Společnost GlobalSign , jak a proč společnosti vůbec využívají infrastrukturu veřejných klíčů (PKI). Průzkumu se zúčastnilo asi 750 lidí: byli také dotazováni na digitální podpisy a DevOps.
Pokud tento termín neznáte, PKI umožňuje systémům bezpečnou výměnu dat a ověřování vlastníků certifikátů. zahrnují ověřování digitálních certifikátů a veřejných klíčů pro šifrování a kryptografické ověření pravosti dat. Veškeré citlivé informace se spoléhají na systém PKI a GlobalSign je považován za jednoho z předních světových poskytovatelů takových systémů.
Pojďme se tedy podívat na několik klíčových zjištění ze studie.
Co je zašifrováno?
Celkově 61,76 % společností využívá PKI v té či oné formě.
Jednou z hlavních otázek, které výzkumníky zajímaly, bylo, jaké konkrétní šifrovací systémy a digitální certifikáty respondenti používají. Není žádným překvapením, že asi 75 % uvedlo, že používají veřejné certifikáty a asi 50 % se spoléhá na soukromé SSL a TLS. Jedná se o nejoblíbenější aplikaci moderní kryptografie - šifrování síťového provozu.
Tato otázka byla položena společnostem, které odpověděly ano na předchozí otázky o používání systémů PKI, a umožňovala více možností odpovědí.
Třetina účastníků (30 %) uvedla, že používá certifikáty pro digitální podpisy, zatímco o něco méně spoléhá na PKI k zabezpečení e-mailů (). S/MIME je široce používaný protokol pro odesílání digitálně podepsaných šifrovaných zpráv a způsob, jak chránit uživatele před phishingovými podvody. S přibývajícími phishingovými útoky je jasné, proč se jedná o stále oblíbenější řešení podnikové bezpečnosti.
Podívali jsme se také na to, proč společnosti zpočátku volí technologie založené na PKI. Více než 30 % uvedlo škálovatelnost internetu věcí () a 26 % věří, že PKI lze použít v široké škále odvětví. 35 % respondentů uvedlo, že oceňují PKI pro zajištění integrity dat.
Společné implementační výzvy
I když víme, že PKI má pro organizaci velkou hodnotu, kryptografie je poměrně složitá technologie. To způsobuje problémy s implementací. Zeptali jsme se respondentů, co si myslí o hlavních problémech implementace. Ukázalo se, že jedním z největších problémů je nedostatek interních IT zdrojů. Kvalifikovaných pracovníků, kteří by kryptografii rozuměli, prostě není dost. Navíc 17 % respondentů uvedlo dlouhé doby nasazení projektu a téměř 40 % uvedlo, že správa životního cyklu může být časově náročná. Pro mnohé jsou překážkou vysoké náklady na zakázková řešení PKI.
Z průzkumu jsme se dozvěděli, že mnoho společností stále používá vlastní interní certifikační autoritu, a to i přes zátěž, kterou to vytváří pro IT zdroje společnosti.
Studie také naznačila nárůst používání digitálních podpisů. Více než 50 % respondentů průzkumu uvedlo, že aktivně používají digitální podpisy k ochraně integrity a pravosti obsahu.
Pokud jde o to, proč zvolili digitální podpisy, 53 % respondentů uvedlo, že hlavním důvodem je dodržování předpisů, přičemž 60 % uvedlo přijetí bezpapírových technologií. Úspora času byla uváděna jako jeden z hlavních důvodů přechodu na digitální podpisy. Stejně jako schopnost zkrátit dobu zpracování dokumentů je jednou z hlavních výhod použití technologie PKI.
Šifrování v DevOps
Studie by nebyla úplná, kdyby se respondentů nezeptalo na používání šifrovacích systémů v DevOps, rychle rostoucím trhu, který by měl do roku 13 dosáhnout 2025 miliard dolarů. Přestože IT trh velmi rychle přešel na metodiku DevOps (vývoj + provoz) s jejími automatizovanými obchodními procesy, flexibilitou a Agilními přístupy, ve skutečnosti tyto přístupy otevírají nová bezpečnostní rizika. V současné době je proces získávání certifikátů v prostředí DevOps složitý, časově náročný a náchylný k chybám. Vývojáři a společnosti čelí následujícímu:
- Existuje stále více klíčů a certifikátů, které slouží jako identifikátory strojů v nástrojích pro vyrovnávání zatížení, virtuálních počítačích, kontejnerech a servisních sítích. Chaotické řízení těchto identit bez správné technologie se rychle stává nákladným a riskantním procesem.
- Slabé certifikáty nebo neočekávané vypršení platnosti certifikátů, když chybí dobré postupy pro prosazování zásad a monitorování. Netřeba dodávat, že takové prostoje mají významný dopad na podnikání.
GlobalSign proto nabízí řešení , který se přímo integruje s REST API, EST popř , takže vývojový tým pokračuje v práci stejným tempem, aniž by obětoval bezpečnost.
Šifrovací systémy s veřejným klíčem jsou jednou z nejzákladnějších bezpečnostních technologií. A v dohledné době to tak zůstane. A vzhledem k explozivnímu růstu, který vidíme v sektoru IoT, očekáváme letos ještě více nasazení PKI.
Zdroj: www.habr.com