ক্লাউড অ্যাপ্লিকেশন নিরাপত্তা মূল্যায়ন (CASA)

ওভারভিউ

যেহেতু জটিল সিস্টেমগুলি ক্লাউড থেকে ক্লাউড ইন্টিগ্রেশনের মাধ্যমে সংযুক্ত থাকে, তাই ভোক্তা ডেটা এবং গোপনীয়তা সুরক্ষিত করার জন্য একটি আদর্শ উপায় থাকা গুরুত্বপূর্ণ৷ গত এক দশকে, ক্লাউড অবকাঠামো নিরাপত্তার ক্ষেত্রে ব্যাপক উন্নতি হয়েছে। যাইহোক, অ্যাপ্লিকেশন স্তরে উল্লেখযোগ্য নিরাপত্তা চ্যালেঞ্জ বাকি আছে।

CASA নিরাপত্তা নিয়ন্ত্রণের একটি বেসলাইন সেট প্রদান করতে OWASP-এর অ্যাপ্লিকেশন সিকিউরিটি ভেরিফিকেশন স্ট্যান্ডার্ড (ASVS) থেকে আসা শিল্প স্বীকৃত মানগুলির উপর ভিত্তি করে তৈরি করেছে যা ক্লাউড অ্যাপ্লিকেশনগুলিতে প্রয়োগ করা উচিত। আরও, CASA এই নিয়ন্ত্রণগুলির মূল্যায়ন করার জন্য একটি অভিন্ন উপায় প্রদান করে যখন Google ব্যবহারকারীর ডেটা অ্যাক্সেস করার জন্য অ্যাপ্লিকেশনগুলির জন্য এই ধরনের মূল্যায়নের প্রয়োজন হয়৷ ব্যবহারকারী, সুযোগ এবং অন্যান্য অ্যাপ্লিকেশন নির্দিষ্ট আইটেমগুলির উপর ভিত্তি করে ঝুঁকির সম্ভাব্য পরিবর্তন মোকাবেলায় CASA একটি বহু-স্তরের মূল্যায়ন পদ্ধতি যুক্ত করেছে। যদিও আমরা তৃতীয় পক্ষের মূল্যায়নের সুপারিশ করি, আমরা একটি স্ব-মূল্যায়ন প্রোগ্রামের মাধ্যমে সমস্ত কোম্পানিকে তাদের নিরাপত্তার উন্নতি শুরু করার জন্য একটি উপায় প্রদান করি। আপনি এই প্রোগ্রামের জন্য যোগ্য হলে, পরবর্তী পদক্ষেপগুলি শুরু করার জন্য Google সরাসরি যোগাযোগ করবে।

সুবিধা

আমরা এই শিল্পকে চালিত করতে চাই যাতে ব্যবহারকারীরা যে স্বচ্ছতা এবং নিয়ন্ত্রণ আশা করে, যখন তারা ব্যবহার করে এমন অ্যাপগুলির জন্য ডেটা নিরাপত্তা এবং গোপনীয়তার কথা আসে। ক্লাউড অ্যাপ্লিকেশন এবং ব্যাক এন্ড পরিষেবাগুলির নিরাপত্তা মূল্যায়ন সম্পাদন করা সাধারণ দুর্বলতাগুলিকে ব্যাপকভাবে হ্রাস করবে, যখন চূড়ান্ত পণ্য এবং পরিষেবাগুলিতে ভোক্তাদের আস্থা বৃদ্ধি করবে৷

কিভাবে এটা কাজ করে

CASA ফ্রেমওয়ার্ক OWASP অ্যাপ্লিকেশন সিকিউরিটি ভেরিফিকেশন স্ট্যান্ডার্ড (ASVS) এর উপর ভিত্তি করে ওয়েব অ্যাপ্লিকেশন প্রযুক্তিগত নিরাপত্তা নিয়ন্ত্রণ পরীক্ষা করার জন্য একটি ভিত্তি প্রদান করে।

CASA ফ্রেমওয়ার্ক
চিত্র 1 : CASA কাঠামো

CASA ফ্রেমওয়ার্ক অ্যাপ্লিকেশান সিকিউরিটি ভেরিফিকেশন স্ট্যান্ডার্ড 4.0 এর চৌদ্দটি বিভাগে ওয়েব অ্যাপস মূল্যায়নের জন্য পরীক্ষার নির্দেশিকা প্রদান করে

নিরাপত্তা মূল্যায়ন স্তর:

CASA ক্লাউড অ্যাপ্লিকেশনের জন্য মূল্যায়নের তিনটি স্তরকে স্বীকৃতি দেয়

CASA মূল্যায়ন
চিত্র 2 : CASA মূল্যায়ন স্তর

মূল্যায়ন অবশ্যই OWASP ASVS 4.0 নিরাপত্তা মান থেকে CASA বেসলাইন প্রয়োজনীয়তা পূরণ করতে হবে। মূল্যায়নগুলি বাহ্যিকভাবে অ্যাক্সেসযোগ্য ইন্টারফেসের সময়-সীমিত কার্যকরী অডিট করার উদ্দেশ্যে করা হয়েছে এবং এতে ক্লাউড অবকাঠামো বা অভ্যন্তরীণ সার্ভার যোগাযোগ অন্তর্ভুক্ত নয়। এটি সুপারিশ করা হয় যে বিকাশকারীরা উন্নয়ন প্রক্রিয়া জুড়ে নিরাপত্তা মূল্যায়ন সম্পাদন করে। যাইহোক, CASA শুধুমাত্র নিরাপত্তা মূল্যায়ন রিপোর্টের বার্ষিক আপডেটের প্রয়োজন।

এটি সুপারিশ করা হয় যে ডেভেলপাররা লেভেল 1 এবং লেভেল 2 ASVS স্পেসিফিকেশনের সমস্ত নিয়ন্ত্রণ পর্যালোচনা এবং প্রয়োগ করুন, তবে, ADA-এর শুধুমাত্র সম্পূর্ণ ASVS প্রয়োজনীয়তার একটি উপসেট প্রয়োজন।

অনুমোদিত ল্যাব অংশীদার:

মূল্যায়নকারী

GDS Ltd-An Aon Group
বিশপ ফক্স
কেপিএমজি
লেভিয়াথান সিকিউরিটি
এনসিসি গ্রুপ
এনএসটি সাইবার
অরেঞ্জ সাইবার ডিফেন্স সাউথ আফ্রিকা (পিটিআই) লিমিটেড
Prescient Security LLC
TAC নিরাপত্তা
ডেকরা