ภาพรวม
เมื่อระบบที่ซับซ้อนเชื่อมต่อผ่านการผสานรวมระบบคลาวด์กับระบบคลาวด์ การมีวิธีมาตรฐานในการรักษาความปลอดภัยของข้อมูลและความเป็นส่วนตัวของผู้บริโภคจึงเป็นสิ่งสำคัญ ในช่วง ทศวรรษที่ผ่านมา มีการปรับปรุงด้านความปลอดภัยของโครงสร้างพื้นฐานของระบบคลาวด์ อย่างมาก อย่างไรก็ตาม ยังคงมีความท้าทายด้านความปลอดภัยที่สำคัญใน เลเยอร์แอปพลิเคชัน
CASA สร้างขึ้นตามมาตรฐานที่ได้รับการยอมรับจากอุตสาหกรรมซึ่งมาจากมาตรฐานการยืนยันความปลอดภัยของแอปพลิเคชัน (ASVS) ของ OWASP เพื่อจัดหาชุดการควบคุมความปลอดภัยพื้นฐานที่ควรนำไปใช้ในแอปพลิเคชันระบบคลาวด์ นอกจากนี้ CASA ยังมีวิธีที่สอดคล้องกันในการประเมินการควบคุมเหล่านี้เมื่อ จำเป็นต้องมีการประเมินดังกล่าวเพื่อให้แอปพลิเคชันเข้าถึงข้อมูลผู้ใช้ Google ได้ CASA ได้ เพิ่มวิธีการประเมินหลายระดับเพื่อรับมือกับการเปลี่ยนแปลงความเสี่ยงที่อาจเกิดขึ้น โดยอิงตามผู้ใช้ ขอบเขต และรายการอื่นๆ ที่เฉพาะเจาะจงกับแอปพลิเคชัน แม้ว่าเราจะขอแนะนำให้ใช้การประเมินของบุคคลที่สาม แต่เราก็มีวิธีให้บริษัททั้งหมดเริ่มปรับปรุงความปลอดภัยผ่านโปรแกรมการประเมินด้วยตนเอง หากคุณมีสิทธิ์เข้าร่วมโปรแกรมนี้ Google จะติดต่อคุณโดยตรงเพื่อเริ่มขั้นตอนถัดไป
ข้อดี
เราต้องการขับเคลื่อนอุตสาหกรรมให้มอบความโปร่งใสและการควบคุมที่ผู้ใช้คาดหวังเมื่อพูดถึงความปลอดภัยและความเป็นส่วนตัวของข้อมูลสำหรับแอปที่ผู้ใช้ใช้ การประเมินความปลอดภัยของแอปพลิเคชันระบบคลาวด์และบริการแบ็กเอนด์ จะช่วยลดช่องโหว่ที่พบบ่อยได้อย่างมาก ในขณะเดียวกันก็เพิ่มความมั่นใจของผู้บริโภค ในผลิตภัณฑ์และบริการขั้นสุดท้าย
วิธีการทำงาน
กรอบของ CASA เป็นพื้นฐานสำหรับการทดสอบการควบคุมด้านความปลอดภัยทางเทคนิคของเว็บแอปพลิเคชันตามมาตรฐานการยืนยันความปลอดภัยของแอปพลิเคชัน (ASVS) ของ OWASP
กรอบของ CASA มีคำแนะนำ ในการทดสอบเพื่อประเมินเว็บแอปใน 14 หมวดหมู่ของ มาตรฐานการยืนยันความปลอดภัยของแอปพลิเคชัน 4.0
ระดับการประเมินความปลอดภัย
CASA ระบุระดับการประเมิน 3 ระดับสำหรับแอปพลิเคชันระบบคลาวด์
การประเมินต้องเป็นไปตามข้อกำหนดพื้นฐานของ CASA จากมาตรฐานความปลอดภัย OWASP ASVS 4.0 การประเมินมีจุดประสงค์เพื่อตรวจสอบการทำงานแบบจำกัดเวลาของอินเทอร์เฟซที่เข้าถึงได้จากภายนอก และไม่รวมโครงสร้างพื้นฐานระบบคลาวด์หรือการสื่อสารของเซิร์ฟเวอร์ภายใน เราขอแนะนำให้ นักพัฒนาแอปทำการประเมินความปลอดภัยตลอดกระบวนการพัฒนา อย่างไรก็ตาม CASA กำหนดให้อัปเดตรายงานการประเมินความปลอดภัยปีละครั้งเท่านั้น
เราขอแนะนำให้นักพัฒนาซอฟต์แวร์ตรวจสอบและใช้การควบคุมทั้งหมดใน ข้อกำหนด ASVS ระดับ 1 และระดับ 2 อย่างไรก็ตาม ADA กำหนดให้ใช้เพียงชุดย่อย ของข้อกำหนด ASVS ทั้งหมด
พาร์ทเนอร์ห้องทดลองที่ได้รับอนุญาต:|
ผู้ประเมิน |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| KPMG |
| Leviathan Security |
| NCC Group |
| NST Cyber |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC |
| TAC Security |
| DEKRA |