ارزیابی امنیت برنامه های ابری (CASA)

بررسی اجمالی

از آنجایی که سیستم‌های پیچیده از طریق یکپارچه‌سازی ابر به ابر متصل می‌شوند، داشتن یک راه استاندارد برای ایمن کردن داده‌های مصرف‌کننده و حریم خصوصی مهم است. در طول دهه گذشته، پیشرفت زیادی در امنیت زیرساخت ابری ایجاد شده است. با این حال، چالش های امنیتی قابل توجهی در لایه برنامه باقی مانده است.

CASA بر اساس استانداردهای شناخته شده صنعت از استاندارد تأیید امنیت برنامه OWASP (ASVS) ساخته شده است تا مجموعه ای از کنترل های امنیتی را ارائه دهد که باید در برنامه های ابری پیاده سازی شوند. علاوه بر این، CASA روشی یکسان برای انجام ارزیابی‌های این کنترل‌ها ارائه می‌کند، زمانی که چنین ارزیابی‌هایی برای دسترسی برنامه‌ها به داده‌های کاربر Google مورد نیاز است. CASA یک روش ارزیابی چند سطحی را برای رسیدگی به تغییرات احتمالی در خطر بر اساس کاربر، دامنه و سایر موارد خاص برنامه اضافه کرده است. اگرچه ما ارزیابی های شخص ثالث را به شدت توصیه می کنیم، اما ابزاری را برای همه شرکت ها فراهم می کنیم تا از طریق یک برنامه خودارزیابی، امنیت خود را بهبود بخشند. اگر واجد شرایط این برنامه هستید، Google مستقیماً برای شروع مراحل بعدی تماس خواهد گرفت.

فواید

ما می‌خواهیم صنعت را به سمتی سوق دهیم که به کاربران شفافیت و کنترلی را بدهیم که در مورد امنیت داده‌ها و حریم خصوصی برنامه‌هایی که استفاده می‌کنند به میان می‌آید. انجام ارزیابی‌های امنیتی برنامه‌های کاربردی ابری و سرویس‌های پشتیبان، آسیب‌پذیری‌های رایج را تا حد زیادی کاهش می‌دهد، در حالی که اعتماد مصرف‌کننده به محصولات و خدمات نهایی را افزایش می‌دهد.

چگونه کار می کند

چارچوب CASA مبنایی برای آزمایش کنترل‌های امنیتی فنی برنامه‌های کاربردی وب با استفاده از استاندارد تأیید امنیت برنامه OWASP (ASVS) فراهم می‌کند.

چارچوب CASA
شکل 1 : چارچوب CASA

چارچوب CASA دستورالعمل‌های آزمایشی را برای ارزیابی برنامه‌های وب در چهارده دسته استاندارد تأیید امنیت برنامه 4.0 ارائه می‌کند.

سطوح ارزیابی امنیتی:

CASA سه سطح ارزیابی را برای برنامه های کاربردی ابری تشخیص می دهد

  • ارزیابی های سطح سه، توسعه دهنده را ملزم به تکمیل پرسشنامه خود ارزیابی می کند، که سپس توسط آزمایشگاه مجاز CASA بررسی می شود. این یک بررسی کاغذی از اطلاعات ارائه شده توسط توسعه دهنده است.
  • ارزیابی های سطح دو، توسعه دهنده را ملزم به تکمیل پرسشنامه خود ارزیابی می کند، که سپس توسط آزمایشگاه مجاز CASA بررسی می شود. این یک بررسی کاغذی از اطلاعات ارائه شده توسط توسعه دهنده، با اضافه شدن بررسی های پیکربندی است.
  • ارزیابی های سطح یک شامل مراحل مرحله دو، به علاوه یک ارزیابی امنیتی کامل توسط آزمایشگاه مجاز CASA است.
چارچوب های CASA
شکل 1 : چارچوب CASA

ارزیابی‌ها باید الزامات پایه CASA از استاندارد امنیتی OWASP ASVS 4.0 را برآورده کنند. ارزیابی‌ها به‌منظور ممیزی‌های جعبه سیاه با محدودیت زمانی از رابط‌های قابل دسترسی خارجی هستند و زیرساخت‌های ابری یا ارتباطات سرور داخلی را شامل نمی‌شوند. توصیه می شود که توسعه دهندگان ارزیابی های امنیتی را در طول فرآیند توسعه انجام دهند. با این حال، CASA فقط به به روز رسانی سالانه گزارش ارزیابی امنیتی نیاز دارد.

توصیه می‌شود که توسعه‌دهندگان تمام کنترل‌ها را در مشخصات ASVS سطح 1 و سطح 2 بررسی و اجرا کنند، با این حال، ADA فقط به زیر مجموعه‌ای از الزامات کامل ASVS نیاز دارد.

شرکای مجاز آزمایشگاه:

ارزیابی CASA خود را با تماس با شرکای آزمایشگاهی و ارسال پرسشنامه ارزیابی امنیتی آغاز کنید.