pfn-header-logo
pfn-logo-white

CASE STUDY

Worktrips logo

Transformacja infrastruktury Zero Trust i zarządzanie bezpieczeństwem

Od w pełni otwartej architektury domyślnie publicznej do środowiska Zero Trust, domyślnie prywatnego – z pełną kontrolą sieci, zarządzanym CI/CD i zarządzaniem sekretami klasy enterprise dla WorkTrips.

Klient:

WorkTrips

Branża:

Zarządzanie podróżami służbowymi / Platforma SaaS

Główne usługi:

Architektura Zero Trust, Bezpieczeństwo sieci, AKS Hardening, Zarządzanie sekretami, CI/CD Governance, DevSecOps

Architektura:

Hub & Spoke, Domyślnie prywatna, Azure Kubernetes Service, Function Apps, Web Apps

Streszczenie wykonawcze

WorkTrips to platforma SaaS wspierająca zarządzanie podróżami służbowymi i mobilnością pracowników. Działając w środowisku B2B przetwarzającym wrażliwe dane korporacyjne, platforma musi spełniać rygorystyczne wymagania bezpieczeństwa i zgodności narzucone przez klientów enterprise.

Istniejąca infrastruktura była zbudowana na otwartym modelu domyślnie publicznym, który stworzył znaczącą ekspozycję bezpieczeństwa: publiczne endpointy FQDN, brak segmentacji sieci, nieograniczony dostęp do płaszczyzny sterowania AKS, niezarządzane sekrety i brak formalnego zarządzania CI/CD. Ta architektura była niekompatybilna z wymaganiami audytu bezpieczeństwa klientów enterprise i reprezentowała szeroką, słabo kontrolowaną powierzchnię ataku.

Professnet przeprowadził kompleksową transformację całego środowiska do modelu Zero Trust, domyślnie prywatnego. Zaangażowanie obejmowało każdą warstwę stacku: architekturę sieciową (Hub & Spoke, Azure Firewall), wzmocnienie płaszczyzny sterowania AKS, bezpieczeństwo aplikacji (WAF, DDoS), scentralizowane zarządzanie sekretami z pełnym audytem dostępu, zarządzanie CI/CD oraz wzmocnienie na poziomie OS do standardów CIS/NIST. Wynikiem jest środowisko bezpieczne architektonicznie z założenia, w pełni audytowalne i gotowe do spełnienia wymagań zgodności enterprise.

%

Wyeliminowanych publicznych endpointów

+

Przekształconych domen bezpieczeństwa

Wdrożone izolowane środowiska

Wdrożonych i skonfigurowanych technologi

Wyzwanie: otwarta architektura niekompatybilna z wymaganiami bezpieczeństwa enterprise

WorkTrips działał w modelu infrastruktury, który priorytetyzował szybkość rozwoju nad kontrolami bezpieczeństwa. Choć podejście to wspierało szybki wzrost we wczesnych etapach, stworzyło strukturalne ryzyka, które stały się coraz trudniejsze do zaakceptowania, gdy platforma zaczęła obsługiwać większych klientów enterprise z formalnymi wymaganiami audytu bezpieczeństwa. Wyzwania miały charakter systemowy i wzajemnie powiązany.

arrow-big-white

01

Szeroka powierzchnia ataku z powodu publicznej ekspozycji

Środowisko opierało się na publicznie dostępnych endpointach FQDN bez segmentacji sieci i bez scentralizowanej inspekcji ruchu. Każda usługa była bezpośrednio osiągalna z internetu, bez kontroli nad przepływami ruchu przychodzącego i wychodzącego.
arrow-big-white

02

Niechroniona płaszczyzna sterowania AKS

Płaszczyzna sterowania Kubernetes (API Server) była publicznie dostępna, co oznaczało, że można było do niej dotrzeć z dowolnej sieci bez VPN lub prywatnej łączności. Stworzyło to krytyczny punkt ekspozycji dla całego obciążenia kontenerowego, w tym operacji administracyjnych i pipelineów wdrożeniowych.
arrow-big-white

03

Niezarządzane sekrety i rozproszony dostęp

Sekrety, klucze API i dane uwierzytelniające były zarządzane bez scentralizowanego rozwiązania. Nie istniał systematyczny rejestr tożsamości mających dostęp do poszczególnych sekretów, brak polityki rotacji i brak śladu audytu – co uniemożliwiało ocenę zasięgu potencjalnego naruszenia danych uwierzytelniających.
arrow-big-white

04

Brak zarządzania CI/CD i kontroli audytu

Pipeliney wdrożeniowe nie posiadały formalnych procesów zatwierdzania, separacji ról ani ograniczeń dostępu. Każdy autoryzowany deweloper mógł wyzwolić wdrożenie w środowiskach produkcyjnych, bez mechanizmu kontroli zmian i bez śladu audytu dotyczącego tego, co zostało wdrożone, przez kogo i kiedy.

