Tổng quan
Do các hệ thống phức tạp được kết nối thông qua nền tảng tích hợp đám mây sang đám mây, nên điều quan trọng là bạn phải có một cách tiêu chuẩn để bảo vệ dữ liệu và quyền riêng tư của người tiêu dùng. Trong thập kỷ qua, bảo mật cơ sở hạ tầng đám mây đã được cải thiện đáng kể. Tuy nhiên, có một số thách thức bảo mật đáng kể còn lại trong lớp ứng dụng.
CASA đã xây dựng dựa trên các tiêu chuẩn được công nhận trong ngành từ Tiêu chuẩn xác minh bảo mật ứng dụng (ASVS) của OWASP để cung cấp một tập hợp các biện pháp kiểm soát bảo mật cơ bản sẽ được triển khai trong các ứng dụng đám mây. Ngoài ra, CASA cung cấp một phương pháp thống nhất để đánh giá các tùy chọn kiểm soát này khi các yêu cầu đánh giá đó là cần thiết để Các ứng dụng có thể truy cập vào Dữ liệu người dùng của Google. CASA đã thêm một phương thức đánh giá đa cấp để giải quyết rủi ro có thể xảy ra dựa trên người dùng, phạm vi và các mục cụ thể khác của ứng dụng. Mặc dù chúng tôi đặc biệt khuyến nghị các đánh giá của bên thứ ba, nhưng chúng tôi cung cấp phương tiện để tất cả các công ty bắt đầu cải thiện mức độ bảo mật thông qua chương trình tự đánh giá. Nếu bạn đủ điều kiện tham gia chương trình này, Google sẽ liên hệ trực tiếp để bắt đầu các bước tiếp theo.
Lợi ích
Chúng tôi muốn thúc đẩy toàn ngành trao cho người dùng sự minh bạch và quyền kiểm soát mà họ mong đợi khi xử lý vấn đề bảo mật và quyền riêng tư đối với dữ liệu đối với các ứng dụng mà họ sử dụng. Việc thực hiện đánh giá bảo mật của các ứng dụng đám mây và dịch vụ phụ trợ sẽ làm giảm đáng kể các lỗ hổng bảo mật phổ biến, trong khi làm tăng niềm tin của người tiêu dùng đối với các sản phẩm và dịch vụ cuối cùng.
Cách hoạt động
Khung CASA cung cấp cơ sở để kiểm thử các biện pháp kiểm soát bảo mật kỹ thuật đối với ứng dụng web dựa trên Tiêu chuẩn xác minh bảo mật ứng dụng (OSVS).
Khung CASA cung cấp các nguyên tắc kiểm thử để đánh giá Ứng dụng web trong 14 danh mục của Tiêu chuẩn xác minh bảo mật ứng dụng 4.0
Cấp đánh giá bảo mật:
CASA công nhận ba cấp đánh giá cho các ứng dụng đám mây
Các bài đánh giá phải đáp ứng các yêu cầu của đường cơ sở CASA từ tiêu chuẩn bảo mật OWASP ASVS 4.0. Các bài đánh giá này là để kiểm tra chức năng trong một khoảng thời gian có giới hạn về giao diện có thể truy cập bên ngoài và không bao gồm hạ tầng đám mây hoặc hoạt động giao tiếp với máy chủ nội bộ. Các nhà phát triển nên thực hiện đánh giá bảo mật trong suốt quá trình phát triển. Tuy nhiên, CASA chỉ yêu cầu bản cập nhật hằng năm cho báo cáo đánh giá bảo mật.
Các nhà phát triển nên xem xét và triển khai tất cả các tuỳ chọn kiểm soát trong quy cách ASVS cấp 1 và cấp 2. Tuy nhiên, ADA chỉ yêu cầu một số yêu cầu đầy đủ trong ASVS.
Đối tác của Phòng thí nghiệm được uỷ quyền:|
Người đánh giá |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| KPMG |
| Bảo mật Leviathan |
| Nhóm CNC |
| NST trên mạng |
| Orange Cyber security Nam Phi (Pty) Ltd |
| Prescient Security LLC |
| Bảo mật TAC |
| DEKRA |