Případová studie: Soukromá linka do cloudu pro holding se třemi právními entitami a hybridní infrastrukturou

Soukromá linka do cloudu — dedikovaný privátní okruh mimo veřejný internet propojující firemní infrastrukturu přímo s cloudovými platformami — přestala být výsadou velkých korporací. New Telekom s.r.o. realizoval prostřednictvím služby CloudConnect privátní cloudové připojení pro česko-slovenský holding se třemi právními entitami, centrálou v Praze, pobočkou v Ostravě a hybridní cloudovou infrastrukturou rozloženou mezi vlastní colocační datacentrum v Praze, Microsoft Azure West Europe a AWS eu-central-1 (Frankfurt). Výsledek: jeden privátní MPLS VPN okruh obsluhující všechny tři entity, oba cloudy a obě lokality — pod jedinou smlouvou s New Telekom, s SLA 99,9 % a úsporou 44 % na celkových egress nákladech.

Co je soukromá linka do cloudu a proč na ní záleží?

Soukromá linka do cloudu je fyzicky dedikovaný datový okruh propojující firemní síť nebo datacentrum s cloudovými platformami — Microsoft Azure (ExpressRoute), AWS (Direct Connect) nebo Google Cloud (Cloud Interconnect) — bez průchodu veřejným internetem v jakémkoliv segmentu trasy. Na rozdíl od VPN tunelu přes internet nejde o šifrovanou cestu přes sdílenou infrastrukturu, ale o fyzicky vyhrazenou přenosovou kapacitu s garantovanými parametry. Pro firmy přenášející citlivá obchodní data, zákaznické informace nebo provozující produkční aplikace v cloudu přináší soukromá linka tři konkrétní výhody: konzistentní výkon bez závislosti na stavu veřejného internetu, bezpečnostní izolaci bez průchodu daty přes nekontrolované tranzitní uzly a výrazně nižší egress náklady díky preferenčním sazbám cloudových providerů pro provoz přes dedikované okruhy.

Jaký byl zákazník a co komplikovalo jeho situaci?

Zákazník — holding sdružující tři právní entity (mateřská společnost a dvě dceřiné firmy) v sektorech finančního poradenství, správy nemovitostí a IT konzultací — provozoval od každé entity separátní přístup do cloudu: tři různé Azure subskripce, dvě AWS organizace a každá entita si historicky vyřešila cloudové připojení samostatně — přes veřejný internet s komerčními VPN klienty. Výsledný stav byl provozně neudržitelný:

• Pět separátních smluv s různými poskytovateli připojení a cloudových přístupů
• Nekontrolované egress náklady — každá entita platila standardní cloudové egress sazby zvlášť, bez možnosti objemového vyjednávání
• Bezpečnostní nehomogenita — tři různé VPN klienty od tří různých dodavatelů s různou úrovní šifrování a různými auditními záznamy
• Compliance problém — dvě z entit podléhaly povinnostem dle zákona č. 264/2025 Sb. (NIS2) a potřebovaly doložit auditovatelnou přenosovou architekturu; přenos dat přes tři různé komerční VPN přes veřejný internet tuto dokumentaci neumožňoval

Zákazník hledal řešení, které konsoliduje cloudové připojení pro celý holding pod jednu technickou architekturu a jednu smlouvu — a přitom respektuje právní oddělení tří entit (žádné sdílení dat mezi entitami na síťové úrovni).

Jak New Telekom navrhl soukromou linku do cloudu pro holding?

Architektura: jeden port, tři VRF, dva cloudy

Klíčovým návrhovým rozhodnutím bylo využít MPLS VPN technologii s oddělenými VRF (Virtual Routing and Forwarding) instancemi — stejný fyzický CloudConnect okruh nese tři logicky zcela izolované privátní linky, každou pro jednu entitu holdingu. Na síťové vrstvě neexistuje žádná cesta mezi VRF instancemi — provoz entity A není viditelný ani přístupný pro entity B a C, i když sdílejí stejnou fyzickou přípojku. Praha — centrála holdingu: Primární fyzický uzel. CloudConnect okruh kapacity 2 Gbit/s zaústěn v colocačním datacentru holdingu v Praze. Z tohoto uzlu vedou tři logicky oddělené VRF instance:

