ภาพรวม
เนื่องจากระบบที่ซับซ้อนเชื่อมต่อกันผ่านระบบคลาวด์สู่ระบบคลาวด์ การมีมาตรฐานความเป็นส่วนตัวของข้อมูลและความเป็นส่วนตัวจึงเป็นสิ่งสําคัญ ในช่วงหลายทศวรรษที่ผ่านมา โครงสร้างพื้นฐานของระบบคลาวด์ได้รับการปรับปรุงอย่างมาก แต่ยังมีปัญหาร้ายแรงด้านความปลอดภัยอื่นๆ ในเลเยอร์แอปพลิเคชัน
CASA สร้างตามมาตรฐานที่อุตสาหกรรมได้รับการยอมรับซึ่งมาจากมาตรฐาน App Security Verification (ASVS) ของ OWASP เพื่อมอบชุดมาตรฐานสําหรับการควบคุมความปลอดภัยซึ่งควรติดตั้งในแอปพลิเคชันระบบคลาวด์ นอกจากนี้ CASA ยังมอบแนวทางเดียวกันในการประเมินผลการควบคุมเหล่านี้เมื่อต้องประเมินแอปพลิเคชันเพื่อให้ Google เข้าถึงข้อมูลผู้ใช้ CASA ได้เพิ่มวิธีประเมินหลายระดับเพื่อรับมือกับการเปลี่ยนแปลงที่อาจเกิดขึ้นกับความเสี่ยงตามผู้ใช้ ขอบเขต และรายการเฉพาะแอปพลิเคชันอื่นๆ แม้เราจะแนะนําการประเมินของบุคคลที่สามเป็นวิธีการที่ดี แต่ก็มีวิธีการให้ทุกบริษัทเริ่มต้นปรับปรุงการรักษาความปลอดภัยผ่านโปรแกรมการประเมินด้วยตนเอง หากคุณมีสิทธิ์ตามโปรแกรมนี้ Google จะติดต่อคุณโดยตรงเพื่อเริ่มดําเนินการขั้นต่อไป
ประโยชน์
เราต้องการขับเคลื่อนอุตสาหกรรมนี้เพื่อมอบความโปร่งใสและการควบคุมที่ผู้ใช้คาดหวังเมื่อเป็นเรื่องของความปลอดภัยและความเป็นส่วนตัวของข้อมูลสําหรับแอปที่ผู้ใช้ใช้ การประเมินความปลอดภัยของแอปพลิเคชันระบบคลาวด์และบริการแบ็กเอนด์จะลดช่องโหว่ที่พบได้มาก ขณะเดียวกันก็เพิ่มความมั่นใจของผู้บริโภคในผลิตภัณฑ์และบริการสุดท้าย
ลักษณะการทำงาน
กรอบ CASA มอบพื้นฐานสําหรับการทดสอบการควบคุมการรักษาความปลอดภัยทางเทคนิคของเว็บแอปพลิเคชันโดยใช้ OWASP Application Security Verification Standard (ASVS)
กรอบ CASA มีหลักเกณฑ์การทดสอบสําหรับการประเมินเว็บแอปใน 14 หมวดหมู่ของมาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชันที่เป็นมาตรฐาน 4.0
ระดับการประเมินความปลอดภัย:
CASA ตระหนักถึงการประเมิน 3 ระดับ สําหรับแอปพลิเคชันระบบคลาวด์
การประเมินต้องเป็นไปตามข้อกําหนดพื้นฐานของ CASA ตามมาตรฐานความปลอดภัย OWASP ASVS 4.0 การประเมินนี้มีวัตถุประสงค์เพื่อทําการตรวจสอบฟังก์ชันแบบจํากัดเวลา ของอินเทอร์เฟซที่เข้าถึงได้ภายนอก และไม่รวมโครงสร้างพื้นฐานของระบบคลาวด์หรือการสื่อสารภายในเซิร์ฟเวอร์ เราขอแนะนําให้นักพัฒนาซอฟต์แวร์ประเมินความปลอดภัยตลอดกระบวนการพัฒนา แต่ทั้งนี้ CASA กําหนดให้มีการอัปเดตประจําปีเฉพาะในรายงานการประเมินความปลอดภัยเท่านั้น
เราขอแนะนําให้นักพัฒนาแอปตรวจสอบและใช้งานการควบคุมทั้งหมดในข้อกําหนด ASVS ระดับ 1 และ 2 อย่างไรก็ตาม ADA ต้องใช้เพียงข้อกําหนดย่อยของ ASVS เพียงบางส่วนเท่านั้น
พาร์ทเนอร์ห้องทดลองที่ได้รับอนุญาต:|
ผู้ประเมิน |
|---|
| GDS Ltd-กลุ่ม Aon |
| บิชอป จิ้งจอก |
| KPM |
| ความปลอดภัยของ Leviathan |
| กลุ่ม NCC |
| NST ไซเบอร์ |
| Orange Cyberprotect แอฟริกาใต้ (Pty) Ltd |
| Prescient Security LLC |
| ความปลอดภัยของระบบ TAC |
| เยอรมนี |