סקירה כללית
מערכות מורכבות מחוברות בין ענן לענן, ולכן חשוב שתהיה להן דרך רגילה לאבטח את הפרטיות ואת נתוני הצרכנים. במהלך העשור האחרון, חל שיפור משמעותי באבטחת תשתיות הענן. עם זאת, עדיין נותרים אתגרי אבטחה משמעותיים בשכבת האפליקציה.
CASA התבסס על התקנים המקובלים בתחום שהגיעו מתקן אימות האבטחה של האפליקציה (ASVS) של OWASP, כדי לספק קבוצת אמצעי בקרה בסיסיים שצריך להטמיע באפליקציות ענן. נוסף על כך, CASA מספקת דרך אחידה לביצוע הערכות של הפקדים האלה כשנדרשות הערכות כאלה כדי שאפליקציות יוכלו לגשת לנתוני משתמשים ב-Google. CASA הוסיף שיטת הערכה רב-מפלסית כדי להתמודד עם השינוי האפשרי בסיכון, בהתבסס על המשתמש, ההיקף ופריטים אחרים הספציפיים לאפליקציה. אנחנו ממליצים מאוד על הערכות של צדדים שלישיים, אבל אנחנו מספקים לכל חברות אמצעי שבו הם יכולים להתחיל לשפר את האבטחה בעזרת תוכנית להערכה עצמית. אם אתם עומדים בדרישות של התוכנית הזו, Google תפנה אליכם ישירות כדי להתחיל את השלבים הבאים.
יתרונות
אנחנו רוצים לקדם את התעשייה כדי לתת למשתמשים את השקיפות והשליטה שהם מצפים למצוא בכל הנוגע לאבטחה ולפרטיות של הנתונים באפליקציות שהם משתמשים בהן. ביצוע הערכות אבטחה של אפליקציות הענן ושירותי הקצה העורפי יפחיתו משמעותית את נקודות החולשה הנפוצות, ויגבירו את האמון של הצרכנים במוצרים ובשירותים הסופיים.
איך זה עובד
מסגרת CASA מספקת בסיס לבדיקת בקרות אבטחה טכניות של אפליקציות אינטרנט על סמך OWASP תקן אימות האבטחה של האפליקציה (ASVS).
מסגרת CASA מספקת הנחיות לבדיקה להערכת אפליקציות אינטרנט בארבע עשר קטגוריות בתקן Application Security Standard 4.0
רמות של הערכת אבטחה:
CASA מזהה שלוש רמות של הערכות לאפליקציות בענן
המבדקים צריכים לעמוד בדרישות הבסיס של CASA לפי תקן האבטחה OWASP ASVS 4.0. הערכות נועדו להיות פונקציונליים לזמן מוגבל של הממשקים הנגישים לגורמים חיצוניים, והן לא כוללות תשתית ענן או תקשורת פנימית עם השרת. מומלץ למפתחים לבצע הערכות אבטחה לאורך תהליך הפיתוח. עם זאת, CASA דורש עדכונים שנתיים רק בדוח הערכת האבטחה.
מומלץ למפתחים לבדוק וליישם את כל הפקדים במפרט ASVS של רמה 1 ורמה 2. עם זאת, ADA דורש רק קבוצת משנה של דרישות ה-ASVS המלאות.
שותפים מורשים של שיעור ה-Lab:
כלי הערכה |
---|
קבוצת GDS Ltd-An Aon |
בישופ פוקס |
KPMG |
אבטחת לווייתן |
קבוצת NCC |
NST Cyber |
Orange Cyberprotect דרום אפריקה (Pty) Ltd |
Prescient Security LLC |
אבטחת TAC |
דקה |