Podjetje GlobalSign , kako in zakaj podjetja sploh uporabljajo infrastrukturo javnih ključev (PKI). V anketi je sodelovalo okoli 750 ljudi: zastavljali so jim tudi vprašanja o digitalnih podpisih in DevOps.
Če izraza niste seznanjeni, PKI omogoča sistemom varno izmenjavo podatkov in preverjanje lastnikov potrdil. vključujejo avtentikacijo digitalnih potrdil in javnih ključev za šifriranje in kriptografsko preverjanje pristnosti podatkov. Vse občutljive informacije se opirajo na sistem PKI, GlobalSign pa velja za enega vodilnih svetovnih ponudnikov tovrstnih sistemov.
Torej, poglejmo nekaj ključnih ugotovitev iz študije.
Kaj je šifrirano?
Na splošno 61,76 % podjetij uporablja PKI v takšni ali drugačni obliki.
Eno glavnih vprašanj, ki je zanimalo raziskovalce, je bilo, katere specifične šifrirne sisteme in digitalna potrdila anketiranci uporabljajo. Ni presenetljivo, da jih je približno 75 % izjavilo, da uporabljajo javna potrdila , približno 50 % pa se jih zanaša na zasebni SSL in TLS. To je najbolj priljubljena aplikacija sodobne kriptografije – šifriranje omrežnega prometa.
To vprašanje je bilo zastavljeno podjetjem, ki so na prejšnja vprašanja o uporabi sistemov PKI odgovorila pritrdilno, in je omogočilo več možnosti odgovora.
Tretjina sodelujočih (30 %) je povedala, da uporabljajo potrdila za digitalne podpise, medtem ko se nekoliko manj zanaša na PKI za zaščito elektronske pošte (). S/MIME je široko uporabljen protokol za pošiljanje digitalno podpisanih šifriranih sporočil in način za zaščito uporabnikov pred lažnim predstavljanjem. Ker napadi lažnega predstavljanja naraščajo, je jasno, zakaj je to vse bolj priljubljena rešitev za varnost podjetij.
Preučili smo tudi, zakaj podjetja najprej izberejo tehnologije, ki temeljijo na PKI. Več kot 30 % jih je navedlo razširljivost interneta stvari (), 26 % pa meni, da je PKI mogoče uporabiti v številnih panogah. 35 % vprašanih je navedlo, da cenijo PKI za zagotavljanje celovitosti podatkov.
Pogosti izzivi pri izvajanju
Čeprav vemo, da ima PKI veliko vrednost za organizacijo, je kriptografija dokaj zapletena tehnologija. To povzroča težave pri izvajanju. Anketirance smo vprašali, kaj menijo o glavnih izzivih izvajanja. Izkazalo se je, da je ena največjih težav pomanjkanje notranjih informacijskih virov. Preprosto ni dovolj usposobljenih delavcev, ki bi razumeli kriptografijo. Poleg tega je 17 % vprašanih poročalo o dolgih časih uvajanja projekta, skoraj 40 % pa jih je omenilo, da je lahko upravljanje življenjskega cikla dolgotrajno. Za mnoge so ovira visoki stroški prilagojenih rešitev PKI.
Iz ankete smo izvedeli, da veliko podjetij kljub obremenitvi informacijskih virov podjetja še vedno uporablja lastnega internega overitelja.
Študija je pokazala tudi porast uporabe digitalnih podpisov. Več kot 50 % anketirancev je izjavilo, da aktivno uporabljajo digitalne podpise za zaščito celovitosti in pristnosti vsebine.
Kar zadeva razlog, zakaj so izbrali digitalne podpise, je 53 % vprašanih dejalo, da je glavni razlog skladnost, 60 % pa jih je navedlo sprejetje brezpapirnih tehnologij. Kot enega glavnih razlogov za prehod na digitalno podpisovanje so navedli prihranek časa. Prav tako je zmožnost skrajšanja časa obdelave dokumentov ena glavnih prednosti uporabe tehnologije PKI.
Šifriranje v DevOps
Študija ne bi bila popolna, če anketirance ne bi vprašali o uporabi šifrirnih sistemov v DevOps, hitro rastočem trgu, ki naj bi do leta 13 dosegel 2025 milijard dolarjev. Čeprav je IT trg zelo hitro prešel na metodologijo DevOps (development + operations) s svojimi avtomatiziranimi poslovnimi procesi, fleksibilnostjo in Agilnimi pristopi, v resnici ti pristopi odpirajo nova varnostna tveganja. Trenutno je postopek pridobivanja certifikatov v okolju DevOps zapleten, dolgotrajen in nagnjen k napakam. S tem se soočajo razvijalci in podjetja:
- Vse več je ključev in certifikatov, ki služijo kot identifikatorji strojev v izravnavah obremenitve, virtualnih strojih, vsebnikih in servisnih omrežjih. Kaotično upravljanje teh identitet brez prave tehnologije hitro postane drag in tvegan proces.
- Šibka potrdila ali nepričakovani izteki veljavnosti potrdil, ko ni dobrih praks uveljavljanja politik in spremljanja. Ni treba posebej poudarjati, da takšni izpadi pomembno vplivajo na poslovanje.
Zato GlobalSign ponuja rešitev , ki se direktno integrira z REST API, EST oz , tako da razvojna ekipa nadaljuje delo z enakim tempom brez žrtvovanja varnosti.
Kriptosistemi javnih ključev so ena najbolj temeljnih varnostnih tehnologij. In tako bo ostalo tudi v bližnji prihodnosti. In glede na eksplozivno rast, ki jo opažamo v sektorju IoT, letos pričakujemo še več uvedb PKI.
Vir: www.habr.com