Kompanija GlobalSign , kako i zašto kompanije uopšte koriste infrastrukturu javnih ključeva (PKI). U anketi je učestvovalo oko 750 ljudi: postavljana su im i pitanja o digitalnim potpisima i DevOps-u.
Ako niste upoznati s pojmom, PKI omogućava sistemima da bezbedno razmjenjuju podatke i verifikuju vlasnike certifikata. uključuju provjeru autentičnosti digitalnih certifikata i javnih ključeva za enkripciju i kriptografsku provjeru autentičnosti podataka. Sve osjetljive informacije se oslanjaju na PKI sistem, a GlobalSign se smatra jednim od vodećih svjetskih dobavljača takvih sistema.
Dakle, pogledajmo nekoliko ključnih nalaza iz studije.
Šta je šifrovano?
Sveukupno, 61,76% kompanija koristi PKI u ovom ili onom obliku.
Jedno od glavnih pitanja koje je zanimalo istraživače bilo je koje specifične sisteme šifriranja i digitalne certifikate ispitanici koriste. Nije iznenađujuće da je oko 75% reklo da koristi javne certifikate , a oko 50% se oslanja na privatni SSL i TLS. Ovo je najpopularnija aplikacija moderne kriptografije - šifriranje mrežnog prometa.
Ovo pitanje je postavljeno kompanijama koje su odgovorile potvrdno na prethodna pitanja o korištenju PKI sistema i omogućilo je više opcija odgovora.
Trećina učesnika (30%) izjavila je da koristi certifikate za digitalne potpise, dok se nešto manje oslanja na PKI za zaštitu e-pošte (). S/MIME je široko korišten protokol za slanje digitalno potpisanih šifriranih poruka i način zaštite korisnika od phishing prevara. Uz phishing napade u porastu, jasno je zašto je ovo sve popularnije rješenje za sigurnost poduzeća.
Takođe smo razmotrili zašto kompanije u početku biraju tehnologije zasnovane na PKI-u. Više od 30% navelo je skalabilnost Interneta stvari (), a 26% vjeruje da se PKI može primijeniti na širok spektar industrija. 35% ispitanika je istaklo da cijeni PKI za osiguranje integriteta podataka.
Uobičajeni izazovi implementacije
Iako znamo da PKI ima veliku vrijednost za organizaciju, kriptografija je prilično složena tehnologija. To uzrokuje probleme s implementacijom. Pitali smo ispitanike šta misle o glavnim izazovima implementacije. Pokazalo se da je jedan od najvećih problema nedostatak internih IT resursa. Jednostavno nema dovoljno kvalifikovanih radnika koji razumiju kriptografiju. Osim toga, 17% ispitanika je izjavilo da su dugo vremena implementacije projekta, a skoro 40% je navelo da upravljanje životnim ciklusom može biti dugotrajno. Za mnoge, prepreka je visoka cijena prilagođenih PKI rješenja.
Iz ankete smo saznali da mnoge kompanije i dalje koriste vlastito interno tijelo za sertifikaciju, uprkos opterećenju koje ono stvara na IT resursima kompanije.
Studija je takođe ukazala na povećanje upotrebe digitalnih potpisa. Više od 50% ispitanika je reklo da aktivno koriste digitalne potpise kako bi zaštitili integritet i autentičnost sadržaja.
Što se tiče zašto su odabrali digitalne potpise, 53% ispitanika je reklo da je usklađenost glavni razlog, a 60% je navelo usvajanje tehnologija bez papira. Ušteda vremena navedena je kao jedan od glavnih razloga za prelazak na digitalni potpis. Kao i mogućnost smanjenja vremena obrade dokumenata jedna je od glavnih prednosti korištenja PKI tehnologije.
Šifriranje u DevOps-u
Studija ne bi bila potpuna bez pitanja ispitanika o korišćenju sistema za šifrovanje u DevOps-u, brzorastućem tržištu za koje se predviđa da će dostići 13 milijardi dolara do 2025. Iako je IT tržište vrlo brzo prešlo na DevOps (razvoj + operacije) metodologiju sa svojim automatiziranim poslovnim procesima, fleksibilnošću i Agile pristupima, u stvarnosti ovi pristupi otvaraju nove sigurnosne rizike. Trenutno je proces dobijanja sertifikata u DevOps okruženju složen, dugotrajan i podložan greškama. Evo sa čim se susreću programeri i kompanije:
- Sve je više ključeva i sertifikata koji služe kao identifikatori mašina u balansatorima opterećenja, virtuelnim mašinama, kontejnerima i servisnim mrežama. Haotično upravljanje ovim identitetima bez prave tehnologije brzo postaje skup i rizičan proces.
- Slabi sertifikati ili neočekivani isteci sertifikata kada nedostaju dobre prakse sprovođenja politike i praćenja. Nepotrebno je reći da takav zastoj ima značajan uticaj na poslovanje.
Zato GlobalSign nudi rješenje , koji se direktno integrira sa REST API, EST ili , tako da razvojni tim nastavi da radi istim tempom bez žrtvovanja sigurnosti.
Kriptosistemi javnog ključa su jedna od najosnovnijih sigurnosnih tehnologija. I tako će ostati u doglednoj budućnosti. A s obzirom na eksplozivan rast koji vidimo u IoT sektoru, ove godine očekujemo još više implementacije PKI-ja.
izvor: www.habr.com