تقييم أمان تطبيق السحابة الإلكترونية (CASA)

نظرة عامة

وبما أن الأنظمة المعقدة ترتبط من خلال عمليات التكامل مع السحابة الإلكترونية والسحابة الإلكترونية، من المهم أن تتوفّر طريقة عادية لتأمين بيانات المستهلك وخصوصيته. على مدار العقد الماضي، شهدنا تحسّنًا كبيرًا في أمان البنية الأساسية على السحابة الإلكترونية. ومع ذلك، هناك العديد من التحديات الأمنية المتبقية في طبقة التطبيق.

وقد اعتمدت CASA على المعايير المُعترف بها في المجال الصادرة عن معيار التحقق من أمان التطبيقات (ASVS) من OWASP لتوفير مجموعة أساسية من عناصر التحكم في الأمان التي يجب تنفيذها في تطبيقات السحابة الإلكترونية. بالإضافة إلى ذلك، توفر CASA طريقة موحدة لإجراء تقييمات لعناصر التحكم هذه عندما تكون هذه التقييمات مطلوبة للتطبيقات للوصول إلى بيانات مستخدم Google. أضافت CASA طريقة تقييم متعددة المستويات لمعالجة التغيير المحتمل في المخاطر استنادًا إلى المستخدم والنطاق والعناصر الأخرى الخاصة بالتطبيق. على الرغم من أنّنا ننصح بشدة بالخضوع لتقييمات من جهات خارجية، إلا أنّنا نوفّر وسائل لجميع الشركات للبدء في تحسين مستوى أمانها من خلال برنامج تقييم ذاتي. إذا كنت مؤهلاً للاستفادة من هذا البرنامج، ستتواصل معك Google مباشرةً لبدء الخطوات التالية.

المزايا

نريد أن نعزّز المجال على أجهزة المستخدمين لمنحهم الشفافية والتحكّم التي يتوقّعونها في ما يتعلّق بأمان البيانات وخصوصيتها للتطبيقات التي يستخدمونها. يؤدي إجراء عمليات تقييم الأمان لتطبيقات السحابة الإلكترونية والخدمات الخلفية إلى تقليل الثغرات الأمنية الشائعة بشكل كبير، مع زيادة ثقة المستهلكين في المنتجات والخدمات النهائية.

آلية العمل

يوفر إطار عمل CASA أساسًا لاختبار عناصر التحكم في الأمان الفني لتطبيقات الويب استنادًا إلى OWASP معيار التحقق من أمان التطبيقات (ASVS).

إطار عمل CASA
الشكل 1: إطار عمل CASA

يوفّر إطار عمل CASA إرشادات اختبارية لتقييم تطبيقات الويب على مستوى أربع عشر فئة من معايير التحقّق من أمان التطبيقات 4.0.

مستويات تقييم الأمان:

تتعرف CASA على ثلاثة مستويات من تقييم تطبيقات السحابة الإلكترونية

تقييمات CASA
الشكل 2: مستويات تقييم CASA

يجب أن تستوفي التقييمات متطلبات مرجع CASA الأساسي الوارد في معيار الأمان OWASP ASVS 4.0. وتهدف التقييمات إلى إجراء تدقيقات وظيفية محدودة الوقت للواجهات التي يمكن الوصول إليها خارجيًا، ولا تشمل البنية الأساسية للسحابة الإلكترونية أو مراسلات الخادم الداخلية. وننصح بأن يجري مطوّرو البرامج تقييمات أمنية خلال عملية التطوير. ومع ذلك، تتطلب CASA التحديثات السنوية في تقرير تقييم الأمان فقط.

نقترح على مطوّري البرامج مراجعة جميع عناصر التحكّم في مستويَي ASVS من المستوى 1 والمستوى 2 وتنفيذها، إلا أنّ ADA لا تطلب سوى مجموعة فرعية من متطلبات ASVS الكاملة.

الشركاء المعتمدون في الميزة الاختبارية:

المُقيِّم

GDS Ltd-An Aon Group
بيشوب فوكس
KPMG
Leviathan Security
مجموعة NCC
قناة NST Cyber
Orange Cyber مربّع جنوب أفريقيا (Pty) Ltd
Prescient Security LLC
أمان مركز عملائي
الدكتورا