Rozwiązanie: kompleksowa transformacja Zero Trust

Professnet zaprojektował i wdrożył kompletną przebudowę architektury, przenosząc środowisko WorkTrips z modelu domyślnie publicznego do architektury Zero Trust, domyślnie prywatnej. Transformacja została przeprowadzona w ramach sześciu odrębnych workstreams, z których każdy obejmował konkretną warstwę luki w bezpieczeństwie i governance.

Umów konsultację technologiczną

01 Faza

Faza 01

Architektura sieci Zero Trust: domyślnie prywatna

Eliminacja wszystkich publicznych endpointów i wymuszenie prywatnej łączności jako podstawy.
  • Pełny audyt istniejących publicznie eksponowanych zasobów, endpointów i ścieżek komunikacyjnych.
  • Eliminacja wszystkich publicznych endpointów FQDN w całym środowisku.
  • Wdrożenie Azure Private Endpoints dla wszystkich usług platformy (storage, bazy danych, rejestry, Key Vault).
  • Konfiguracja prywatnych stref DNS w celu zapewnienia prawidłowego rozwiązywania nazw dla prywatnej łączności.
  • Ograniczenie dostępu do wszystkich usług wyłącznie do autoryzowanych, prywatnych ścieżek komunikacyjnych.
  • Znaczna redukcja zewnętrznej powierzchni ataku w całej platformie.

02 Faza

Faza 02

Architektura sieci Hub & Spoke i Azure Firewall

Scentralizowana kontrola ruchu i pełna izolacja środowisk w TEST, PREP i PROD.
  • Projektowanie i wdrożenie topologii VNet Hub & Spoke jako podstawowego modelu sieciowego.
  • Podział środowisk na izolowane "Spoke": TEST, PREP i PROD, z niezależnymi granicami sieciowymi.
  • Wdrożenie Azure Firewall Premium jako centralnego punktu inspekcji i filtrowania wszystkich przepływów ruchu.
  • Konfiguracja polityk bezpieczeństwa sieci: reguły aplikacji, reguły sieciowe i filtrowanie FQDN.
  • Implementacja tras zdefiniowanych przez użytkownika (UDR) i konfiguracji następnego skoku w celu wymuszenia routingu ruchu przez zaporę.
  • Pełna kontrola ruchu wychodzącego: całość komunikacji wychodzącej jest inspekcjonowana i zarządzana.
  • Scentralizowane rejestrowanie całego ruchu do celów audytu i wykrywania zagrożeń.

03 Faza

Faza 03

Wzmocnienie płaszczyzny sterowania AKS

Ograniczenie dostępu do serwera API Kubernetes wyłącznie do zaufanych, prywatnych kanałów.
  • Konwersja klastra AKS do trybu prywatnego, wyłączając publiczny dostęp do płaszczyzny sterowania Kubernetes (API Server).
  • Konfiguracja dostępu opartego na VPN jako wyłącznej ścieżki dla całej łączności administracyjnej i pipelineów do klastra.
  • Integracja prywatnego klastra AKS z topologią sieciową Hub & Spoke.
  • Implementacja ograniczeń autoryzowanych zakresów IP jako dodatkowej warstwy kontroli dostępu.
  • Ograniczenie dostępu administracyjnego do klastra przy użyciu kontroli opartej na rolach i zasad najmniejszych uprawnień.
  • Walidacja całej łączności pipeline'ów wdrożeniowych wyłącznie przez prywatne endpointy.

04 Faza

Faza 04

Bezpieczeństwo warstwy aplikacji: WAF i ochrona przed DDoS

Ochrona warstwy aplikacji przed zagrożeniami internetowymi i atakami wolumetrycznymi.
  • Wdrożenie Azure Application Gateway z Web Application Firewall (WAF) w trybie prewencyjnym.
  • Konfiguracja zestawu reguł OWASP Core Rule Set (CRS) w celu ochrony przed powszechnymi podatnościami aplikacji webowych.
  • Implementacja niestandardowych reguł WAF dostosowanych do wzorców ruchu aplikacji WorkTrips.
  • Włączenie Azure DDoS Protection w celu obrony przed atakami wolumetrycznymi i protokołowymi.
  • Scentralizowanie całego ruchu przychodzącego HTTP/HTTPS przez Application Gateway.
  • Terminacja SSL/TLS i zarządzanie certyfikatami na poziomie bramy.

