Какво да криптирате в корпоративна система? И защо правя това?

Компания GlobalSign проведе анкета, как и защо компаниите използват инфраструктура с публичен ключ (PKI) на първо място. Около 750 души взеха участие в проучването: на тях също бяха зададени въпроси относно цифровите подписи и DevOps.

Ако не сте запознати с термина, PKI позволява на системите да обменят сигурно данни и да проверяват собствениците на сертификати. PKI решения включват удостоверяване на цифрови сертификати и публични ключове за криптиране и криптографска проверка на автентичността на данните. Всяка чувствителна информация разчита на PKI система и GlobalSign се смята за един от водещите световни доставчици на такива системи.

Така че, нека да разгледаме няколко ключови констатации от проучването.

Какво е криптирано?

Като цяло 61,76% от компаниите използват PKI под една или друга форма.

Един от основните въпроси, които интересуват изследователите, е какви специфични системи за криптиране и цифрови сертификати използват респондентите. Не е изненада, че около 75% казват, че използват публични сертификати SSL или TLS, а около 50% разчитат на частни SSL и TLS. Това е най-популярното приложение на съвременната криптография - криптиране на мрежов трафик.

Този въпрос беше зададен на компании, които отговориха с „да“ на предишни въпроси относно използването на PKI системи, и позволи множество опции за отговор.

Една трета от участниците (30%) казват, че използват сертификати за цифрови подписи, докато малко по-малко разчитат на PKI за защита на имейл (S / MIME). S/MIME е широко използван протокол за изпращане на цифрово подписани криптирани съобщения и начин за защита на потребителите от фишинг измами. С нарастването на фишинг атаките е ясно защо това е все по-популярно решение за корпоративна сигурност.

Разгледахме също защо компаниите първоначално избират технологии, базирани на PKI. Повече от 30% посочват скалируемостта на Интернет на нещата (ИН), а 26% вярват, че PKI може да се приложи в широк спектър от индустрии. 35% от респондентите отбелязват, че ценят PKI за гарантиране на целостта на данните.

Често срещани предизвикателства при изпълнението

Въпреки че знаем, че PKI има голяма стойност за една организация, криптографията е доста сложна технология. Това създава проблеми с изпълнението. Попитахме респондентите какво мислят за основните предизвикателства при прилагането. Оказа се, че един от най-големите проблеми е липсата на вътрешни ИТ ресурси. Просто няма достатъчно квалифицирани работници, които разбират от криптография. Освен това 17% от респондентите съобщават за дълги времена за внедряване на проекта, а близо 40% споменават, че управлението на жизнения цикъл може да отнеме много време. За мнозина бариерата е високата цена на персонализираните PKI решения.

От проучването научихме, че много компании все още използват собствен вътрешен сертифициращ орган, въпреки натоварването, което създава върху ИТ ресурсите на компанията.

Проучването също така показва увеличаване на използването на цифрови подписи. Повече от 50% от анкетираните казаха, че активно използват цифрови подписи за защита на целостта и автентичността на съдържанието.

Що се отнася до причината, поради която са избрали цифрови подписи, 53% от анкетираните казват, че съответствието е основната причина, като 60% цитират приемането на безхартиени технологии. Спестяването на време беше посочено като една от основните причини за преминаване към цифрови подписи. Както и възможността за намаляване на времето за обработка на документи е едно от основните предимства на използването на PKI технологията.

Криптиране в DevOps

Проучването не би било пълно, без да се попитат респондентите за използването на системи за криптиране в DevOps, бързо развиващ се пазар, който се очаква да достигне 13 милиарда долара до 2025 г. Въпреки че ИТ пазарът много бързо премина към методологията DevOps (development + operations) с нейните автоматизирани бизнес процеси, гъвкавост и Agile подходи, в действителност тези подходи отварят нови рискове за сигурността. Понастоящем процесът на получаване на сертификати в DevOps среда е сложен, отнема време и податлив на грешки. Ето с какво се сблъскват разработчиците и компаниите:

• Има все повече и повече ключове и сертификати, които служат като машинни идентификатори в балансиращите на натоварването, виртуалните машини, контейнерите и сервизните мрежи. Хаотичното управление на тези самоличности без правилната технология бързо се превръща в скъп и рисков процес.
• Слаби сертификати или неочаквано изтичане на валидност на сертификати, когато липсват добри практики за прилагане на политики и мониторинг. Излишно е да казвам, че такъв престой оказва значително влияние върху бизнеса.

Ето защо GlobalSign предлага решение PKI за DevOps, който директно се интегрира с REST API, EST или облак Venafi, така че екипът за разработка да продължи да работи със същото темпо, без да жертва сигурността.

Криптосистемите с публичен ключ са една от най-фундаменталните технологии за сигурност. И ще остане така в обозримо бъдеще. И предвид експлозивния растеж, който наблюдаваме в IoT сектора, очакваме още повече внедрявания на PKI тази година.

Източник: www.habr.com