Công ty GlobalSign , cách thức và lý do các công ty sử dụng cơ sở hạ tầng khóa công khai (PKI) ngay từ đầu. Khoảng 750 người đã tham gia cuộc khảo sát: họ cũng được hỏi các câu hỏi về chữ ký số và DevOps.
Nếu bạn không quen với thuật ngữ này, PKI cho phép các hệ thống trao đổi dữ liệu và xác minh chủ sở hữu chứng chỉ một cách an toàn. bao gồm xác thực chứng chỉ kỹ thuật số và khóa chung để mã hóa và xác minh bằng mật mã tính xác thực của dữ liệu. Mọi thông tin nhạy cảm đều dựa trên hệ thống PKI và GlobalSign được coi là một trong những nhà cung cấp hệ thống như vậy hàng đầu thế giới.
Vì vậy, chúng ta hãy xem xét một vài phát hiện chính từ nghiên cứu.
Mã hóa là gì?
Nhìn chung, 61,76% công ty sử dụng PKI dưới hình thức này hay hình thức khác.
Một trong những câu hỏi chính mà các nhà nghiên cứu quan tâm là hệ thống mã hóa và chứng chỉ số cụ thể mà người trả lời sử dụng. Không có gì ngạc nhiên khi khoảng 75% cho biết họ sử dụng chứng chỉ công cộng và khoảng 50% dựa vào SSL và TLS riêng tư. Đây là ứng dụng phổ biến nhất của mật mã hiện đại - mã hóa lưu lượng mạng.
Câu hỏi này được đặt ra cho các công ty đã trả lời có cho các câu hỏi trước đây về việc sử dụng hệ thống PKI và nó cho phép có nhiều lựa chọn trả lời.
Một phần ba số người tham gia (30%) cho biết họ sử dụng chứng chỉ cho chữ ký số, trong khi ít dựa vào PKI để bảo mật email (). S/MIME là giao thức được sử dụng rộng rãi để gửi tin nhắn mã hóa được ký điện tử và là cách bảo vệ người dùng khỏi các hành vi lừa đảo trực tuyến. Với các cuộc tấn công lừa đảo ngày càng gia tăng, rõ ràng tại sao đây là giải pháp ngày càng phổ biến cho bảo mật doanh nghiệp.
Chúng tôi cũng xem xét lý do ban đầu các công ty chọn công nghệ dựa trên PKI. Hơn 30% cho biết khả năng mở rộng của Internet of Things () và 26% tin rằng PKI có thể được áp dụng cho nhiều ngành công nghiệp. 35% số người được hỏi lưu ý rằng họ coi trọng PKI vì đảm bảo tính toàn vẹn dữ liệu.
Những thách thức thực hiện chung
Mặc dù chúng ta biết rằng PKI có giá trị to lớn đối với một tổ chức nhưng mật mã là một công nghệ khá phức tạp. Điều này gây ra vấn đề với việc thực hiện. Chúng tôi đã hỏi những người trả lời họ nghĩ gì về những thách thức chính trong việc triển khai. Hóa ra một trong những vấn đề lớn nhất là thiếu nguồn lực CNTT nội bộ. Đơn giản là không có đủ công nhân có trình độ hiểu được mật mã. Ngoài ra, 17% số người được hỏi cho biết thời gian triển khai dự án dài và gần 40% đề cập rằng việc quản lý vòng đời có thể tốn thời gian. Đối với nhiều người, rào cản là chi phí cao của các giải pháp PKI tùy chỉnh.
Qua cuộc khảo sát, chúng tôi biết được rằng nhiều công ty vẫn sử dụng cơ quan cấp chứng nhận nội bộ của riêng họ, bất chấp gánh nặng mà cơ quan này tạo ra đối với tài nguyên CNTT của công ty.
Nghiên cứu cũng chỉ ra sự gia tăng trong việc sử dụng chữ ký số. Hơn 50% số người tham gia khảo sát cho biết họ tích cực sử dụng chữ ký số để bảo vệ tính toàn vẹn và xác thực của nội dung.
Về lý do tại sao họ chọn chữ ký số, 53% số người được hỏi cho biết lý do chính là tuân thủ, trong đó 60% cho rằng việc áp dụng công nghệ không cần giấy tờ. Tiết kiệm thời gian được cho là một trong những lý do chính để chuyển sang chữ ký số. Cũng như khả năng giảm thời gian xử lý tài liệu là một trong những ưu điểm chính của việc sử dụng công nghệ PKI.
Mã hóa trong DevOps
Nghiên cứu sẽ không hoàn chỉnh nếu không hỏi người trả lời về việc sử dụng hệ thống mã hóa trong DevOps, một thị trường đang phát triển nhanh chóng được dự đoán sẽ đạt 13 tỷ USD vào năm 2025. Mặc dù thị trường CNTT đã nhanh chóng chuyển sang phương pháp DevOps (phát triển + vận hành) với các quy trình kinh doanh tự động, tính linh hoạt và phương pháp tiếp cận Agile, nhưng trên thực tế, những phương pháp này mở ra những rủi ro bảo mật mới. Hiện tại, quá trình lấy chứng chỉ trong môi trường DevOps rất phức tạp, tốn thời gian và dễ xảy ra lỗi. Đây là những gì các nhà phát triển và công ty phải đối mặt:
- Ngày càng có nhiều khóa và chứng chỉ đóng vai trò là mã định danh máy trong bộ cân bằng tải, máy ảo, bộ chứa và mạng dịch vụ. Việc quản lý hỗn loạn những danh tính này nếu không có công nghệ phù hợp sẽ nhanh chóng trở thành một quá trình tốn kém và rủi ro.
- Chứng chỉ yếu hoặc chứng chỉ hết hạn ngoài dự kiến khi thiếu các biện pháp giám sát và thực thi chính sách tốt. Không cần phải nói, thời gian ngừng hoạt động như vậy có tác động đáng kể đến hoạt động kinh doanh.
Đó là lý do GlobalSign cung cấp giải pháp , tích hợp trực tiếp với REST API, EST hoặc , để nhóm phát triển tiếp tục làm việc với tốc độ như cũ mà không ảnh hưởng đến tính bảo mật.
Hệ thống mật mã khóa công khai là một trong những công nghệ bảo mật cơ bản nhất. Và nó sẽ vẫn như vậy trong tương lai gần. Và với sự tăng trưởng bùng nổ mà chúng ta đang thấy trong lĩnh vực IoT, chúng tôi kỳ vọng sẽ có nhiều hoạt động triển khai PKI hơn nữa trong năm nay.
Nguồn: www.habr.com