نظرة عامة
مع ربط الأنظمة المعقّدة من خلال عمليات الدمج بين السحابات الإلكترونية، يصبح من المهم توفير طريقة موحّدة لتأمين بيانات المستهلكين وخصوصيتهم. خلال العقد الماضي، شهدنا تحسّنًا كبيرًا في أمان البنية التحتية السحابية. ومع ذلك، لا تزال هناك تحديات أمنية كبيرة في طبقة التطبيق.
تستند CASA إلى المعايير المعترف بها في المجال والمستمدة من معيار التحقّق من أمان التطبيقات (ASVS) من OWASP، وذلك لتوفير مجموعة أساسية من عناصر التحكّم في الأمان التي يجب تنفيذها في التطبيقات السحابية. بالإضافة إلى ذلك، توفّر CASA طريقة موحّدة لإجراء تقييمات لعناصر التحكّم هذه عندما تكون هذه التقييمات مطلوبة للتطبيقات للوصول إلى بيانات مستخدمي Google. أضافت CASA طريقة تقييم متعددة المستويات للتعامل مع التغيير المحتمل في المخاطر استنادًا إلى المستخدم والنطاق والعناصر الأخرى الخاصة بالتطبيق. على الرغم من أنّنا ننصح بشدة بإجراء تقييمات من جهات خارجية، إلا أنّنا نوفّر وسيلة لجميع الشركات لبدء تحسين أمانها من خلال برنامج التقييم الذاتي. إذا كنت مؤهلاً للانضمام إلى هذا البرنامج، ستتواصل معك Google مباشرةً لبدء الخطوات التالية.
المزايا
نريد أن نحثّ المجال على توفير الشفافية وإمكانية التحكّم التي يتوقّعها المستخدمون عندما يتعلّق الأمر بأمان البيانات وخصوصيتها في التطبيقات التي يستخدمونها. سيؤدي إجراء تقييمات أمان لتطبيقات السحابة الإلكترونية وخدمات الخلفية إلى الحدّ بشكل كبير من الثغرات الأمنية الشائعة، مع زيادة ثقة المستهلكين في المنتجات والخدمات النهائية.
آلية العمل
يوفّر إطار عمل تقييم أمان تطبيقات السحابة الإلكترونية (CASA) أساسًا لاختبار عناصر التحكّم الفنية في أمان تطبيقات الويب استنادًا إلى معيار التحقّق من أمان التطبيقات (ASVS) من OWASP.
يوفّر إطار عمل تقييم أمان تطبيقات السحابة الإلكترونية (CASA) إرشادات اختبار لتقييم تطبيقات الويب في أربع عشرة فئة من معيار التحقّق من أمان التطبيقات 4.0.
مستويات تقييم الأمان:
تتعرّف أداة CASA على ثلاث فئات من التقييم لتطبيقات السحابة الإلكترونية
يجب أن تستوفي التقييمات متطلبات CASA الأساسية من معيار الأمان OWASP ASVS 4.0. تهدف التقييمات إلى إجراء عمليات تدقيق وظيفية محدودة المدة للواجهات التي يمكن الوصول إليها خارجيًا، ولا تشمل البنية الأساسية السحابية أو عمليات الاتصال بين الخوادم الداخلية. ننصح المطوّرين بإجراء تقييمات أمان طوال عملية التطوير. ومع ذلك، لا تتطلّب CASA سوى تحديثات سنوية لتقرير تقييم الأمان.
يُنصح المطوّرون بمراجعة جميع عناصر التحكّم وتنفيذها في مواصفات ASVS من المستوى 1 والمستوى 2، ولكن لا تتطلّب ADA سوى مجموعة فرعية من متطلبات ASVS الكاملة.
شركاء المختبر المعتمَدون:|
مقيّم |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| KPMG |
| Leviathan Security |
| مجموعة NCC |
| NST Cyber |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC |
| TAC Security |
| DEKRA |