ارزیابی امنیت برنامه های ابری (CASA)

بررسی اجمالی

از آنجایی که سیستم های پیچیده از طریق یکپارچه سازی ابر به ابر متصل می شوند، داشتن یک راه استاندارد برای ایمن سازی داده ها و حریم خصوصی مصرف کنندگان مهم است. در طول دهه گذشته، پیشرفت زیادی در امنیت زیرساخت ابری صورت گرفته است. با این حال، چالش های امنیتی قابل توجهی در لایه برنامه باقی مانده است.

CASA بر اساس استانداردهای شناخته شده صنعت از استاندارد تأیید امنیت برنامه (ASVS) OWASP ساخته شده است تا مجموعه ای از کنترل های امنیتی را ارائه دهد که باید در برنامه های ابری پیاده سازی شوند. علاوه بر این، CASA روشی یکسان برای انجام ارزیابی‌های این کنترل‌ها در زمانی که چنین ارزیابی‌هایی برای دسترسی برنامه‌ها به داده‌های کاربر Google مورد نیاز است، ارائه می‌کند. CASA یک روش ارزیابی چند سطحی را برای رسیدگی به تغییرات احتمالی در خطر بر اساس کاربر، دامنه و سایر موارد خاص برنامه اضافه کرده است. اگرچه ما ارزیابی های شخص ثالث را به شدت توصیه می کنیم، اما ابزاری را برای همه شرکت ها فراهم می کنیم تا از طریق یک برنامه خودارزیابی، امنیت خود را بهبود بخشند. اگر برای این برنامه واجد شرایط هستید، Google مستقیماً برای شروع مراحل بعدی تماس خواهد گرفت.

فواید

ما می‌خواهیم صنعت را به سمتی سوق دهیم که در مورد امنیت داده‌ها و حریم خصوصی برنامه‌هایی که استفاده می‌کنند، شفافیت و کنترل مورد انتظار را به کاربران بدهیم. انجام ارزیابی‌های امنیتی برنامه‌های کاربردی ابری و خدمات پشتیبان، آسیب‌پذیری‌های رایج را تا حد زیادی کاهش می‌دهد، در حالی که اعتماد مصرف‌کننده به محصولات و خدمات نهایی را افزایش می‌دهد.

چگونه کار می کند

چارچوب CASA مبنایی برای آزمایش کنترل‌های امنیتی فنی برنامه‌های کاربردی وب بر اساس استاندارد تأیید امنیت برنامه OWASP (ASVS) فراهم می‌کند.

چارچوب CASA دستورالعمل های آزمایشی را برای ارزیابی برنامه های وب در چهارده دسته استاندارد تأیید امنیت برنامه 4.0 ارائه می دهد.

سطوح ارزیابی امنیتی:

CASA سه سطح ارزیابی را برای برنامه های ابری تشخیص می دهد

ارزیابی‌ها باید الزامات پایه CASA از استاندارد امنیتی OWASP ASVS 4.0 را برآورده کنند. ارزیابی‌ها به‌عنوان ممیزی‌های عملکردی محدود زمانی از رابط‌های قابل دسترسی خارجی هستند و زیرساخت‌های ابری یا ارتباطات سرور داخلی را شامل نمی‌شوند. توصیه می شود که توسعه دهندگان ارزیابی های امنیتی را در طول فرآیند توسعه انجام دهند. با این حال، CASA فقط به به روز رسانی سالانه گزارش ارزیابی امنیتی نیاز دارد.

توصیه می‌شود که توسعه‌دهندگان تمام کنترل‌های سطح 1 و سطح 2 مشخصات ASVS را بررسی و اجرا کنند، با این حال، ADA فقط به زیر مجموعه‌ای از الزامات کامل ASVS نیاز دارد.