• VRF-A (mateřská entita) — privátní okruh do Microsoft Azure ExpressRoute, region West Europe; kapacita 1 Gbit/s
• VRF-B (finanční poradenství) — privátní okruh do AWS Direct Connect, region eu-central-1 (Frankfurt); kapacita 500 Mbit/s
• VRF-C (správa nemovitostí) — privátní okruh do Microsoft Azure ExpressRoute, sdílený region West Europe s VRF-A, ale zcela oddělená BGP session a oddělené virtuální sítě (VNet) v Azure; kapacita 500 Mbit/s

Ostrava — pobočka holdingu: Pobočka v Ostravě je napojena na pražský uzel přes MPLS VPN okruh New Telekom a přistupuje do Azure a AWS přes CloudConnect zaústěný v Praze — bez nutnosti druhého fyzického CloudConnect přípojného bodu. Veškerý cloudový provoz z Ostravy cestuje nejprve po privátní MPLS WAN lince do Prahy a odtud přes CloudConnect do cloudu — celá trasa zůstává privátní, bez průchodu veřejným internetem.

Proč jeden port a ne tři separátní CloudConnect okruhy?

Přímočaré řešení — tři separátní CloudConnect okruhy pro tři entity — by fungovalo, ale bylo by zbytečně drahé a komplexní. VRF architektura na jednom fyzickém okruhu přináší:

• Nižší celkové náklady — jedna fyzická přípojka, jeden port, jedna smlouva
• Jednodušší správu — jeden monitoring, jedna eskalační matice, jeden kontaktní bod
• Stejnou bezpečnostní izolaci jako tři separátní okruhy — VRF na MPLS úrovni je striktní logická izolace; mezifiremní průnik na síťové vrstvě je architektonicky vyloučen
• Flexibilní přerozdělení kapacity — při nízké zátěži entity B lze dočasně zvýšit dostupnou kapacitu pro entitu A bez fyzického zásahu

Co bylo fyzicky realizováno?

Praha — colocační datacentrum

• Dedikovaný optický pár OS2 Single-Mode z distribučního uzlu New Telekom Praha do rack prostoru holdingu, délka 520 metrů, útlum 1,6 dB, ukončení LC/APC
• Juniper MX480 — páteřní router s kapacitou 960 Gbit/s, tři oddělené VRF instance, BGP session ke cloudovým přístupovým uzlům pro každou entitu zvlášť, QoS DiffServ per-VRF, IPv4/IPv6 dual-stack; fyzicky umístěn v rack prostoru holdingu
• Juniper EX4650 — core switch s 10GbE porty pro připojení serverové infrastruktury každé entity do příslušné VRF
• Fortinet FortiGate 600F — NGFW firewall; separátní bezpečnostní zóna a politika pro každou VRF entitu; IPS, aplikační kontrola, auditní logy s retencí 90 dní exportované do SIEM Microsoft Sentinel
• UPS Eaton 9PX 3000VA — záložní napájení aktivních prvků po dobu 40 minut

Ostrava — pobočka

• MPLS VPN okruh Ostrava—Praha: kapacita 500 Mbit/s symetricky, latence < 8 ms, provozovaný přes partnerskou síť New Telekom v Ostravě
• Juniper NFX250 — SD-WAN CPE v Ostravě s BGP session do pražského uzlu, QoS prioritizace aplikačního provozu, záložní LTE-A Pro spoj přes eSIM New Telekom s automatickým failover do 10 sekund
• Cisco Catalyst 9200 — přístupový přepínač pro kancelář v Ostravě

Konfigurace cloudových přístupů

Microsoft Azure ExpressRoute (VRF-A a VRF-C): dva separátní ExpressRoute Circuits v peering lokalitě Praha (CE Colo Prague) — jeden pro každou entitu — s Private Peeringem do příslušných Azure Virtual Networks a Microsoft Peeringem pro přístup k Azure PaaS službám (Azure Blob Storage, Azure SQL Database, Microsoft 365). BGP komunity nastaveny tak, aby provoz každé entity vždy preferoval ExpressRoute trasu před záložní internetovou cestou. AWS Direct Connect (VRF-B): Virtual Private Gateway napojený přes Direct Connect na AWS region eu-central-1 s aktivovaným Transit Gateway pro přístup k více VPC v rámci AWS organizace entity B. Kapacita Hosted Connection: 500 Mbit/s.

