تقييم أمان تطبيق السحابة الإلكترونية (CASA)

نظرة عامة

بما أن الأنظمة المعقّدة ترتبط من خلال عمليات الدمج مع السحابة الإلكترونية، من المهم أن تتوفّر طريقة عادية لتأمين بيانات المستهلكين وخصوصيتها. على مدار العقد الماضي، تم إجراء تحسينات كبيرة على أمان البنية الأساسية للسحابة الإلكترونية. ومع ذلك، تواجه تحديات أمنية كبيرة في طبقة التطبيق.

ولقد اعتمدت CASA على المعايير المعترف بها في المجال الصادرة عن معيار التحقق من أمان التطبيقات (ASVS) من OWASP لتوفير مجموعة أساسية من عناصر التحكم في الأمان التي يجب تنفيذها في تطبيقات السحابة الإلكترونية. بالإضافة إلى ذلك، تقدم CAASA طريقة موحدة لإجراء تقييمات لعناصر التحكم هذه عندما تكون هذه التقييمات مطلوبة للتطبيقات للوصول إلى بيانات مستخدم Google. وقد أضفت CASA طريقة تقييم متعددة المستويات لمعالجة التغيير المحتمل في المخاطر استنادًا إلى المستخدم والنطاق والعناصر الأخرى المتعلقة بالتطبيقات. وعلى الرغم من أننا ننصح بشدة بتقييم التقييمات من قِبل جهات خارجية، فإننا نقدّم وسيلة لجميع الشركات لبدء تحسين أمانها من خلال برنامج تقييم ذاتي. إذا كنت مؤهلاً للمشاركة في هذا البرنامج، ستتواصل معك Google لبدء الخطوات التالية.

المزايا

نحن نريد تشجيع الصناعة لمنح المستخدمين الشفافية والتحكم الذين يتوقعونه عندما يتعلق الأمر بأمان البيانات وخصوصيتها للتطبيقات التي يستخدمونها. ويقلّل إجراء تقييمات أمنية لتطبيقات السحابة الإلكترونية والخدمات الخلفية من الثغرات الأمنية المشتركة بشكل كبير، مع زيادة ثقة المستهلكين في المنتجات النهائية والخدمات.

آلية العمل

يوفّر إطار عمل CASA أساسًا لاختبار عناصر التحكم في الأمان الفني لتطبيق الويب باستخدام OWASP معيار التحقق من أمان التطبيقات (ASVS).

إطار عمل CASA
الشكل 1: إطار عمل CASA

يوفّر إطار عمل CASA إرشادات اختبار لتقييم تطبيقات الويب عبر أربع عشرة فئة من معايير التحقّق من أمان التطبيقات 4.0.

مستويات تقييم الأمان:

تقر CASA بثلاث مستويات من التقييم للتطبيقات السحابية

  • على مستوى التقييمات الثلاثة، يكون على مطوّر البرامج إكمال استبيان التقييم الذاتي، وتتم مراجعته بعد ذلك من خلال مختبر معتمد من CASA. هذه مراجعة ورقية للمعلومات التي قدّمها مطوّر البرامج.
  • على مستوىَين من التقييمات، على مطوّر البرامج إكمال استبيان التقييم الذاتي، الذي يخضع لمراجعة مختبر CASA المعتمد. هذه مراجعة ورقية للمعلومات التي قدّمها مطوّر البرامج، بالإضافة إلى عمليات التحقّق من الإعداد.
  • وتتضمّن تقييمات المستوى الأول الخطوات من المستوى الثاني، بالإضافة إلى تقييم الأمان الكامل من خلال المختبر المعتمد لدى CASA.
إطارات عمل CASA
الشكل 1: إطار عمل CASA

يجب أن تستوفي التقييمات متطلبات مرجع CASA الأساسي من معيار الأمان OWASP ASVS 4.0. وتهدف التقييمات إلى إجراء تدقيقات لفترة محدودة في الواجهات الخارجية للواجهات التي يمكن الوصول إليها خارجيًا، ولا تتضمن البنية الأساسية أو اتصالات الخادم الداخلية. وننصح بأن يجري مطوّرو البرامج تقييمات أمنية خلال عملية التطوير. ومع ذلك، تتطلب CASA تحديثات سنوية في تقرير تقييم الأمان فقط.

ننصح مطوّري البرامج بمراجعة كل عناصر التحكّم وتنفيذها في مواصفات ASVS من المستوى 1 والمستوى 2، ولكن تجدر الإشارة إلى أنّ ADA لا تتطلب سوى مجموعة فرعية من متطلبات ASVS الكاملة.

الشركاء المعتمدون في "المختبَر":

ابدأ تقييم CASA من خلال التواصل مع شركاء المختبر وإرسال استبيان تقييم الأمان.