnotenie bezpečnosti infraštruktúry, či už cloudovej alebo on-premise, je dôležitou súčasťou strategického riadenia kybernetických rizík. Hoci cloudové prostredia prinášajú dynamiku, škálovateľnosť a modely zdieľanej zodpovednosti, on-premise infraštruktúra zostáva častým cieľom pokročilých útokov. Overovanie bezpečnosti týchto prostredí pomáha chrániť kritické aktíva, služby a dáta vašej organizácie.

Výhody cloudového a on-premise bezpečnostného testovania

  • Identifikácia slabiny v konfigurácii, prístupových právach a segmentácii siete.
  • Overenie, či sú bezpečnostné politiky, firewally a IAM model správne nastavené.
  • Detekcia nesprávne nastavených služieb, prístupových tokenov alebo tieňového IT.
  • Testovanie spojenia medzi cloudom a on-premise (napr. hybridné VPN, SSO, AD Sync).
  • Overenie súladu s DORA a podpora požiadaviek na ochranu údajov podľa NIS2 alebo GDPR.

Hlavné ciele hodnotenia bezpečnosti infraštruktúry

  • Overenie správnych nastavení identity a kontroly prístupu (IAM).
  • Preskúmanie posilňovania a segmentácie sieťovej architektúry.
  • Identifikácia vystavených služieb a rozhrania (napr. verejná IP, porty, API).
  • Simulácia reálnych hrozieb a útokov v scenároch červeného tímu.
  • Vyhodnotenie bezpečnostného parametra v zdieľanej zodpovednosti (cloudové modely).

Typické zraniteľnosti a rozdiely medzi cloudovým a on-premise prostredím

Zraniteľnosť / útok Typ prostredia Kategórie Popis
Príliš privilegované IAM pozície Cloud Identita (IAM) Účet má prístup k službám mimo svojej úlohy
Public S3 buckets / Azure Blob Cloud Konfigurácia Únik dát cez verejne prístupné objekty
Predvolené prihlasovacie údaje na hypervízore On-Premise Konfigurácia, procesy Pôvodné heslá na serveroch alebo virtuálnych strojoch zostávajú nezmenené
Nezabezpečená expozícia VPN/RDP Cloud a on-premise Zraniteľnosť siete Prístup z internetu bez MFA alebo bez segmentácie
Nesprávne nastavené logovanie a varovania Cloud a on-premise Konfigurácia Rozbitý alebo nesprávne nastavený auditný log alebo SIEM


Aké požiadavky stanovuje DORA v súvislosti s hodnotením bezpečnosti infraštruktúry?

DORA vyžaduje testovací program riadený rizikom pre ICT systémy podporujúce kritické alebo obchodné funkcie, bez ohľadu na to, či bežia v cloude, on-premise alebo hybridne.

DORA tiež požaduje:

  • Hodnotenie konfigurácií a bezpečnostných kontrol vo všetkých používaných cloudových službách (IaaS, PaaS, SaaS).
  • Zapojenie kvalifikovaných a nezávislých testovacích tímov.
  • Zhodnotenie technických a organizačných slabín a zabezpečenie dodržiavania predpisov.
  • Dokumentácia zistení, návrhy nápravných opatrení a ich overenie.
  • Hodnotenie tiež s tretími stranami (napr. cloudovými poskytovateľmi, outsourcingom).


Aké sú požiadavky na testovacie tímy?

  • Skúsenosti s hybridnými architektúrami (Azure, AWS, GCP a tradičné on-prem).
  • Schopnosť identifikovať riziká na úrovni siete, správy identity, šifrovania a aplikácií. DORA neukladá konkrétne certifikácie, ale vyžaduje príslušné odborné znalosti tímu.
  • Znalosť regulačných očakávaní a požiadaviek auditu.
  • Nezávislosť – testovací tím (interný alebo externý) nesmie mať konflikt záujmov s prevádzkovými a vývojovými tímami.

Prečo spolupracovať s BDO?

BDO poskytuje komplexné bezpečnostné hodnotenia pre cloudové a on-premise infraštruktúry v súlade s regulačnými požiadavkami a podľa overených rámcov (napr. CIS Benchmarks, NIST CSF, ISO 27001). Naše testy pomáhajú organizáciám identifikovať zraniteľnosti, posúdiť odolnosť a pripraviť sa na audity.

  • Technická odbornosť a skúsenosti

BDO má odborné tímy, ktoré testujú infraštruktúru popredných bánk, poisťovní, priemyselných spoločností a digitálnych platforiem. Vykonávame testy prístupových politík, hraníc sietí, segmentácie, šifrovania dát a detekčných mechanizmov v prostrediach ako Microsoft Azure, AWS, GCP a VMware.

  • Znalosť regulačného rámca

Podrobne poznáme požiadavky DORA, NIS2 a GDPR a vieme prispôsobiť bezpečnostné hodnotenie očakávaniam dozorných orgánov (napr. CNB, ECB, CNIL). Pomáhame organizáciám integrovať výsledky testov do ich stratégie kybernetickej odolnosti.

  • Certifikovaný tím s odbornými skúsenosťami

Náš tím tvoria certifikovaní experti so skúsenosťami v oblasti infraštruktúry a cloudových prostredí. Máme uznávané certifikáty ako OSCP, CRTP, CEH, CCISO, CompTIA PenTest+ a CREST CPSA, ktoré potvrdzujú technickú spôsobilosť pre pokročilé bezpečnostné audity infraštruktúry.

OSCP eCPPT RedTest PenTest CEH CREST CISO CISSP

Hlavné kontaktné osoby

Martin Hořický
Martin Hořický
Partner • Digital Services
i View bio
Marek Kovalčík
Chief Information Security Officer • Digital Services
i View bio