Jaké parametry linka dosahuje v provozu?

Jak se změnily egress náklady po přechodu na soukromou linku?

Před realizací platily tři entity holdingu cloudové egress sazby samostatně, každá za svůj provoz přes veřejný internet — celkový měsíční egress účet across všech entit a cloudů dosahoval přibližně 9 500 EUR měsíčně. Po přechodu na CloudConnect soukromou linku se egress náklady snížily na přibližně 5 300 EUR měsíčně — úspora 44 %. Důvody jsou dva: preferenční ExpressRoute a Direct Connect egress sazby oproti standardním internetovým sazbám a konsolidace objemu přes jeden okruh, která umožnila vyjednat lepší podmínky. Při rostoucím objemu dat — holding plánuje rozšíření cloudového prostředí v příštích dvou letech — bude absolutní úspora dále růst při stejných procentuálních sazbách.

Co soukromá linka do cloudu znamená pro NIS2 compliance holdingu?

Dvě ze tří entit holdingu jsou povinnými subjekty dle zákona č. 264/2025 Sb. — finanční poradenství (regulovaná entita pod dohledem ČNB) a IT konzultace (poskytovatel ICT služeb pro subjekty kritické infrastruktury). Obě entity musí doložit technická opatření pro bezpečnost přenosu dat dle vyhlášky č. 410/2025 Sb. Soukromá linka CloudConnect splňuje tento požadavek na architektonické úrovni: přenos dat mezi firemní infrastrukturou a cloudem neprobíhá přes veřejný internet — tento fakt lze technicky doložit výpisem BGP routovací tabulky, topologickým diagramem a potvrzením New Telekom o architektuře okruhu. Pro záznamy o zpracování osobních údajů dle čl. 30 GDPR (nařízení EU 2016/679) jde o konkrétní a auditovatelné technické opatření přenosové bezpečnosti. Separátní VRF instance pro každou entitu navíc zajišťuje, že citlivá data finanční entity (VRF-B) nemohou být přístupná ze síťové infrastruktury ostatních entit — i při sdílené fyzické přípojce. Tato izolace je dokumentovatelná a ověřitelná při bezpečnostním auditu.

Často kladené otázky k soukromé lince do cloudu

Jaký je rozdíl mezi soukromou linkou do cloudu a VPN přes internet?

VPN tunel šifruje obsah dat, ale přenáší je přes veřejný internet — přes infrastrukturu třetích stran bez garance latence, kapacity nebo přenosové cesty. Soukromá linka do cloudu (CloudConnect) je fyzicky dedikovaná trasa po síti New Telekom a páteřní infrastruktuře cloudového providera — data veřejný internet nevyužívají vůbec. Výsledkem je garantovaná propustnost, konzistentní latence a auditovatelná bezpečnostní architektura. Navíc výrazně nižší egress sazby oproti standardnímu internetovému výstupu.

Lze na jedné soukromé lince provozovat přístup do AWS i Azure současně?

Ano — a je to přesně to, co CloudConnect od New Telekom umožňuje. Z jednoho fyzického portu lze souběžně provozovat privátní okruh do Microsoft Azure ExpressRoute, AWS Direct Connect i Google Cloud Interconnect — jako logicky oddělené okruhy na jedné fyzické lince. Zákazník platí za jeden port a má přístup ke všem cloudovým prostředím, která potřebuje. Více na cloudconnect.cz.

Jak CloudConnect řeší právní oddělení více entit při sdílené fyzické přípojce?

Prostřednictvím VRF (Virtual Routing and Forwarding) instancí na MPLS úrovni — každá entita má vlastní logicky izolovanou virtuální síť v rámci fyzického okruhu. Provoz jedné entity není viditelný ani směrovatelný do VRF jiné entity; izolace je vynucena na úrovni síťové architektury, nikoliv jen konfigurací firewallu. Tato architektura je standardem pro sdílenou MPLS infrastrukturu a je auditovatelná.

