Tổng quan
Khi các hệ thống phức tạp được kết nối thông qua các hoạt động tích hợp đám mây với đám mây, điều quan trọng là phải có một cách tiêu chuẩn để bảo mật dữ liệu và quyền riêng tư của người tiêu dùng. Trong thập kỷ qua, đã có nhiều cải tiến về tính bảo mật của cơ sở hạ tầng đám mây. Tuy nhiên, vẫn còn những thách thức đáng kể về bảo mật ở lớp ứng dụng.
CASA được xây dựng dựa trên các tiêu chuẩn được ngành công nhận của Tiêu chuẩn xác minh tính bảo mật của ứng dụng (ASVS) của OWASP để cung cấp một bộ các biện pháp kiểm soát bảo mật cơ bản cần được triển khai trong các ứng dụng đám mây. Hơn nữa, CASA cung cấp một cách thức thống nhất để thực hiện các đánh giá về những chế độ kiểm soát này khi các đánh giá đó là bắt buộc đối với các Ứng dụng để truy cập vào Dữ liệu người dùng của Google. CASA đã thêm một phương pháp đánh giá nhiều cấp để giải quyết khả năng thay đổi về rủi ro dựa trên người dùng, phạm vi và các mục cụ thể khác của ứng dụng. Mặc dù rất khuyến khích các công ty sử dụng dịch vụ đánh giá của bên thứ ba, nhưng chúng tôi vẫn cung cấp một phương thức để mọi công ty có thể bắt đầu cải thiện mức độ bảo mật thông qua chương trình tự đánh giá. Nếu bạn đủ điều kiện tham gia chương trình này, Google sẽ liên hệ trực tiếp với bạn để bắt đầu các bước tiếp theo.
Lợi ích
Chúng tôi muốn thúc đẩy ngành này mang đến cho người dùng sự minh bạch và quyền kiểm soát mà họ mong đợi về quyền riêng tư và bảo mật dữ liệu cho các ứng dụng mà họ sử dụng. Việc thực hiện đánh giá bảo mật cho các ứng dụng đám mây và dịch vụ phụ trợ sẽ giúp giảm đáng kể các lỗ hổng bảo mật thường gặp, đồng thời tăng niềm tin của người tiêu dùng vào các sản phẩm và dịch vụ cuối cùng.
Cách hoạt động
Khung CASA cung cấp cơ sở để kiểm thử các biện pháp kiểm soát bảo mật kỹ thuật của ứng dụng web dựa trên Tiêu chuẩn xác minh bảo mật ứng dụng (ASVS) của OWASP.
Khung CASA cung cấp hướng dẫn kiểm thử để đánh giá Ứng dụng web trên 14 danh mục của Tiêu chuẩn xác minh bảo mật ứng dụng 4.0
Các cấp đánh giá bảo mật:
CASA công nhận 3 cấp đánh giá cho các ứng dụng đám mây
Các hoạt động đánh giá phải đáp ứng các yêu cầu cơ bản của CASA theo tiêu chuẩn bảo mật OWASP ASVS 4.0. Các hoạt động đánh giá này nhằm mục đích kiểm tra chức năng có giới hạn thời gian đối với các giao diện có thể truy cập từ bên ngoài và không bao gồm cơ sở hạ tầng đám mây hoặc hoạt động giao tiếp của máy chủ nội bộ. Nhà phát triển nên thực hiện các quy trình đánh giá bảo mật trong suốt quá trình phát triển. Tuy nhiên, CASA chỉ yêu cầu cập nhật hằng năm cho báo cáo đánh giá bảo mật.
Nhà phát triển nên xem xét và triển khai tất cả các chế độ kiểm soát trong quy cách ASVS cấp 1 và cấp 2, tuy nhiên, ADA chỉ yêu cầu một phần trong các yêu cầu đầy đủ của ASVS.
Đối tác được uỷ quyền của Phòng thí nghiệm:|
Người đánh giá |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| KPMG |
| Leviathan Security |
| NCC Group |
| NST Cyber |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC |
| TAC Security |
| DEKRA |