Εταιρεία GlobalSign , πώς και γιατί οι εταιρείες χρησιμοποιούν αρχικά την υποδομή δημόσιου κλειδιού (PKI). Περίπου 750 άτομα συμμετείχαν στην έρευνα: τους τέθηκαν επίσης ερωτήσεις σχετικά με τις ψηφιακές υπογραφές και τα DevOps.
Εάν δεν είστε εξοικειωμένοι με τον όρο, το PKI επιτρέπει στα συστήματα να ανταλλάσσουν δεδομένα με ασφάλεια και να επαληθεύουν τους κατόχους πιστοποιητικών. περιλαμβάνουν έλεγχο ταυτότητας ψηφιακών πιστοποιητικών και δημόσιων κλειδιών για κρυπτογράφηση και κρυπτογραφική επαλήθευση της γνησιότητας των δεδομένων. Οποιαδήποτε ευαίσθητη πληροφορία βασίζεται σε ένα σύστημα PKI και η GlobalSign θεωρείται ένας από τους κορυφαίους παρόχους τέτοιων συστημάτων παγκοσμίως.
Ας δούμε λοιπόν μερικά βασικά ευρήματα από τη μελέτη.
Τι είναι κρυπτογραφημένο;
Συνολικά, το 61,76% των εταιρειών χρησιμοποιούν PKI με τη μία ή την άλλη μορφή.
Ένα από τα κύρια ερωτήματα που ενδιέφερε τους ερευνητές ήταν ποια συγκεκριμένα συστήματα κρυπτογράφησης και ψηφιακά πιστοποιητικά χρησιμοποιούν οι ερωτηθέντες. Δεν αποτελεί έκπληξη το γεγονός ότι περίπου το 75% είπε ότι χρησιμοποιεί δημόσια πιστοποιητικά , και περίπου το 50% βασίζεται σε ιδιωτικό SSL και TLS. Αυτή είναι η πιο δημοφιλής εφαρμογή της σύγχρονης κρυπτογραφίας - κρυπτογράφησης κίνησης δικτύου.
Αυτή η ερώτηση τέθηκε σε εταιρείες που απάντησαν ναι σε προηγούμενες ερωτήσεις σχετικά με τη χρήση συστημάτων PKI και επέτρεπε πολλαπλές επιλογές απαντήσεων.
Το ένα τρίτο των συμμετεχόντων (30%) δήλωσε ότι χρησιμοποιεί πιστοποιητικά για ψηφιακές υπογραφές, ενώ ελαφρώς λιγότερο βασίζεται στο PKI για την ασφάλεια του email (). Το S/MIME είναι ένα ευρέως χρησιμοποιούμενο πρωτόκολλο για την αποστολή ψηφιακά υπογεγραμμένων κρυπτογραφημένων μηνυμάτων και ένας τρόπος προστασίας των χρηστών από απάτες phishing. Με τις επιθέσεις phishing να αυξάνονται, είναι σαφές γιατί αυτή είναι μια ολοένα και πιο δημοφιλής λύση για την ασφάλεια των επιχειρήσεων.
Εξετάσαμε επίσης γιατί οι εταιρείες αρχικά επιλέγουν τεχνολογίες που βασίζονται σε PKI. Πάνω από το 30% ανέφερε την επεκτασιμότητα του Διαδικτύου των Πραγμάτων (), και το 26% πιστεύει ότι το PKI μπορεί να εφαρμοστεί σε ένα ευρύ φάσμα βιομηχανιών. Το 35% των ερωτηθέντων σημείωσε ότι εκτιμά το PKI για τη διασφάλιση της ακεραιότητας των δεδομένων.
Κοινές προκλήσεις εφαρμογής
Ενώ γνωρίζουμε ότι το PKI έχει μεγάλη αξία για έναν οργανισμό, η κρυπτογραφία είναι μια αρκετά περίπλοκη τεχνολογία. Αυτό προκαλεί προβλήματα με την εφαρμογή. Ρωτήσαμε τους ερωτηθέντες τη γνώμη τους για τις κύριες προκλήσεις εφαρμογής. Αποδείχθηκε ότι ένα από τα μεγαλύτερα προβλήματα είναι η έλλειψη εσωτερικών πόρων πληροφορικής. Απλώς δεν υπάρχουν αρκετοί ειδικευμένοι εργαζόμενοι που να κατανοούν την κρυπτογραφία. Επιπλέον, το 17% των ερωτηθέντων ανέφερε μεγάλους χρόνους ανάπτυξης του έργου και σχεδόν το 40% ανέφερε ότι η διαχείριση του κύκλου ζωής μπορεί να είναι χρονοβόρα. Για πολλούς, το εμπόδιο είναι το υψηλό κόστος των προσαρμοσμένων λύσεων PKI.