Je soukromá linka do cloudu dostupná i mimo Prahu — například v Ostravě nebo Brně?

Ano. Fyzický přístupový bod CloudConnect okruhu je nejefektivnější umístit do lokality s nejbližším páteřním uzlem New Telekom — typicky Praha. Pobočky v Ostravě, Brně nebo jiných lokalitách přistupují do cloudu přes MPLS VPN okruh do centrálního uzlu a odtud přes CloudConnect — celá trasa zůstává privátní. Pro pobočky v regionech tak stačí jeden centrální CloudConnect okruh pro celou firmu.

Jak dlouho trvá zprovoznění soukromé linky do cloudu?

Samotný CloudConnect okruh lze zprovoznit za 3–5 týdnů od podpisu smlouvy pro lokality v dosahu páteřní sítě New Telekom v Praze. Konfigurace Azure ExpressRoute nebo AWS Direct Connect na straně cloudového providera probíhá paralelně a trvá typicky 1–2 týdny. Projekt popsaný v této studii — včetně tří VRF instancí, dvou cloudových přístupů a MPLS VPN okruhu do Ostravy — byl dokončen za 8 týdnů.

Závěr

Soukromá linka do cloudu prostřednictvím CloudConnect přestala být řešením výhradně pro velké korporace. Pro holding se třemi entitami, dvěma cloudovými prostředími a pobočkou v Ostravě přinesla konsolidace pod jednu privátní MPLS VPN architekturu tři měřitelné výsledky: úsporu 44 % egress nákladů, auditovatelnou bezpečnostní architekturu pro NIS2 compliance a jednotnou správu pod jedinou smlouvou místo pěti separátních vztahů. Klíčovým poznatkem projektu je, že soukromá linka do cloudu nemusí znamenat jeden okruh pro jeden cloud a jednu firmu — VRF architektura na MPLS umožňuje obsluhovat více entit a více cloudů z jednoho fyzického bodu efektivněji a bezpečněji než jakákoliv kombinace separátních řešení. Pokud vaše firma nebo holding hledá soukromou linku do cloudu, zajímá se o datové služby New Telekom nebo chce posoudit potenciální úspory na egress nákladech oproti stávajícímu internetovému přístupu do Azure nebo AWS, kontaktujte náš tým přes kontaktní stránku nebo přímo na cloudconnect.cz.

---

Případová studie byla zpracována odborným týmem New Telekom s.r.o. Technické parametry odpovídají stavu ke dni předání projektu. Odvětví zákazníka a struktura holdingu jsou uvedeny v anonymizované podobě se souhlasem zákazníka; přesná obchodní jména a adresy nejsou z obchodních důvodů zveřejňovány. Informace odpovídají technologickému stavu k květnu 2026.

Použité technologie a standardy

• CloudConnect / cloudconnect.cz — soukromá MPLS VPN linka do cloudu
• Microsoft Azure ExpressRoute — privátní okruh do Azure West Europe (VRF-A, VRF-C)
• AWS Direct Connect / Hosted Connection — privátní okruh do AWS eu-central-1 (VRF-B)
• MPLS VPN, VRF — logická izolace tří entit na sdíleném fyzickém okruhu
• Juniper MX480, EX4650, NFX250 — páteřní router, core switch, SD-WAN CPE
• Cisco Catalyst 9200 — přístupový přepínač Ostrava
• Fortinet FortiGate 600F — NGFW firewall, per-VRF bezpečnostní zóny
• Microsoft Sentinel — SIEM, auditní logy s retencí 90 dní
• BGP, MP-BGP, IPv4/IPv6 dual-stack, QoS DiffServ — síťové protokoly
• NIX.CZ — Neutral Internet eXchange Praha, přímý peering New Telekom
• Zákon č. 264/2025 Sb. (NIS2) — technická opatření přenosové bezpečnosti
• Vyhláška č. 410/2025 Sb. — bezpečnostní požadavky pro povinné subjekty
• Nařízení EU 2016/679 (GDPR) — čl. 30, záznamy o zpracování osobních údajů
• Nařízení EU 2022/2554 (DORA) — digitální provozní odolnost