GlobalSign şirkəti , şirkətlər ilk növbədə açıq açar infrastrukturundan (PKI) necə və nə üçün istifadə edirlər. Sorğuda təxminən 750 nəfər iştirak edib: onlara rəqəmsal imzalar və DevOps ilə bağlı suallar da verilib.
Əgər bu terminlə tanış deyilsinizsə, PKI sistemlərə məlumatların təhlükəsiz şəkildə mübadiləsinə və sertifikat sahiblərini yoxlamağa imkan verir. rəqəmsal sertifikatların və şifrələmə üçün açıq açarların autentifikasiyası və verilənlərin həqiqiliyinin kriptoqrafik yoxlanılması daxildir. İstənilən həssas məlumat PKI sisteminə əsaslanır və GlobalSign bu cür sistemlərin dünyanın aparıcı təchizatçılarından biri hesab olunur.
Beləliklə, araşdırmanın bir neçə əsas tapıntısına nəzər salaq.
Şifrələnmiş nədir?
Ümumilikdə şirkətlərin 61,76%-i bu və ya digər formada PKI-dən istifadə edir.
Tədqiqatçıları maraqlandıran əsas suallardan biri respondentlərin hansı xüsusi şifrələmə sistemlərindən və rəqəmsal sertifikatlardan istifadə etməsi idi. Təəccüblü deyil ki, təxminən 75% ictimai sertifikatlardan istifadə edir , və təxminən 50% özəl SSL və TLS-dən istifadə edir. Bu, müasir kriptoqrafiyanın ən populyar tətbiqidir - şəbəkə trafikinin şifrələnməsi.
Bu sual PKI sistemlərindən istifadə ilə bağlı əvvəlki suallara bəli cavabını verən şirkətlərə verildi və bu, çoxsaylı cavab variantlarına imkan verdi.
İştirakçıların üçdə biri (30%) rəqəmsal imza üçün sertifikatlardan istifadə etdiklərini, elektron poçtun təhlükəsizliyini təmin etmək üçün isə bir qədər az PKI-yə güvəndiklərini söylədi (). S/MIME rəqəmsal imzalanmış şifrəli mesajların göndərilməsi üçün geniş istifadə olunan protokol və istifadəçiləri fişinq fırıldaqlarından qorumaq üçün bir üsuldur. Artan fişinq hücumları ilə bunun nə üçün müəssisə təhlükəsizliyi üçün getdikcə daha populyar bir həll olduğu aydındır.
Biz həmçinin şirkətlərin niyə PKI əsaslı texnologiyaları seçdiklərini də nəzərdən keçirdik. 30%-dən çoxu Əşyaların İnternetinin miqyasını göstərdi (), və 26% PKI-nin geniş sənaye sahələrinə tətbiq oluna biləcəyinə inanır. Respondentlərin 35%-i məlumatların bütövlüyünü təmin etmək üçün PKI-ni qiymətləndirdiklərini qeyd edib.
Ümumi icra problemləri
PKI-nin təşkilat üçün böyük dəyərə malik olduğunu bilsək də, kriptoqrafiya kifayət qədər mürəkkəb texnologiyadır. Bu, həyata keçirilməsində problemlər yaradır. Respondentlərdən əsas icra problemləri haqqında nə düşündüklərini soruşduq. Məlum oldu ki, ən böyük problemlərdən biri daxili İT resurslarının olmamasıdır. Kriptoqrafiyanı başa düşən kifayət qədər ixtisaslı işçilər yoxdur. Bundan əlavə, respondentlərin 17%-i layihənin uzun müddət tətbiq olunduğunu bildirdi və təxminən 40%-i qeyd etdi ki, həyat dövrünün idarə edilməsi çox vaxt apara bilər. Çoxları üçün maneə xüsusi PKI həllərinin yüksək qiymətidir.
Sorğudan öyrəndik ki, bir çox şirkətlər şirkətin İT resurslarında yaratdığı yükə baxmayaraq hələ də öz daxili sertifikatlaşdırma orqanından istifadə edirlər.
Tədqiqat həmçinin rəqəmsal imzadan istifadənin artdığını göstərdi. Sorğuda iştirak edən respondentlərin 50%-dən çoxu məzmunun bütövlüyünü və həqiqiliyini qorumaq üçün rəqəmsal imzalardan fəal istifadə etdiklərini bildirib.
Rəqəmsal imzanı niyə seçdiklərinə gəlincə, respondentlərin 53%-i əsas səbəbin uyğunluq olduğunu, 60%-i isə sənədsiz texnologiyaların tətbiqini göstərib. Rəqəmsal imzaya keçidin əsas səbəblərindən biri kimi vaxta qənaət göstərilib. Sənədlərin işlənməsi vaxtını azaltmaq imkanı ilə yanaşı, PKI texnologiyasından istifadənin əsas üstünlüklərindən biridir.
DevOps-da şifrələmə
Tədqiqat respondentlərdən 13-ci ilə qədər 2025 milyard dollara çatacağı proqnozlaşdırılan sürətlə böyüyən bir bazar olan DevOps-da şifrələmə sistemlərinin istifadəsi barədə soruşmadan tamamlanmayacaq. İT bazarı çox tez avtomatlaşdırılmış biznes prosesləri, çeviklik və Çevik yanaşmaları ilə DevOps (inkişaf + əməliyyatlar) metodologiyasına keçsə də, əslində bu yanaşmalar yeni təhlükəsizlik riskləri açır. Hazırda DevOps mühitində sertifikatların əldə edilməsi prosesi mürəkkəb, vaxt aparan və səhvlərə meyllidir. Tərtibatçıların və şirkətlərin qarşılaşdıqları budur:
- Yük balanslaşdırıcılarında, virtual maşınlarda, konteynerlərdə və xidmət şəbəkələrində maşın identifikatoru kimi xidmət edən daha çox açar və sertifikatlar var. Düzgün texnologiya olmadan bu şəxsiyyətlərin xaotik idarə edilməsi tez bir zamanda bahalı və riskli bir prosesə çevrilir.
- Yaxşı siyasətin tətbiqi və monitorinq praktikaları olmadıqda zəif sertifikatlar və ya gözlənilməz sertifikat müddətinin başa çatması. Sözsüz ki, bu cür fasilələrin biznesə ciddi təsiri var.
Buna görə də GlobalSign bir həll təklif edir , REST API, EST və ya ilə birbaşa inteqrasiya edən , beləliklə, inkişaf komandası təhlükəsizlikdən ödün vermədən eyni sürətlə işləməyə davam edir.
Açıq açar kriptosistemləri ən fundamental təhlükəsizlik texnologiyalarından biridir. Və yaxın gələcəkdə də belə qalacaq. IoT sektorunda gördüyümüz güclü artımı nəzərə alsaq, bu il daha çox PKI yerləşdirməsini gözləyirik.
Mənbə: www.habr.com