הערכת אבטחה של אפליקציות ענן (CASA)

סקירה כללית

מערכות מורכבות מחוברות באמצעות שילובים של ענן לענן, ולכן חשוב שתהיה דרך סטנדרטית לאבטח את נתוני הצרכנים והפרטיות שלהם. בעשור האחרון חל שיפור משמעותי באבטחת תשתית הענן. עם זאת, יש אתגרים משמעותיים בתחום האבטחה בשכבת האפליקציה.

ה-CASA מבוסס על התקנים המוכרים בתעשייה שמגיעים מ-OWASP's Application Security Verification Standard (ASVS) (תקן אימות אבטחת אפליקציות), כדי לספק קבוצת בסיס של אמצעי בקרה לאבטחה שצריך להטמיע באפליקציות בענן. בנוסף, CASA מספקת דרך אחידה לבצע הערכות של אמצעי הבקרה האלה כשנדרשות הערכות כאלה כדי שאפליקציות יוכלו לגשת לנתוני משתמשים ב-Google. ‫CASA הוסיפה שיטת הערכה רב-רמתית כדי להתמודד עם שינוי פוטנציאלי בסיכון על סמך משתמש, היקף ופריטים ספציפיים אחרים לאפליקציה. למרות שאנחנו ממליצים מאוד על הערכות של צד שלישי, אנחנו מספקים לכל החברות אמצעי להתחיל לשפר את האבטחה שלהן באמצעות תוכנית להערכה עצמית. אם אתם עומדים בדרישות של התוכנית הזו, Google תיצור איתכם קשר ישירות כדי להסביר מה השלבים הבאים.

יתרונות

אנחנו רוצים להוביל את התעשייה למצב שבו המשתמשים יקבלו את השקיפות והשליטה שהם מצפים להן בכל הנוגע לאבטחת נתונים ולפרטיות באפליקציות שבהן הם משתמשים. ביצוע הערכות אבטחה של אפליקציות בענן ושירותי קצה עורפיים יפחית באופן משמעותי את נקודות החולשה הנפוצות, ויגביר את אמון הצרכנים במוצרים ובשירותים הסופיים.

איך זה עובד

מסגרת CASA מספקת בסיס לבדיקת אמצעי בקרה טכניים לאבטחת אפליקציות אינטרנט על סמך תקן OWASP לאימות אבטחת אפליקציות (ASVS).

מסגרת CASA
איור 1: מסגרת CASA

מסגרת CASA מספקת הנחיות לבדיקה להערכת אפליקציות אינטרנט ב-14 קטגוריות של תקן אימות אבטחת האפליקציות 4.0

רמות של הערכת אבטחה:

ב-CASA יש שלוש רמות של הערכה לאפליקציות בענן

הערכות CASA
איור 2: רמות ההערכה של CASA

ההערכות צריכות לעמוד בדרישות הבסיסיות של CASA מתוך תקן האבטחה OWASP ASVS 4.0. ההערכות מיועדות לביקורות פונקציונליות מוגבלות בזמן של הממשקים הנגישים מבחוץ, והן לא כוללות תשתית ענן או תקשורת פנימית בין שרתים. מומלץ למפתחים לבצע הערכות אבטחה לאורך תהליך הפיתוח. עם זאת, במסגרת CASA נדרשים עדכונים שנתיים בלבד לדוח הערכת האבטחה.

מומלץ למפתחים לעיין בכל אמצעי הבקרה במפרט ASVS ברמה 1 וברמה 2 ולהטמיע אותם, אבל ADA דורש רק קבוצת משנה של הדרישות המלאות של ASVS.

שותפי Labs מורשים:

מעריך
GDS Ltd-An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC Group
NST Cyber
Orange Cyberdefense South Africa (Pty) Ltd
Prescient Security LLC
TAC Security
DEKRA