ক্লাউড অ্যাপ্লিকেশন নিরাপত্তা মূল্যায়ন (CASA)

ওভারভিউ

যেহেতু জটিল সিস্টেমগুলি ক্লাউড থেকে ক্লাউড ইন্টিগ্রেশনের মাধ্যমে সংযুক্ত থাকে, তাই ভোক্তা ডেটা এবং গোপনীয়তা সুরক্ষিত করার জন্য একটি আদর্শ উপায় থাকা গুরুত্বপূর্ণ৷ গত এক দশকে, ক্লাউড অবকাঠামো নিরাপত্তায় একটি বড় উন্নতি হয়েছে। যাইহোক, অ্যাপ্লিকেশন স্তরে উল্লেখযোগ্য নিরাপত্তা চ্যালেঞ্জ বাকি আছে।

CASA নিরাপত্তা নিয়ন্ত্রণের একটি বেসলাইন সেট প্রদান করতে OWASP-এর অ্যাপ্লিকেশন সিকিউরিটি ভেরিফিকেশন স্ট্যান্ডার্ড (ASVS) থেকে আসা শিল্প স্বীকৃত মানগুলির উপর ভিত্তি করে তৈরি করেছে যা ক্লাউড অ্যাপ্লিকেশনগুলিতে প্রয়োগ করা উচিত। আরও, CASA এই নিয়ন্ত্রণগুলির মূল্যায়ন করার জন্য একটি অভিন্ন উপায় প্রদান করে যখন Google ব্যবহারকারীর ডেটা অ্যাক্সেস করার জন্য অ্যাপ্লিকেশনগুলির জন্য এই ধরনের মূল্যায়নের প্রয়োজন হয়৷ CASA ব্যবহারকারী, সুযোগ এবং অন্যান্য অ্যাপ্লিকেশন নির্দিষ্ট আইটেমগুলির উপর ভিত্তি করে ঝুঁকির সম্ভাব্য পরিবর্তন মোকাবেলায় একটি বহু-স্তরের মূল্যায়ন পদ্ধতি যুক্ত করেছে। যদিও আমরা তৃতীয় পক্ষের মূল্যায়নের সুপারিশ করি, আমরা একটি স্ব-মূল্যায়ন প্রোগ্রামের মাধ্যমে সমস্ত কোম্পানিকে তাদের নিরাপত্তার উন্নতি শুরু করার জন্য একটি উপায় প্রদান করি। আপনি এই প্রোগ্রামের জন্য যোগ্য হলে, পরবর্তী পদক্ষেপগুলি শুরু করার জন্য Google সরাসরি যোগাযোগ করবে।

সুবিধা

আমরা শিল্পকে চালিত করতে চাই যাতে ব্যবহারকারীরা যে স্বচ্ছতা এবং নিয়ন্ত্রণ আশা করে, যখন তারা ব্যবহার করে এমন অ্যাপের ডেটা নিরাপত্তা এবং গোপনীয়তার কথা আসে। ক্লাউড অ্যাপ্লিকেশন এবং ব্যাক এন্ড পরিষেবাগুলির নিরাপত্তা মূল্যায়ন সম্পাদন করা সাধারণ দুর্বলতাগুলিকে ব্যাপকভাবে হ্রাস করবে, যখন চূড়ান্ত পণ্য এবং পরিষেবাগুলিতে ভোক্তাদের আস্থা বৃদ্ধি করবে৷

কিভাবে এটা কাজ করে

CASA ফ্রেমওয়ার্ক OWASP অ্যাপ্লিকেশন সিকিউরিটি ভেরিফিকেশন স্ট্যান্ডার্ড (ASVS) ব্যবহার করে ওয়েব অ্যাপ্লিকেশন প্রযুক্তিগত নিরাপত্তা নিয়ন্ত্রণ পরীক্ষা করার জন্য একটি ভিত্তি প্রদান করে।

CASA ফ্রেমওয়ার্ক
চিত্র 1 : CASA কাঠামো

CASA ফ্রেমওয়ার্ক অ্যাপ্লিকেশান সিকিউরিটি ভেরিফিকেশন স্ট্যান্ডার্ড 4.0 এর চৌদ্দটি বিভাগে ওয়েব অ্যাপস মূল্যায়নের জন্য পরীক্ষার নির্দেশিকা প্রদান করে

নিরাপত্তা মূল্যায়ন স্তর:

CASA ক্লাউড অ্যাপ্লিকেশনের জন্য মূল্যায়নের তিনটি স্তরকে স্বীকৃতি দেয়

  • তৃতীয় স্তরের মূল্যায়নের জন্য ডেভেলপারকে একটি স্ব-মূল্যায়ন প্রশ্নাবলী সম্পূর্ণ করতে হবে, যা পরে একটি CASA অনুমোদিত ল্যাব দ্বারা পর্যালোচনা করা হয়। এটি বিকাশকারীর সরবরাহকৃত তথ্যের একটি কাগজ পর্যালোচনা।
  • দ্বিতীয় স্তরের মূল্যায়নের জন্য ডেভেলপারকে একটি স্ব-মূল্যায়ন প্রশ্নাবলী সম্পূর্ণ করতে হবে, যা পরে একটি CASA অনুমোদিত ল্যাব দ্বারা পর্যালোচনা করা হয়। এটি কনফিগারেশন চেক সংযোজন সহ ডেভেলপার সরবরাহ করা তথ্যের একটি কাগজ পর্যালোচনা।
  • প্রথম স্তরের মূল্যায়নের মধ্যে রয়েছে দ্বিতীয় স্তরের ধাপ, এছাড়াও CASA অনুমোদিত ল্যাব দ্বারা সম্পূর্ণ নিরাপত্তা মূল্যায়ন।
CASA ফ্রেমওয়ার্ক
চিত্র 1 : CASA কাঠামো

মূল্যায়ন অবশ্যই OWASP ASVS 4.0 নিরাপত্তা মান থেকে CASA বেসলাইন প্রয়োজনীয়তা পূরণ করবে। মূল্যায়নগুলি বাহ্যিকভাবে অ্যাক্সেসযোগ্য ইন্টারফেসের সময়-সীমিত ব্ল্যাক বক্স অডিট করার উদ্দেশ্যে করা হয়েছে এবং এতে ক্লাউড অবকাঠামো বা অভ্যন্তরীণ সার্ভার যোগাযোগ অন্তর্ভুক্ত নয়। এটি সুপারিশ করা হয় যে বিকাশকারীরা উন্নয়ন প্রক্রিয়া জুড়ে নিরাপত্তা মূল্যায়ন সম্পাদন করে। যাইহোক, CASA শুধুমাত্র নিরাপত্তা মূল্যায়ন রিপোর্টের বার্ষিক আপডেটের প্রয়োজন।

এটি সুপারিশ করা হয় যে ডেভেলপাররা লেভেল 1 এবং লেভেল 2 ASVS স্পেসিফিকেশনের সমস্ত নিয়ন্ত্রণ পর্যালোচনা এবং প্রয়োগ করুন, তবে, ADA-এর শুধুমাত্র সম্পূর্ণ ASVS প্রয়োজনীয়তার একটি উপসেট প্রয়োজন।

অনুমোদিত ল্যাব অংশীদার:

ল্যাব অংশীদারদের সাথে যোগাযোগ করে এবং নিরাপত্তা মূল্যায়ন প্রশ্নাবলী জমা দিয়ে আপনার CASA মূল্যায়ন শুরু করুন।