05 Faza

Faza 05

Zarządzanie sekretami: Azure Key Vault i inwentarz dostępu

Scentralizowane, audytowalne zarządzanie sekretami z pełnym inwentarzem tożsamości mających dostęp do poszczególnych sekretów.
  • Migracja wszystkich sekretów, kluczy API, ciągów połączeń i certyfikatów do Azure Key Vault.
  • Konfiguracja polityk dostępu i Azure RBAC w celu wymuszenia dostępu z najmniejszymi uprawnieniami do zasobów Key Vault.
  • Implementacja automatycznej rotacji sekretów i polityk rotacji kluczy w celu zmniejszenia okna ekspozycji.
  • Pełny inwentarz i dokumentacja dostępu do sekretów: dla każdego sekretu ustanowiono rejestr identyfikujący tożsamości, jednostki usług i aplikacje posiadające uprawnienia dostępu.
  • Ten rejestr dostępu zapewnia natychmiastową widoczność zasięgu potencjalnego naruszenia danych uwierzytelniających i stanowi operacyjną podstawę bieżącego zarządzania sekretami.
  • Integracja odniesień do Key Vault w konfiguracji aplikacji, eliminując zakodowane na stałe dane uwierzytelniające z kodu i definicji pipelineów.
  • Włączenie diagnostycznego rejestrowania Key Vault dla kompletnego śladu audytu wszystkich zdarzeń dostępu do sekretów.

06 Faza

Faza 06

Zarządzanie CI/CD, separacja obowiązków i utwardzanie OS

Kontrolowane wdrożenia, formalna separacja ról i bazowy poziom bezpieczeństwa na poziomie OS.
  • Implementacja obowiązkowego przepływu zatwierdzania w pipelineach CI/CD Jenkins i GitLab dla wdrożeń produkcyjnych.
  • Ograniczenie uprawnień wykonywania pipelineów: tylko wyznaczone role mogą wyzwalać wdrożenia do środowisk PREP i PROD.
  • Separacja obowiązków (SoD): formalna separacja ról deweloperskich, operacyjnych i administracji produkcyjnej.
  • Eliminacja stałego dostępu administracyjnego do środowisk produkcyjnych; dostęp przyznawany na zasadzie „just-in-time".
  • Egzekwowanie zasady najmniejszych uprawnień we wszystkich rolach IAM i tożsamościach usług.
  • Redukcja nadmiarowych uprawnień: kompleksowy przegląd i czyszczenie nadmiarowych przypisań ról we wszystkich środowiskach.
  • Utwardzanie OS na poziomie wszystkich hostów Linux (Ubuntu): konfiguracja SSH, lokalne reguły zapory sieciowej, kontrola kont użytkowników.
  • Ograniczenie otwartych portów i uruchomionych usług do operacyjnego minimum.
  • Zastosowanie wzorców CIS Benchmark i standardów bezpieczeństwa NIST jako punktu odniesienia.
  • Implementacja scentralizowanego rejestrowania zdarzeń i śladu audytu dla wszystkich działań administracyjnych.
  • Wzmocnienie baz danych i systemu plików zgodnie z wymaganiami bazowego poziomu bezpieczeństwa.

Ekspert Professnet ds. projektu

Najbardziej niebezpiecznym momentem w cyklu życia platformy SaaS jest przejście ze startupu do enterprise. Architektura, która dobrze służyła podczas szybkiego wzrostu, może stać się Twoim największym zobowiązaniem w momencie, gdy klienci enterprise zaczną pytać o Twoją postawę bezpieczeństwa. W przypadku WorkTrips nie łataliśmy pojedynczych podatności. Odbudowaliśmy cały model zaufania, zaczynając od warstwy sieciowej, a kończąc na tym, kto może wdrażać co i kto wie, który sekret istnieje gdzie.

Łukasz Tabaczek

CEO & Founder @ Professnet

pfn-logo-white

Kluczowe wyniki i wpływ biznesowy

Transformacja przyniosła mierzalne ulepszenia w zakresie postawy bezpieczeństwa, zarządzania operacyjnego i gotowości do zgodności enterprise.

