GlobalSign Company , hogyan és miért használják a vállalatok a nyilvános kulcsú infrastruktúrát (PKI). A felmérésben mintegy 750-en vettek részt: kérdéseket tettek fel nekik a digitális aláírással és a DevOps-szal kapcsolatban is.
Ha nem ismeri a kifejezést, a PKI lehetővé teszi a rendszerek számára az adatok biztonságos cseréjét és a tanúsítványtulajdonosok ellenőrzését. magában foglalja a digitális tanúsítványok és nyilvános kulcsok hitelesítését a titkosításhoz és az adatok hitelességének kriptográfiai ellenőrzéséhez. Minden érzékeny információ PKI-rendszeren alapul, és a GlobalSign a világ egyik vezető ilyen rendszerszolgáltatója.
Nézzünk tehát néhány kulcsfontosságú megállapítást a tanulmányból.
Mi a titkosított?
Összességében a cégek 61,76%-a használja a PKI-t ilyen vagy olyan formában.
Az egyik fő kérdés, amely a kutatókat érdekelte, az volt, hogy milyen titkosítási rendszereket és digitális tanúsítványokat használnak a válaszadók. Nem meglepő, hogy körülbelül 75%-uk mondta, hogy nyilvános tanúsítványokat használ , és körülbelül 50%-uk a privát SSL-re és TLS-re támaszkodik. Ez a modern kriptográfia legnépszerűbb alkalmazása - a hálózati forgalom titkosítása.
Ezt a kérdést azoknak a cégeknek tették fel, amelyek a korábbi PKI-rendszerek használatával kapcsolatos kérdésekre igennel válaszoltak, és több válaszlehetőséget is lehetővé tett.
A résztvevők harmada (30%) nyilatkozott úgy, hogy tanúsítványokat használ digitális aláíráshoz, míg valamivel kevésbé támaszkodik a PKI-re a biztonságos levelezéshez (). Az S/MIME egy széles körben használt protokoll digitálisan aláírt titkosított üzenetek küldésére, és egy módja annak, hogy megvédje a felhasználókat az adathalász csalásoktól. Az adathalász támadások számának növekedésével egyértelmű, hogy ez miért egyre népszerűbb megoldás a vállalati biztonság terén.
Azt is megvizsgáltuk, hogy kezdetben miért választják a cégek a PKI-alapú technológiákat. Több mint 30% jelezte a tárgyak internete skálázhatóságát (), 26%-uk pedig úgy gondolja, hogy a PKI az iparágak széles körében alkalmazható. A válaszadók 35%-a megjegyezte, hogy nagyra értékeli a PKI-t az adatok integritásának biztosításában.
Gyakori végrehajtási kihívások
Bár tudjuk, hogy a PKI nagy értéket képvisel egy szervezet számára, a kriptográfia meglehetősen összetett technológia. Ez problémákat okoz a megvalósításban. Megkérdeztük a válaszadókat, hogy mit gondolnak a főbb megvalósítási kihívásokról. Kiderült, hogy az egyik legnagyobb probléma a belső informatikai erőforrások hiánya. Egyszerűen nincs elég képzett dolgozó, aki ért a kriptográfiához. Ezenkívül a válaszadók 17%-a számolt be a projektek hosszú üzembe helyezési idejéről, és csaknem 40% említette, hogy az életciklus-menedzsment időigényes lehet. Sokak számára az akadályt az egyedi PKI-megoldások magas költsége jelenti.
A felmérésből megtudtuk, hogy sok cég továbbra is használja saját belső hitelesítési hatóságát, annak ellenére, hogy ez megterheli a vállalat informatikai erőforrásait.
A tanulmány a digitális aláírások használatának növekedését is jelezte. A felmérésben résztvevők több mint 50%-a nyilatkozott úgy, hogy aktívan használja a digitális aláírásokat a tartalom integritásának és hitelességének védelme érdekében.
Ami azt illeti, hogy miért választották a digitális aláírást, a válaszadók 53%-a szerint a megfelelés volt a fő ok, 60%-uk pedig a papírmentes technológiák átvételére hivatkozott. A digitális aláírásra való átállás egyik fő okaként az időmegtakarítást említették. A dokumentumfeldolgozási idő csökkentése mellett a PKI technológia használatának egyik fő előnye.
Titkosítás a DevOps-ban
A tanulmány nem lenne teljes, ha nem kérdeznénk meg a válaszadókat a DevOps titkosítási rendszereinek használatáról, amely piac az előrejelzések szerint 13-re eléri a 2025 milliárd dollárt. Bár az IT-piac nagyon gyorsan átállt a DevOps (fejlesztés + műveletek) módszertanra az automatizált üzleti folyamataival, rugalmasságával és Agilis megközelítéseivel, a valóságban ezek a megközelítések új biztonsági kockázatokat nyitnak meg. Jelenleg a tanúsítványok beszerzési folyamata a DevOps környezetben összetett, időigényes és hibás. A fejlesztők és a vállalatok a következőkkel szembesülnek:
- Egyre több olyan kulcs és tanúsítvány létezik, amely gépazonosítóként szolgál terheléselosztókban, virtuális gépekben, tárolókban és szolgáltatási hálózatokban. Ezen identitások kaotikus kezelése megfelelő technológia nélkül gyorsan költséges és kockázatos folyamattá válik.
- Gyenge tanúsítványok vagy váratlan tanúsítvány-lejáratok, ha hiányoznak a megfelelő szabályzatérvényesítési és felügyeleti gyakorlatok. Mondanunk sem kell, hogy az ilyen állásidő jelentős hatással van az üzletre.
Ezért kínál megoldást a GlobalSign , amely közvetlenül integrálódik a REST API-val, EST-vel ill , így a fejlesztőcsapat a biztonság feláldozása nélkül ugyanolyan ütemben dolgozhat tovább.
A nyilvános kulcsú titkosítási rendszerek az egyik legalapvetőbb biztonsági technológia. És ez így is marad a belátható jövőben. És tekintettel az IoT-szektorban tapasztalható robbanásszerű növekedésre, idén még több PKI bevezetésre számítunk.
Forrás: will.com