Tvrtka GlobalSign , kako i zašto tvrtke uopće koriste infrastrukturu javnih ključeva (PKI). U anketi je sudjelovalo oko 750 ljudi: postavljana su im i pitanja o digitalnim potpisima i DevOps-u.
Ako niste upoznati s pojmom, PKI omogućuje sustavima sigurnu razmjenu podataka i provjeru vlasnika certifikata. uključuju provjeru autentičnosti digitalnih certifikata i javnih ključeva za enkripciju i kriptografsku provjeru autentičnosti podataka. Sve osjetljive informacije oslanjaju se na PKI sustav, a GlobalSign se smatra jednim od vodećih svjetskih pružatelja takvih sustava.
Dakle, pogledajmo nekoliko ključnih nalaza iz studije.
Što je šifrirano?
Sveukupno, 61,76% tvrtki koristi PKI u ovom ili onom obliku.
Jedno od glavnih pitanja koje je zanimalo istraživače bilo je koje specifične sustave šifriranja i digitalne certifikate koriste ispitanici. Nije iznenađenje da je oko 75% reklo da koristi javne certifikate , a oko 50% oslanja se na privatni SSL i TLS. Ovo je najpopularnija primjena moderne kriptografije - šifriranje mrežnog prometa.
Ovo je pitanje postavljeno tvrtkama koje su potvrdno odgovorile na prethodna pitanja o korištenju PKI sustava i omogućilo je više opcija odgovora.
Trećina sudionika (30%) rekla je da koristi certifikate za digitalne potpise, dok se nešto manje oslanja na PKI za zaštitu e-pošte (). S/MIME je široko korišten protokol za slanje digitalno potpisanih šifriranih poruka i način zaštite korisnika od krađe identiteta. Uz porast phishing napada, jasno je zašto je ovo sve popularnije rješenje za sigurnost poduzeća.
Također smo pogledali zašto tvrtke u početku odabiru tehnologije temeljene na PKI-ju. Više od 30% navelo je skalabilnost Interneta stvari (), a 26% vjeruje da se PKI može primijeniti u širokom rasponu industrija. 35% ispitanika istaknulo je da cijene PKI za osiguranje integriteta podataka.
Uobičajeni izazovi implementacije
Iako znamo da PKI ima veliku vrijednost za organizaciju, kriptografija je prilično složena tehnologija. To uzrokuje probleme s implementacijom. Pitali smo ispitanike što misle o glavnim izazovima provedbe. Pokazalo se da je jedan od najvećih problema nedostatak internih IT resursa. Jednostavno nema dovoljno kvalificiranih radnika koji razumiju kriptografiju. Dodatno, 17% ispitanika izvijestilo je o dugom vremenu implementacije projekta, a gotovo 40% navelo je da upravljanje životnim ciklusom može biti dugotrajno. Za mnoge je prepreka visoka cijena prilagođenih PKI rješenja.
Iz ankete smo saznali da mnoge tvrtke još uvijek koriste vlastito interno certifikacijsko tijelo, unatoč opterećenju IT resursa tvrtke.
Studija je također ukazala na porast korištenja digitalnih potpisa. Više od 50% ispitanika reklo je da aktivno koriste digitalne potpise za zaštitu integriteta i autentičnosti sadržaja.
Što se tiče razloga zašto su odabrali digitalne potpise, 53% ispitanika reklo je da je usklađenost glavni razlog, a 60% navelo je usvajanje tehnologija bez papira. Kao jedan od glavnih razloga za prelazak na digitalni potpis navedena je ušteda vremena. Kao i mogućnost smanjenja vremena obrade dokumenata jedna je od glavnih prednosti korištenja PKI tehnologije.
Enkripcija u DevOps
Studija ne bi bila potpuna bez pitanja ispitanika o korištenju sustava šifriranja u DevOpsu, brzorastućem tržištu za koje se predviđa da će dosegnuti 13 milijardi dolara do 2025. godine. Iako se IT tržište vrlo brzo prebacilo na DevOps (development + operations) metodologiju sa svojim automatiziranim poslovnim procesima, fleksibilnošću i Agilnim pristupima, ti pristupi u stvarnosti otvaraju nove sigurnosne rizike. Trenutačno je proces dobivanja certifikata u DevOps okruženju složen, dugotrajan i sklon pogreškama. Evo s čime se programeri i tvrtke suočavaju:
- Sve je više ključeva i certifikata koji služe kao identifikatori strojeva u balanserima opterećenja, virtualnim strojevima, spremnicima i servisnim mrežama. Kaotično upravljanje tim identitetima bez odgovarajuće tehnologije brzo postaje skup i riskantan proces.
- Slabi certifikati ili neočekivani istek certifikata kada nedostaju dobra provedba pravila i prakse praćenja. Nepotrebno je reći da takav zastoj ima značajan utjecaj na poslovanje.
Zato GlobalSign nudi rješenje , koji se izravno integrira s REST API-jem, EST ili , kako bi razvojni tim nastavio raditi istim tempom bez žrtvovanja sigurnosti.
Kriptosustavi s javnim ključem jedna su od najosnovnijih sigurnosnih tehnologija. I tako će ostati u dogledno vrijeme. A s obzirom na eksplozivan rast koji vidimo u IoT sektoru, ove godine očekujemo još više implementacija PKI-ja.
Izvor: www.habr.com