Από την έρευνα μάθαμε ότι πολλές εταιρείες εξακολουθούν να χρησιμοποιούν τη δική τους εσωτερική αρχή πιστοποίησης, παρά το φορτίο που δημιουργεί στους πόρους πληροφορικής της εταιρείας.
Η μελέτη έδειξε επίσης αύξηση στη χρήση ψηφιακών υπογραφών. Περισσότερο από το 50% των ερωτηθέντων δήλωσε ότι χρησιμοποιεί ενεργά ψηφιακές υπογραφές για την προστασία της ακεραιότητας και της αυθεντικότητας του περιεχομένου.
Όσον αφορά το γιατί επέλεξαν τις ψηφιακές υπογραφές, το 53% των ερωτηθέντων είπε ότι η συμμόρφωση ήταν ο κύριος λόγος, με το 60% να αναφέρει την υιοθέτηση τεχνολογιών χωρίς χαρτί. Η εξοικονόμηση χρόνου αναφέρθηκε ως ένας από τους κύριους λόγους για τη μετάβαση στις ψηφιακές υπογραφές. Εκτός από τη δυνατότητα μείωσης του χρόνου επεξεργασίας εγγράφων είναι ένα από τα κύρια πλεονεκτήματα της χρήσης της τεχνολογίας PKI.
Κρυπτογράφηση σε DevOps
Η μελέτη δεν θα ήταν πλήρης χωρίς να ρωτηθούν οι ερωτηθέντες σχετικά με τη χρήση συστημάτων κρυπτογράφησης στο DevOps, μια ταχέως αναπτυσσόμενη αγορά που προβλέπεται να φτάσει τα 13 δισεκατομμύρια δολάρια έως το 2025. Αν και η αγορά πληροφορικής πολύ γρήγορα μεταπήδησε στη μεθοδολογία DevOps (ανάπτυξη + λειτουργίες) με τις αυτοματοποιημένες επιχειρηματικές διαδικασίες, την ευελιξία και τις ευέλικτες προσεγγίσεις, στην πραγματικότητα αυτές οι προσεγγίσεις ανοίγουν νέους κινδύνους για την ασφάλεια. Επί του παρόντος, η διαδικασία απόκτησης πιστοποιητικών σε περιβάλλον DevOps είναι πολύπλοκη, χρονοβόρα και επιρρεπής σε σφάλματα. Δείτε τι αντιμετωπίζουν οι προγραμματιστές και οι εταιρείες:
- Υπάρχουν ολοένα και περισσότερα κλειδιά και πιστοποιητικά που χρησιμεύουν ως αναγνωριστικά μηχανών σε εξισορροπητές φορτίου, εικονικές μηχανές, κοντέινερ και δίκτυα υπηρεσιών. Η χαοτική διαχείριση αυτών των ταυτοτήτων χωρίς την κατάλληλη τεχνολογία γίνεται γρήγορα μια δαπανηρή και επικίνδυνη διαδικασία.
- Αδύναμα πιστοποιητικά ή απροσδόκητες λήξεις πιστοποιητικών όταν λείπουν καλές πρακτικές επιβολής πολιτικών και παρακολούθησης. Περιττό να πούμε ότι τέτοιος χρόνος διακοπής λειτουργίας έχει σημαντικό αντίκτυπο στην επιχείρηση.
Γι' αυτό η GlobalSign προσφέρει μια λύση , το οποίο ενσωματώνεται απευθείας με REST API, EST ή , ώστε η ομάδα ανάπτυξης να συνεχίσει να εργάζεται με τον ίδιο ρυθμό χωρίς να θυσιάζει την ασφάλεια.
Τα κρυπτοσυστήματα δημόσιου κλειδιού είναι μια από τις πιο θεμελιώδεις τεχνολογίες ασφάλειας. Και θα παραμείνει έτσι για το άμεσο μέλλον. Και δεδομένης της εκρηκτικής ανάπτυξης που βλέπουμε στον τομέα του IoT, αναμένουμε ακόμη περισσότερες αναπτύξεις PKI φέτος.
Πηγή: www.habr.com