खास जानकारी
कॉम्प्लेक्स सिस्टम, क्लाउड से क्लाउड इंटिग्रेशन के ज़रिए जुड़े होते हैं. इसलिए, उपभोक्ता डेटा और निजता की सुरक्षा का स्टैंडर्ड तरीका होना ज़रूरी है. पिछले एक दशक में, क्लाउड इन्फ़्रास्ट्रक्चर की सुरक्षा में काफ़ी सुधार हुआ है. हालांकि, ऐप्लिकेशन लेयर में सुरक्षा से जुड़ी बड़ी चुनौतियां आ रही हैं.
CASA ने OWASP के ऐप्लिकेशन सिक्योरिटी वेरिफ़िकेशन स्टैंडर्ड (ASVS) से आने वाले इंडस्ट्री स्टैंडर्ड के आधार पर बनाया है. यह सुरक्षा से जुड़े कंट्रोल का एक बेसलाइन सेट देता है, जिसे क्लाउड ऐप्लिकेशन में लागू किया जाना चाहिए. इसके अलावा, जब उपयोगकर्ता Google के डेटा को ऐक्सेस करने के लिए ऐप्लिकेशन की ज़रूरत पड़ती है, तो CASA इन कंट्रोल का आकलन करने का एक जैसा तरीका उपलब्ध कराता है. CASA ने उपयोगकर्ता, दायरे, और ऐप्लिकेशन से जुड़े दूसरे खास आइटम के आधार पर जोखिम में होने वाले संभावित बदलाव के बारे में बताने के लिए, कई लेवल वाला आकलन तरीका जोड़ा है. हालांकि, हम तीसरे पक्ष की जांच का सुझाव देते हैं, लेकिन खुद की जांच करने वाले प्रोग्राम की मदद से, हम सभी कंपनियों को अपनी सुरक्षा में सुधार करने का मौका देते हैं. अगर आप इस प्रोग्राम के लिए ज़रूरी शर्तें पूरी करते हैं, तो अगले चरणों की शुरुआत करने के लिए Google सीधे आपसे संपर्क करेगा.
फ़ायदे
हम चाहते हैं कि इंडस्ट्री को इस बात के लिए बढ़ावा दिया जाए कि वे उपयोगकर्ताओं को उन ऐप्लिकेशन के लिए पारदर्शिता और कंट्रोल दें जिन्हें वे इस्तेमाल करते हैं. साथ ही, वे डेटा की सुरक्षा और निजता के मामले में भी उम्मीद के मुताबिक काम करना चाहते हैं. क्लाउड ऐप्लिकेशन और बैक एंड सेवाओं की सुरक्षा जांच करना, जोखिम की आशंकाओं को बहुत कम करता है. साथ ही, इससे प्रॉडक्ट और सेवाओं पर उपयोगकर्ताओं का भरोसा बढ़ता है.
यह रिपोर्ट कैसे दिखेगी
CASA फ़्रेमवर्क, OWASP ऐप्लिकेशन सुरक्षा की पुष्टि करने के स्टैंडर्ड (ASVS) के आधार पर वेब ऐप्लिकेशन की तकनीकी सुरक्षा सेटिंग की जांच करने का आधार देता है.
CASA फ़्रेमवर्क, ऐप्लिकेशन सुरक्षा की पुष्टि करने वाले स्टैंडर्ड 4.0 की चौदह कैटगरी में वेब ऐप्लिकेशन का मूल्यांकन करने के लिए, टेस्ट दिशा-निर्देश उपलब्ध कराता है
सुरक्षा आकलन के स्तर:
CASA, क्लाउड ऐप्लिकेशन के आकलन के तीन टियर की पहचान करता है
यह आकलन, OWASP ASVS 4.0 के सुरक्षा मानक के हिसाब से CASA बेसलाइन की ज़रूरी शर्तों के मुताबिक होना चाहिए. ये आकलन, समय-समय पर होने वाले ऐसे इंटरफ़ेस के फ़ंक्शनल ऑडिट हैं जिनका इस्तेमाल किया जा सकता है. इनमें क्लाउड इन्फ़्रास्ट्रक्चर या सर्वर से जुड़ी अंदरूनी जानकारी शामिल नहीं होती. हमारा सुझाव है कि डेवलपर, डेवलपमेंट की पूरी प्रोसेस के दौरान सुरक्षा जांच करें. हालांकि, CASA को सुरक्षा आकलन की रिपोर्ट के लिए, सिर्फ़ सालाना अपडेट की ज़रूरत होती है.
यह सुझाव दिया जाता है कि डेवलपर, लेवल 1 और लेवल 2 एएसवीएस की खास बातों से जुड़े सभी कंट्रोल की समीक्षा करके उन्हें लागू करें. हालांकि, ADA के लिए ज़रूरी है कि वे पूरी ASVS शर्तों के किसी सबसेट को ही इस्तेमाल करें.
ऐसे लैब पार्टनर जिन्हें अनुमति मिली है:
आकलन करने वाला |
---|
GDS Ltd-An Aon ग्रुप |
बिशप फ़ॉक्स |
केपीएमजी |
लेवियाथन सिक्योरिटी |
एनसीसी ग्रुप |
NST सायबर |
ऑरेंज सायबरफ़ेंस साउथ अफ़्रीका (Pty) लिमिटेड |
Presient Security LLC |
TAC सुरक्षा |
डेकर |