Osiągnięta architektura Zero Trust

Całkowite przejście z modelu domyślnie publicznego do środowiska Zero Trust, domyślnie prywatnego. Wszystkie publiczne endpointy wyeliminowane i zastąpione prywatną łącznością.

Zarządzane CI/CD i separacja ról

Pipeliney wdrożeniowe wymuszają teraz obowiązkowe zatwierdzenia i kontrolę dostępu opartą na rolach. Pełny ślad audytu wszystkich zmian produkcyjnych, z separacją obowiązków stosowaną w zespołach deweloperskich i operacyjnych.

Pełna kontrola ruchu sieciowego

Cały ruch przychodzący i wychodzący jest kierowany przez Azure Firewall Premium, zapewniając pełną widoczność, inspekcję i egzekwowanie polityk komunikacyjnych we wszystkich środowiskach.

Gotowość do audytu zgodności enterprise

Środowisko spełnia wymagania audytu bezpieczeństwa klientów enterprise. Dostęp do sekretów jest w pełni zinwentaryzowany, zarządzany zasadą najmniejszych uprawnień, a wszystkie działania administracyjne są rejestrowane.

Wartość niemierzalna

Poza mierzalnymi wynikami bezpieczeństwa, transformacja przyniosła strategiczne korzyści, które bezpośrednio wpływają na trajektorię komercyjną i organizacyjną WorkTrips.
arrow-big-white

Gotowość na rynek enterprise

Zdolność do przejścia audytów bezpieczeństwa enterprise jest bezpośrednim czynnikiem komercyjnym. Klienci z formalnymi procesami zakupowymi i przeglądu bezpieczeństwa mogą teraz postępować bez konieczności stosowania kompensacyjnych kontroli lub wyjątków bezpieczeństwa.
arrow-big-white

Zmniejszony zasięg incydentu

Segmentacja sieci, prywatne punkty końcowe i inwentarz dostępu do sekretów oznaczają, że naruszenie jednego środowiska lub danych uwierzytelniających nie może swobodnie się rozprzestrzeniać. Architektura ogranicza ruch boczny z założenia.
arrow-big-white

Zarządzanie jako fundament wzrostu

Wdrożone kontrole, dokumentacja i model dostępu zapewniają ustrukturyzowany fundament dla przyszłych wymagań zgodności, takich jak ISO 27001, SOC 2 lub NIS2, bez konieczności przeprowadzania kolejnej przebudowy architektury.

Przed i po

Transformacja przyniosła fundamentalną zmianę we wszystkich wymiarach architektury bezpieczeństwa. Poniższa tabela podsumowuje kluczowe zmiany.

PRZED

PO

Publiczne endpointy FQDN eksponowane we wszystkich usługach
Wszystkie endpointy prywatne; brak publicznej ekspozycji domyślnie
Brak segmentacji sieci; płaskie środowisko
Architektura Hub & Spoke z izolowanymi "Spoke" TEST / PREP / PROD
Brak scentralizowanej inspekcji ruchu ani kontroli ruchu wychodzącego
Azure Firewall Premium jako jedyny punkt inspekcji i egzekwowania
Płaszczyzna sterowania AKS (API Server) publicznie dostępna
Płaszczyzna sterowania AKS dostępna tylko przez VPN i prywatne endpointy
Sekrety i dane uwierzytelniające zarządzane bez centralnego rozwiązania
Wszystkie sekrety scentralizowane w Azure Key Vault z politykami rotacji
Brak inwentarza tożsamości mających dostęp do sekretów
Pełny rejestr dostępu: każdy sekret zmapowany do autoryzowanych tożsamości i aplikacji
Pipeliney CI/CD bez procesu zatwierdzania ani kontroli dostępu
Obowiązkowe zatwierdzenia, ograniczone uprawnienia pipelineów, pełny ślad audytu wdrożeń
Brak separacji obowiązków; stały dostęp do produkcji
Formalny model SoD; dostęp do produkcji z najmniejszymi uprawnieniami i just-in-time
Brak bazowego poziomu utwardzania OS; otwarte porty i domyślne konfiguracje
Zastosowane wzmocnienie CIS/NIST; minimalna powierzchnia ataku na poziomie hosta

Technologie i rozwiązania

Następujące usługi Azure, narzędzia i standardy zostały wdrożone i skonfigurowane w ramach transformacji Zero Trust:

Azure Virtual Network (Hub & Spoke)

Podstawowa topologia sieciowa zapewniająca izolację środowisk w TEST, PREP i PROD oraz scentralizowany routing ruchu.

