Spoločnosť GlobalSign , ako a prečo firmy vôbec využívajú infraštruktúru verejných kľúčov (PKI). Prieskumu sa zúčastnilo približne 750 ľudí: dostali aj otázky o digitálnych podpisoch a DevOps.
Ak tento pojem nepoznáte, PKI umožňuje systémom bezpečnú výmenu údajov a overovanie vlastníkov certifikátov. zahŕňajú autentifikáciu digitálnych certifikátov a verejných kľúčov na šifrovanie a kryptografické overenie pravosti údajov. Všetky citlivé informácie sa spoliehajú na systém PKI a GlobalSign je považovaný za jedného z popredných svetových poskytovateľov takýchto systémov.
Poďme sa teda pozrieť na niekoľko kľúčových zistení štúdie.
Čo je šifrované?
Celkovo 61,76 % spoločností využíva PKI v tej či onej forme.
Jednou z hlavných otázok, ktoré zaujímali výskumníkov, bolo, aké konkrétne šifrovacie systémy a digitálne certifikáty respondenti používajú. Nie je žiadnym prekvapením, že približne 75 % uviedlo, že používa verejné certifikáty a približne 50 % sa spolieha na súkromné SSL a TLS. Toto je najobľúbenejšia aplikácia modernej kryptografie - šifrovanie sieťovej prevádzky.
Táto otázka bola položená spoločnostiam, ktoré odpovedali áno na predchádzajúce otázky o používaní systémov PKI, a umožňovala viacero možností odpovede.
Tretina účastníkov (30 %) uviedla, že používa certifikáty na digitálne podpisy, zatiaľ čo o niečo menej sa spolieha na PKI na zabezpečenie e-mailov (). S/MIME je široko používaný protokol na odosielanie digitálne podpísaných šifrovaných správ a spôsob ochrany používateľov pred phishingovými podvodmi. S pribúdajúcimi phishingovými útokmi je jasné, prečo ide o čoraz populárnejšie riešenie podnikovej bezpečnosti.
Pozreli sme sa aj na to, prečo si firmy spočiatku vyberajú technológie založené na PKI. Viac ako 30 % uviedlo škálovateľnosť internetu vecí () a 26 % sa domnieva, že PKI možno použiť v širokej škále odvetví. 35 % respondentov uviedlo, že oceňujú PKI pre zabezpečenie integrity údajov.
Spoločné implementačné výzvy
Aj keď vieme, že PKI má pre organizáciu veľkú hodnotu, kryptografia je pomerne zložitá technológia. To spôsobuje problémy s implementáciou. Respondentov sme sa opýtali, čo si myslia o hlavných výzvach implementácie. Ukázalo sa, že jedným z najväčších problémov je nedostatok interných IT zdrojov. Jednoducho nie je dostatok kvalifikovaných pracovníkov, ktorí rozumejú kryptografii. Okrem toho 17 % respondentov uviedlo dlhé časy nasadenia projektov a takmer 40 % uviedlo, že správa životného cyklu môže byť časovo náročná. Pre mnohých sú bariérou vysoké náklady na vlastné riešenia PKI.
Z prieskumu sme sa dozvedeli, že mnohé spoločnosti stále využívajú vlastnú internú certifikačnú autoritu, a to aj napriek zaťaženiu IT zdrojov spoločnosti.
Štúdia tiež naznačila nárast používania digitálnych podpisov. Viac ako 50 % respondentov prieskumu uviedlo, že aktívne používajú digitálne podpisy na ochranu integrity a autentickosti obsahu.
Pokiaľ ide o to, prečo si vybrali digitálne podpisy, 53 % respondentov uviedlo, že hlavným dôvodom je dodržiavanie predpisov, pričom 60 % uviedlo prijatie bezpapierových technológií. Úspora času bola uvedená ako jeden z hlavných dôvodov prechodu na digitálne podpisy. Rovnako ako schopnosť skrátiť čas spracovania dokumentov je jednou z hlavných výhod používania technológie PKI.
Šifrovanie v DevOps
Štúdia by nebola úplná bez toho, aby sme sa respondentov spýtali na používanie šifrovacích systémov v DevOps, rýchlo rastúcom trhu, ktorý by mal do roku 13 dosiahnuť 2025 miliárd dolárov. Hoci IT trh veľmi rýchlo prešiel na metodiku DevOps (vývoj + operácie) s jej automatizovanými obchodnými procesmi, flexibilitou a Agile prístupmi, v skutočnosti tieto prístupy otvárajú nové bezpečnostné riziká. V súčasnosti je proces získavania certifikátov v prostredí DevOps zložitý, časovo náročný a náchylný na chyby. Vývojári a spoločnosti, ktorým čelia:
- Existuje stále viac kľúčov a certifikátov, ktoré slúžia ako identifikátory strojov v nástrojoch na vyrovnávanie zaťaženia, virtuálnych strojoch, kontajneroch a servisných sieťach. Chaotické riadenie týchto identít bez správnej technológie sa rýchlo stáva nákladným a riskantným procesom.
- Slabé certifikáty alebo neočakávané uplynutie platnosti certifikátov, keď chýbajú dobré postupy presadzovania pravidiel a monitorovania. Netreba dodávať, že takéto prestoje majú výrazný vplyv na podnikanie.
Preto GlobalSign ponúka riešenie , ktorý sa priamo integruje s REST API, EST resp , aby vývojový tím pokračoval v práci rovnakým tempom bez obetovania bezpečnosti.
Kryptosystémy s verejným kľúčom sú jednou z najzákladnejších bezpečnostných technológií. A v dohľadnej dobe to tak aj zostane. A vzhľadom na prudký rast, ktorý vidíme v sektore internetu vecí, očakávame tento rok ešte viac nasadení PKI.
Zdroj: hab.com