Firma Global Sign , w jaki sposób i dlaczego firmy w ogóle korzystają z infrastruktury klucza publicznego (PKI). W ankiecie wzięło udział około 750 osób, którym zadano także pytania dotyczące podpisów cyfrowych i DevOps.
Jeśli nie znasz tego terminu, PKI umożliwia systemom bezpieczną wymianę danych i weryfikację właścicieli certyfikatów. obejmują uwierzytelnianie certyfikatów cyfrowych i kluczy publicznych do szyfrowania i kryptograficzną weryfikację autentyczności danych. Wszelkie wrażliwe informacje opierają się na systemie PKI, a GlobalSign jest uważany za jednego z wiodących na świecie dostawców takich systemów.
Przyjrzyjmy się więc kilku kluczowym wynikom badania.
Co jest szyfrowane?
Ogółem 61,76% firm korzysta z PKI w takiej czy innej formie.
Jednym z głównych pytań, które zainteresowało badaczy, było to, jakich konkretnych systemów szyfrowania i certyfikatów cyfrowych używają respondenci. Nic dziwnego, że około 75% stwierdziło, że korzysta z certyfikatów publicznych , a około 50% korzysta z prywatnego protokołu SSL i TLS. To najpopularniejsze zastosowanie współczesnej kryptografii – szyfrowanie ruchu sieciowego.
To pytanie zadawane było firmom, które odpowiedziały twierdząco na poprzednie pytania dotyczące korzystania z systemów PKI i pozwalało na wiele opcji odpowiedzi.
Jedna trzecia uczestników (30%) stwierdziła, że używa certyfikatów do podpisów cyfrowych, podczas gdy nieco mniej polega na PKI w celu zabezpieczenia poczty elektronicznej (). S/MIME to szeroko stosowany protokół do wysyłania podpisanych cyfrowo zaszyfrowanych wiadomości i sposób ochrony użytkowników przed oszustwami typu phishing. Wraz ze wzrostem liczby ataków phishingowych jasne jest, dlaczego jest to coraz popularniejsze rozwiązanie zapewniające bezpieczeństwo przedsiębiorstw.
Przyjrzeliśmy się również, dlaczego firmy początkowo wybierają technologie oparte na PKI. Ponad 30% wskazało na skalowalność Internetu Rzeczy (), a 26% uważa, że PKI można zastosować w wielu branżach. 35% respondentów zauważyło, że ceni PKI za zapewnienie integralności danych.
Typowe wyzwania wdrożeniowe
Chociaż wiemy, że PKI ma wielką wartość dla organizacji, kryptografia jest dość złożoną technologią. Powoduje to problemy z realizacją. Zapytaliśmy respondentów, co myślą o głównych wyzwaniach wdrożeniowych. Okazało się, że jednym z największych problemów jest brak wewnętrznych zasobów IT. Po prostu nie ma wystarczającej liczby wykwalifikowanych pracowników, którzy rozumieją kryptografię. Ponadto 17% respondentów zgłosiło długi czas wdrażania projektu, a prawie 40% wspomniało, że zarządzanie cyklem życia może być czasochłonne. Dla wielu barierą jest wysoki koszt niestandardowych rozwiązań PKI.
Z ankiety dowiedzieliśmy się, że wiele firm nadal korzysta z własnego, wewnętrznego urzędu certyfikacji, pomimo obciążenia, jakie powoduje to dla zasobów IT firmy.
Badanie wykazało również wzrost wykorzystania podpisów cyfrowych. Ponad 50% respondentów ankiety stwierdziło, że aktywnie korzysta z podpisów cyfrowych w celu ochrony integralności i autentyczności treści.
Jeśli chodzi o decyzję o wyborze podpisów cyfrowych, 53% respondentów stwierdziło, że głównym powodem jest zgodność z przepisami, a 60% wskazało na przyjęcie technologii bez dokumentów papierowych. Jako jeden z głównych powodów przejścia na podpisy cyfrowe wymieniono oszczędność czasu. Oprócz możliwości skrócenia czasu przetwarzania dokumentów, jedną z głównych zalet stosowania technologii PKI jest możliwość skrócenia czasu przetwarzania dokumentów.
Szyfrowanie w DevOps
Badanie nie byłoby kompletne, gdyby nie zapytano respondentów o wykorzystanie systemów szyfrowania w DevOps – szybko rozwijającym się rynku, który do 13 roku ma osiągnąć 2025 miliardów dolarów. Choć rynek IT bardzo szybko przeszedł na metodologię DevOps (development + Operations) z jej zautomatyzowanymi procesami biznesowymi, elastycznością i podejściem Agile, w rzeczywistości podejścia te otwierają nowe zagrożenia bezpieczeństwa. Obecnie proces uzyskiwania certyfikatów w środowisku DevOps jest złożony, czasochłonny i podatny na błędy. Oto, przed czym stoją programiści i firmy:
- Istnieje coraz więcej kluczy i certyfikatów, które służą jako identyfikatory maszyn w modułach równoważenia obciążenia, maszynach wirtualnych, kontenerach i sieciach usług. Chaotyczne zarządzanie tymi tożsamościami bez odpowiedniej technologii szybko staje się procesem kosztownym i ryzykownym.
- Słabe certyfikaty lub nieoczekiwane wygaśnięcie certyfikatów, gdy brakuje dobrych praktyk w zakresie egzekwowania zasad i monitorowania. Nie trzeba dodawać, że takie przestoje mają znaczący wpływ na biznes.
Dlatego GlobalSign oferuje rozwiązanie , który bezpośrednio integruje się z REST API, EST lub , dzięki czemu zespół programistów nadal pracuje w tym samym tempie, nie rezygnując z bezpieczeństwa.
Kryptosystemy klucza publicznego są jedną z najbardziej podstawowych technologii bezpieczeństwa. I tak pozostanie w dającej się przewidzieć przyszłości. Biorąc pod uwagę gwałtowny rozwój, jaki obserwujemy w sektorze IoT, spodziewamy się w tym roku jeszcze większej liczby wdrożeń PKI.
Źródło: www.habr.com