Azure Firewall Premium

Scentralizowana inspekcja i filtrowanie ruchu: reguły aplikacji, reguły sieciowe, filtrowanie FQDN, kontrola ruchu wychodzącego i pełne rejestrowanie.

Azure Private Endpoints

Prywatna łączność dla wszystkich usług platformy, eliminująca publiczną ekspozycję i wiążąca dostęp do usług z siecią prywatną.

Azure Kubernetes Service (AKS)

Konfiguracja prywatnego klastra z dostępem do płaszczyzny sterowania ograniczonym do VPN i prywatnych endpointów; zintegrowany z topologią Hub & Spoke.

Azure Function Apps / Web Apps

Warstwa obliczeniowa aplikacji zintegrowana z prywatną siecią, VNet injection i referencjami Key Vault do bezpiecznego zarządzania konfiguracją.

Application Gateway (WAF)

Web Application Firewall w trybie prewencyjnym: OWASP CRS, niestandardowe reguły, terminacja SSL i scentralizowane wejście dla całego ruchu HTTP/HTTPS.

Azure DDoS Protection

Ochrona przed wolumetrycznymi i protokołowymi atakami denial-of-service na obwodzie sieci.

Azure Key Vault

Scentralizowane zarządzanie sekretami, kluczami i certyfikatami z kontrolą dostępu opartą na RBAC, politykami rotacji, diagnostycznym rejestrowaniem i pełnym inwentarzem dostępu do sekretów.

Jenkins / GitLab CI/CD

Zarządzanie pipelineem wdrożeniowym: przepływy zatwierdzania, uprawnienia wykonywania oparte na rolach, rejestrowanie audytu i kontrole dostępu specyficzne dla środowiska.

Linux (Ubuntu)

OS hosta wzmocniony do standardów CIS Benchmark: konfiguracja SSH, lokalna zapora sieciowa, kontrola kont użytkowników i minimalny ślad usług.

CIS Benchmarks / NIST

Standardy wzmocnienia bezpieczeństwa stosowane jako punkt odniesienia dla konfiguracji OS, kontroli dostępu i wymagań rejestrowania audytu.

Azure Private DNS Zones

Rozwiązywanie nazw dla prywatnych endpointów w topologii Hub & Spoke, zapewniające prawidłowy routing DNS bez publicznego dostępu.

Czy Twoje środowisko chmurowe jest gotowe na kontrolę bezpieczeństwa na poziomie korporacyjnym?

Jeśli Twoja platforma musi przejść z otwartej architektury do modelu Zero Trust, możemy pomóc Ci zaprojektować i przeprowadzić transformację bez zakłócania Twoich operacji.

Umów konsultację technologiczną

Zawsze chętnie porozmawiamy

Skontaktuj się z nami w sprawie projektu, konsultacji lub innych możliwości współpracy.

portrait Lukasz Tabaczek 2

Lukasz Tabaczek

CEO
professnet@professnet.pl
+48 516 524 227
Umów spotkanie
pfn-logo-white
Elektronowa 2d (4 piętro)
03-219 Warszawa
P O L S K A
VAT ID: PL 5242 793 610
image/svg+xml

CHMURA I INFRASTRUKTURA:

Migracja i repatriacja Azure Landing Zone Bezpieczna łączność Intune i zarządzanie urządzeniami

APLIKACJE, DANE I AI:

App Modernization Factory Serverless i architektura zdarzeniowa Azure DevOps i IaC Private RAG (GenAI)

BEZPIECZEŃSTWO I ZGODNOŚĆ:

Managed SOC Tożsamość i Entra ID DevSecOps (SSDLC) Doradztwo w zakresie bezpieczeństwa

USŁUGI ZARZĄDZANia:

Managed Infrastructure Services Co-Managed Azure Managed compute (VM) Cykl życia danych i archiwizacja

Audyty:

Azure 3D Assessment Audyt cyberbezpieczeństwa Ocena modernizacji aplikacji Ocena gotowości na AI Ocena kondycji AKS

Mapa strony:

Case studies Blog O nas Kariera Kontakt
© 2026 Professnet. All rights reserved.
Privacy policy