Какво да криптирате в корпоративна система? И защо правя това?

Компания GlobalSign проведе анкета, как и защо компаниите използват инфраструктура с публичен ключ (PKI). Около 750 души участваха в проучването, в което бяха зададени и въпроси относно цифровите подписи и DevOps.

Ако не сте запознати с термина, PKI позволява на системите сигурно да обменят данни и да проверяват собствениците на сертификати. PKI решения Те включват удостоверяване с цифров сертификат и публични ключове за криптиране и криптографска проверка на автентичността на данните. Всяка поверителна информация разчита на PKI система, а GlobalSign се счита за един от водещите световни доставчици на такива системи.

И така, нека разгледаме някои от ключовите открития от проучването.

Какво е криптирано?

Като цяло 61,76% от компаниите използват PKI под една или друга форма.

Един от основните въпроси, които интересуваха изследователите, беше какви специфични системи за криптиране и цифрови сертификати използват респондентите. Не е изненадващо, че приблизително 75% са заявили, че използват публични сертификати. SSL или TLS, а около 50% разчитат на частни SSL и TLS. Това е най-популярното приложение на съвременната криптография – криптиране на мрежов трафик.

Този въпрос беше зададен на компании, които отговориха с „да“ на предишния въпрос относно използването на PKI системи, и позволяваше множество отговори.

Една трета от участниците (30%) заявиха, че използват сертификати за цифрови подписи, докато малко по-малко разчитат на PKI за защита на имейла (S / MIME). S/MIME е широко използван протокол за изпращане на цифрово подписани криптирани съобщения и защита на потребителите от фишинг. Предвид нарастването на фишинг атаките, е разбираемо защо е все по-популярно решение за корпоративна сигурност.

Разгледахме и защо компаниите първоначално избират технологии, базирани на PKI. Повече от 30% посочиха мащабируемостта на Интернет на нещата (ИН), а 26% смятат, че PKI може да се прилага в широк спектър от индустрии. 35% от анкетираните отбелязват, че ценят PKI за осигуряване на целостта на данните.

Често срещани проблеми при внедряването

Въпреки че знаем, че PKI е ценна за организациите, криптографията е сложна технология. Това създава предизвикателства при внедряването. Попитахме респондентите за техните възприятия относно основните предизвикателства при внедряването. Оказа се, че един от най-големите проблеми е липсата на вътрешни ИТ ресурси. Просто няма достатъчно квалифицирани служители, които разбират криптографията. Освен това 17% от респондентите съобщават за дълги времена за внедряване на проекти, а близо 40% споменават, че управлението на жизнения цикъл може да отнеме много време. За мнозина високата цена на специализираните PKI решения е пречка.

От проучването научихме, че много компании все още използват собствен вътрешен сертифициращ орган, въпреки тежестта, която това поставя върху ИТ ресурсите на компанията.

Проучването отбелязва и ръст в използването на цифрови подписи. Над 50% от анкетираните заявяват, че активно използват цифрови подписи, за да защитят целостта и автентичността на съдържанието.

Що се отнася до причината, поради която са избрали цифрови подписи, 53% от анкетираните са посочили съответствието с нормативните изисквания като основна причина, докато 60% са посочили безхартиените технологии. Спестяването на време е посочено като ключова причина за преминаване към цифрови подписи. Възможността за намаляване на времето за обработка на документи също е ключово предимство на използването на PKI технология.

Криптиране в DevOps

Проучването не би било пълно, без да се попитат респондентите за използването на системи за криптиране в DevOps – бързо развиващ се пазар, за който се очаква да достигне 13 милиарда долара до 2025 г. Въпреки че ИТ пазарът бързо възприе методологията DevOps (разработка и операции) с нейните автоматизирани бизнес процеси, гъвкавост и Agile подходи, в действителност тези подходи въвеждат нови рискове за сигурността. В момента процесът на получаване на сертификати в DevOps среда е сложен, отнема време и е податлив на грешки. Ето с какво се сблъскват разработчиците и компаниите:

• Ключовете и сертификатите се използват все по-често за идентифициране на машини в балансьори на натоварването, виртуални машини, контейнери и сервизни мрежи. Управлението на тези идентичности без правилната технология бързо става скъпо и рисковано.
• Слабите сертификати или неочакваното изтичане на срока им на валидност, когато липсват подходящи практики за прилагане на политики и мониторинг, могат да причинят значително въздействие върху бизнеса.

Ето защо GlobalSign предлага решение PKI за DevOps, който се интегрира директно с REST API, EST или Облак Венафи, така че екипът от разработчици да може да продължи да работи със същото темпо, без да жертва сигурността.

Криптосистемите с публичен ключ са едни от най-фундаменталните технологии за сигурност и ще останат такива в обозримо бъдеще. Предвид експлозивния растеж, който наблюдаваме в сектора на интернет на нещата, очакваме още повече внедрявания на PKI тази година.

Източник: www.habr.com