Bulut Uygulaması Güvenlik Değerlendirmesi (CASA)

Genel Bakış

Karmaşık sistemler buluttan buluta entegrasyonlarla bağlandığından tüketici verilerinin ve gizliliğinin güvenliğini sağlamak için standart bir yöntem kullanmak önemlidir. Son on yılda bulut altyapısı güvenliğinde büyük bir gelişme yaşandı. Ancak uygulama katmanında önemli güvenlik sorunları devam etmektedir.

CASA, bulut uygulamalarında uygulanması gereken temel bir güvenlik denetimleri seti sağlamak için OWASP'nin Uygulama Güvenliği Doğrulama Standardı'ndan (ASVS) gelen, sektörde kabul gören standartları temel almıştır. Ayrıca CASA, bu kontrollerin değerlendirmelerinin yapılması gerektiğinde, Uygulamaların Google Kullanıcı Verilerine erişmesi için bu değerlendirmeleri yapmak üzere tek tip bir yöntem sunar. CASA, kullanıcıya, kapsama ve uygulamaya özgü diğer öğelere bağlı olarak riskteki olası değişikliği ele almak için çok düzeyli bir değerlendirme yöntemi ekledi. Üçüncü taraf değerlendirmelerini önemle tavsiye etsek de tüm şirketlerin kendi değerlendirme programı aracılığıyla güvenliklerini iyileştirmeye başlamaları için bir yöntem sunuyoruz. Bu programa uygunsanız Google, sonraki adımları başlatmak için doğrudan sizinle iletişime geçer.

Avantajları

Sektörü, kullanıcıların kullandıkları uygulamaların veri güvenliği ve gizliliği konusunda bekledikleri şeffaflığı ve kontrolü sağlamaya yönlendirmek istiyoruz. Bulut uygulamalarının ve arka uç hizmetlerinin güvenlik değerlendirmelerini yapmak, yaygın güvenlik açıklarını büyük ölçüde azaltırken son ürün ve hizmetlere olan tüketici güvenini artırır.

İşleyiş şekli

CASA çerçevesi, OWASP Uygulama Güvenliği Doğrulama Standardı (ASVS)'na dayalı olarak web uygulaması teknik güvenlik kontrollerinin test edilmesi için bir temel sağlar.

CASA çerçevesi
Şekil 1: CASA çerçevesi

CASA çerçevesi, Uygulama Güvenliği Doğrulama Standardı 4.0'ın on dört kategorisinde Web Uygulamalarını değerlendirmek için test yönergeleri sağlar.

Güvenlik değerlendirmesi katmanları:

CASA, bulut uygulamaları için üç değerlendirme katmanı tanır.

CASA değerlendirmeleri
Şekil 2: CASA değerlendirme katmanları

Değerlendirmeler, OWASP ASVS 4.0 güvenlik standardındaki CASA temel şartlarını karşılamalıdır. Değerlendirmeler, harici olarak erişilebilen arayüzlerin sınırlı süreli işlevsel denetimleri olarak tasarlanmıştır ve bulut altyapısını veya dahili sunucu iletişimlerini içermez. Geliştiricilerin geliştirme süreci boyunca güvenlik değerlendirmeleri yapması önerilir. Ancak CASA, güvenlik değerlendirmesi raporunun yalnızca yıllık olarak güncellenmesini gerektirir.

Geliştiricilerin, 1. ve 2. düzey ASVS spesifikasyonundaki tüm kontrolleri inceleyip uygulaması önerilir. Ancak ADA, tam ASVS şartlarının yalnızca bir alt kümesini gerektirir.

Yetkili Laboratuvar iş ortakları:

Değerlendirmeci
GDS Ltd-An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC Group
NST Cyber
Orange Cyberdefense South Africa (Pty) Ltd
Prescient Security LLC
TAC Security
DEKRA