Společnost GlobalSign , jak a proč firmy využívají infrastrukturu veřejných klíčů (PKI). Průzkumu se zúčastnilo přibližně 750 lidí, kteří se také ptali na digitální podpisy a DevOps.
Pokud tento termín neznáte, PKI umožňuje systémům bezpečně si vyměňovat data a ověřovat vlastníky certifikátů. Patří mezi ně ověřování digitálních certifikátů a veřejné klíče pro šifrování a kryptografické ověřování pravosti dat. Veškeré důvěrné informace se spoléhají na systém PKI a společnost GlobalSign je považována za jednoho z předních světových poskytovatelů takových systémů.
Pojďme se tedy podívat na některá klíčová zjištění ze studie.
Co je šifrované?
Celkově 61,76 % společností používá PKI v té či oné formě.
Jednou z hlavních otázek, které výzkumníky zajímaly, bylo, jaké konkrétní šifrovací systémy a digitální certifikáty respondenti používají. Není divu, že přibližně 75 % uvedlo, že používá veřejné certifikáty. a přibližně 50 % se spoléhá na privátní SSL a TLS. Toto je nejoblíbenější aplikace moderní kryptografie – šifrování síťového provozu.
Tato otázka byla položena společnostem, které na předchozí otázku týkající se používání systémů PKI odpověděly ano, a umožňovala více odpovědí.
Třetina účastníků (30 %) uvedla, že pro digitální podpisy používá certifikáty, zatímco o něco méně se jich spoléhá na PKI pro zabezpečení e-mailů (). S/MIME je široce používaný protokol pro odesílání digitálně podepsaných šifrovaných zpráv a ochranu uživatelů před phishingem. Vzhledem k nárůstu phishingových útoků je pochopitelné, proč je stále populárnějším řešením podnikového zabezpečení.
Také jsme se zabývali tím, proč si firmy zpočátku vybírají technologie založené na PKI. Více než 30 % z nich uvedlo škálovatelnost internetu věcí () a 26 % se domnívá, že PKI lze aplikovat v široké škále odvětví. 35 % respondentů uvedlo, že si PKI cení pro zajištění integrity dat.
Časté problémy při implementaci
I když víme, že PKI je pro organizace cenná, kryptografie je složitá technologie. To vytváří problémy s implementací. Zeptali jsme se respondentů na jejich vnímání hlavních problémů s implementací. Ukázalo se, že jedním z největších problémů je nedostatek interních IT zdrojů. Jednoduše není dostatek kvalifikovaných zaměstnanců, kteří by kryptografii rozuměli. Dále 17 % respondentů uvedlo dlouhé doby nasazení projektů a téměř 40 % zmínilo, že správa životního cyklu může být časově náročná. Pro mnohé jsou překážkou vysoké náklady na specializovaná řešení PKI.
Z průzkumu jsme zjistili, že mnoho společností stále používá vlastní interní certifikační autoritu, a to i přes zátěž, kterou to představuje pro IT zdroje společnosti.
Studie rovněž zaznamenala nárůst používání digitálních podpisů. Více než 50 % respondentů průzkumu uvedlo, že aktivně používají digitální podpisy k ochraně integrity a autenticity obsahu.
Pokud jde o důvod, proč si vybrali digitální podpisy, 53 % respondentů uvedlo, že hlavním důvodem je dodržování předpisů, zatímco 60 % uvedlo bezpapírové technologie. Jako klíčový důvod pro přechod na digitální podpisy byla uvedena úspora času. Schopnost zkrátit dobu zpracování dokumentů je také klíčovou výhodou používání technologie PKI.
Šifrování v DevOps
Studie by nebyla úplná bez dotazování respondentů na používání šifrovacích systémů v DevOps – rychle rostoucím trhu, u kterého se předpokládá, že do roku 2025 dosáhne 13 miliard dolarů. Zatímco trh IT rychle přijal metodologii DevOps (vývoj a provoz) s jejími automatizovanými obchodními procesy, flexibilitou a agilními přístupy, ve skutečnosti tyto přístupy s sebou nesou nová bezpečnostní rizika. V současné době je proces získávání certifikací v prostředí DevOps složitý, časově náročný a náchylný k chybám. Zde je to, s čím se vývojáři a společnosti potýkají:
- Klíče a certifikáty se stále častěji používají k identifikaci počítačů v load balancerech, virtuálních počítačích, kontejnerech a servisních sítích. Nahodilá správa těchto identit bez správné technologie se rychle stává nákladnou a riskantní.
- Slabé certifikáty nebo neočekávané vypršení platnosti certifikátů, pokud chybí řádné postupy vymáhání zásad a monitorování, mohou mít významný dopad na podnikání.
Proto GlobalSign nabízí řešení , který se přímo integruje s REST API, EST nebo , aby vývojový tým mohl pokračovat v práci stejným tempem, aniž by obětoval bezpečnost.
Kryptosystémy s veřejným klíčem jsou jednou z nejzákladnějších bezpečnostních technologií a v dohledné budoucnosti jimi zůstanou. Vzhledem k explozivnímu růstu, který pozorujeme v sektoru internetu věcí, očekáváme letos ještě více implementací PKI.
Zdroj: www.habr.com
