Genel bakış
Karmaşık sistemler buluttan bulut entegrasyonlarına bağlandığı için tüketici verilerinin ve gizliliğinin güvenliğini sağlamaya yönelik standart bir yönteme sahip olmak önemlidir. Geçtiğimiz on yılda bulut altyapısı güvenliğinde önemli bir iyileştirme yapıldı. Bununla birlikte, uygulama katmanında önemli güvenlik sorunları kalmaktadır.
CASA, OWASP'ın Uygulama Güvenliği Doğrulama Standardı'ndan (ASVS) gelen sektörde kabul görmüş standartları temel alarak bulut uygulamalarında uygulanması gereken temel güvenlik denetimleri setini sunar. Ayrıca Google, Uygulamaların Google Kullanıcı Verilerine erişmesi için bu tür değerlendirmeler gerektiğinde bu kontrolleri değerlendirmenin tek tip bir yolunu sunar. CASA; kullanıcı, kapsam ve uygulamaya özel diğer öğelere bağlı olarak riskteki potansiyel değişikliği ele almak için çok düzeyli bir değerlendirme yöntemi ekledi. Üçüncü taraf değerlendirmelerini önemle tavsiye etsek de, tüm şirketlere kendi değerlendirmelerini yapma programı aracılığıyla güvenliklerini güçlendirmeye başlayacakları bir yöntem sunuyoruz. Bu program için uygunsanız Google, sonraki adımları başlatmak için sizinle doğrudan iletişime geçecektir.
Avantajları
Sektörde, kullanıcılara kullandıkları uygulamalar için veri güvenliği ve gizliliği konusunda yaşadıkları şeffaflık ve kontrolü sunmak istiyoruz. Bulut uygulamaları ve arka uç hizmetleri için güvenlik değerlendirmeleri yapmak, yaygın güvenlik açıklarını önemli ölçüde azaltırken nihai ürün ve hizmetlere olan güveni de artırır.
İşleyiş şekli
CASA çerçevesi, OWASP Uygulama Güvenliği Doğrulama Standardı'nı (ASVS) temel alan web uygulaması teknik güvenlik kontrollerini test etmek için bir temel sağlar.
CASA çerçevesi, Uygulama Güvenliği Doğrulama Standard 4.0'ın on dört kategorisinde web uygulamalarını değerlendirmeyle ilgili test yönergeleri sunar
Güvenlik değerlendirme katmanları:
CASA, bulut uygulamaları için üç değerlendirme katmanından
Değerlendirmeler, OWASP ASVS 4.0 güvenlik standardının CASA temel şartlarını karşılamalıdır. Değerlendirmeler, harici olarak erişilebilir arayüzlerin zaman sınırı olan işlevsel denetimleridir. Bulut altyapısı veya dahili sunucu iletişimlerini kapsamaz. Geliştiricilerin, geliştirme süreci boyunca güvenlik değerlendirmeleri gerçekleştirmeleri önerilir. Ancak CASA, yalnızca güvenlik değerlendirmesi raporunda yıllık güncelleme yapılmasını gerektirir.
Geliştiricilerin 1. ve 2. seviye ASVS spesifikasyonundaki tüm kontrolleri inceleyip uygulaması önerilir ancak ADA, tüm ASVS gereksinimlerinin yalnızca bir alt kümesini gerektirir.
Yetkili Lab iş ortakları:|
Denetçi |
|---|
| GDS Ltd-An Aon Grubu |
| Bilek Tilki |
| KPMG |
| Leviathan Güvenliği |
| NCC Grubu |
| NST Siber |
| Orange Siber Savunma Güney Afrika (Pty) Ltd |
| Prescient Security LLC |
| TAC Güvenliği |
| DEKRA |