Cloud ऐप्लिकेशन की सुरक्षा का आकलन (सीएसए)

खास जानकारी

जटिल सिस्टम, क्लाउड से क्लाउड इंटिग्रेशन के ज़रिए कनेक्ट किए जाते हैं. इसलिए, उपभोक्ता के डेटा और निजता को सुरक्षित रखने के लिए, एक स्टैंडर्ड तरीका होना ज़रूरी है. पिछले दशक में, क्लाउड इन्फ़्रास्ट्रक्चर की सुरक्षा में काफ़ी सुधार हुआ है. हालांकि, ऐप्लिकेशन लेयर में सुरक्षा से जुड़ी कई चुनौतियां अब भी मौजूद हैं.

CASA, OWASP के ऐप्लिकेशन सिक्योरिटी वेरिफ़िकेशन स्टैंडर्ड (एएसवीएस) के तहत, इंडस्ट्री के तय किए गए मानकों के आधार पर बनाया गया है. इसका मकसद, सुरक्षा से जुड़े कंट्रोल का एक बुनियादी सेट उपलब्ध कराना है. इसे क्लाउड ऐप्लिकेशन में लागू किया जाना चाहिए. इसके अलावा, CASA इन कंट्रोल का आकलन करने का एक जैसा तरीका उपलब्ध कराता है. ऐसा तब किया जाता है, जब ऐप्लिकेशन को Google के उपयोगकर्ता डेटा को ऐक्सेस करने के लिए, इस तरह के आकलन की ज़रूरत होती है. CASA ने जोखिम में संभावित बदलाव का पता लगाने के लिए, कई लेवल वाली आकलन की एक नई विधि जोड़ी है. यह विधि, उपयोगकर्ता, स्कोप, और ऐप्लिकेशन से जुड़ी अन्य चीज़ों के आधार पर काम करती है. हमारा सुझाव है कि आप तीसरे पक्ष से आकलन करवाएं. हालांकि, हम सभी कंपनियों को यह सुविधा देते हैं कि वे खुद से आकलन करने वाले प्रोग्राम के ज़रिए, अपनी सुरक्षा को बेहतर बना सकें. अगर आपने इस प्रोग्राम में शामिल होने की ज़रूरी शर्तें पूरी की हैं, तो Google अगले चरणों को पूरा करने के लिए आपसे सीधे संपर्क करेगा.

फ़ायदे

हम चाहते हैं कि इंडस्ट्री, उपयोगकर्ताओं को पारदर्शिता और कंट्रोल दे. ऐसा तब हो, जब वे इस्तेमाल किए जाने वाले ऐप्लिकेशन के डेटा की सुरक्षा और निजता के बारे में जानना चाहें. क्लाउड ऐप्लिकेशन और बैक एंड सेवाओं के सुरक्षा आकलन करने से, सामान्य जोखिम की आशंकाएं काफ़ी हद तक कम हो जाएंगी. साथ ही, इससे खरीदारों का भरोसा, फ़ाइनल प्रॉडक्ट और सेवाओं पर बढ़ेगा.

यह कैसे काम करता है

CASA फ़्रेमवर्क, OWASP ऐप्लिकेशन सिक्योरिटी वेरिफ़िकेशन स्टैंडर्ड (एएसवीएस) के आधार पर, वेब ऐप्लिकेशन के तकनीकी सुरक्षा कंट्रोल की जांच करने का आधार उपलब्ध कराता है.

CASA फ़्रेमवर्क
पहली इमेज: CASA फ़्रेमवर्क

CASA फ़्रेमवर्क, ऐप्लिकेशन सुरक्षा की पुष्टि करने के स्टैंडर्ड 4.0 की चौदह कैटगरी में, वेब ऐप्लिकेशन का आकलन करने के लिए टेस्टिंग के दिशा-निर्देश देता है

सुरक्षा के आकलन के टियर:

CASA, क्लाउड ऐप्लिकेशन के लिए तीन लेवल के असेसमेंट की पहचान करता है

CASA के आकलन
दूसरी इमेज: CASA के आकलन के टियर

ये आकलन, OWASP ASVS 4.0 सुरक्षा मानक के CASA की बुनियादी शर्तों के मुताबिक होने चाहिए. ये आकलन, बाहरी तौर पर ऐक्सेस किए जा सकने वाले इंटरफ़ेस के फ़ंक्शनल ऑडिट के लिए होते हैं. इनकी समयसीमा सीमित होती है. इनमें क्लाउड इंफ़्रास्ट्रक्चर या इंटरनल सर्वर कम्यूनिकेशन शामिल नहीं होता. हमारा सुझाव है कि डेवलपर, डेवलपमेंट की पूरी प्रोसेस के दौरान सुरक्षा का आकलन करें. हालांकि, CASA को सुरक्षा आकलन रिपोर्ट में सिर्फ़ सालाना अपडेट की ज़रूरत होती है.

हमारा सुझाव है कि डेवलपर, ASVS के लेवल 1 और लेवल 2 की खास बातों में दिए गए सभी कंट्रोल की समीक्षा करें और उन्हें लागू करें. हालांकि, एडीए के लिए ASVS की सभी ज़रूरी शर्तों का पालन करना ज़रूरी नहीं है.

अनुमति पा चुके लैब पार्टनर:

आकलन करने वाला
GDS Ltd-An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC Group
NST Cyber
Orange Cyberdefense South Africa (Pty) Ltd
Prescient Security LLC
TAC Security
DEKRA