הערכת אבטחה של אפליקציות Cloud (CASA)

סקירה

מכיוון שמערכות מורכבות מחוברות לענן באמצעות שילובי ענן, חשוב שתהיה לנו דרך רגילה לאבטח את הפרטיות והפרטיות של הצרכנים. במהלך העשור האחרון היה שיפור גדול באבטחה של תשתיות הענן. עם זאת, נותרו אתגרים אתגרי אבטחה בשכבת האפליקציה.

CASA התבסס על הסטנדרטים המקובלים בתחום שמגיעים מה-App Security Standard Standard (ASVS) של OWASP, כדי לספק קבוצה בסיסית של בקרות אבטחה שצריך להטמיע באפליקציות בענן. מעבר לכך, CASA מספקת דרך אחידה לביצוע הערכות לגבי אמצעי הבקרה האלו כשהערכות כאלה נדרשות כדי שאפליקציות יוכלו לגשת לנתוני המשתמשים של Google. CAA הוסיף שיטת הערכה רב-שכבתית כדי לטפל בשינוי הפוטנציאלי בסיכון על סמך המשתמש, ההיקף ופריטים אחרים באפליקציה. אמנם אנחנו ממליצים מאוד על הערכות של צדדים שלישיים, אבל אנחנו מספקים אמצעים לכל החברות כדי להתחיל לשפר את האבטחה שלהם בעזרת תוכנית להערכה עצמית. אם אתם עומדים בדרישות של התוכנית הזו, Google תפנה אליכם ישירות כדי להתחיל את השלבים הבאים.

יתרונות

אנחנו רוצים לעודד את התעשייה לספק למשתמשים את השקיפות והשליטה שהם מצפים בכל הנוגע לאבטחת נתונים ולאפליקציות שבהן הם משתמשים. ביצוע הערכות אבטחה של האפליקציות בענן ושירותי הקצה יצמצם משמעותית את נקודות התורפה הנפוצות, ויגביר את אמון הצרכנים במוצרים ובשירותים הסופיים.

איך זה עובד

מסגרת CASA מספקת בסיס לבדיקת בקרות האבטחה הטכניות של אפליקציות אינטרנט באמצעות OWASP תקן אימות האבטחה של אפליקציות (ASVS).

מסגרת CASA
איור 1: מסגרת CASA

מסגרת CASA מספקת הנחיות בדיקה להערכה של אפליקציות אינטרנט בארבע עשר קטגוריות של Standard Security Verification Standard 4.0

רמות של הערכת אבטחה:

CASA מזהה שלוש רמות של הערכה עבור אפליקציות ענן

  • הערכות של שלוש רמות מחייבות את המפתח להשלים שאלון הערכה עצמי. זוהי בדיקה מניירת של המידע שסיפק המפתח.
  • כשמבצעים מבדק ברמה שנייה, המפתח צריך להשלים שאלון הערכה עצמי. זוהי בדיקה מניירת של המידע שסיפק המפתח, בנוסף לבדיקות של הגדרה.
  • הערכות של רמה 1 כוללות את השלבים ברמה השנייה, והערכת אבטחה מלאה על ידי רשות האישורים של CASA.
מסגרות CASA
איור 1: מסגרת CASA

המבדקים צריכים לעמוד בדרישות הבסיס של CASA לפי תקן OWASP ASVS 4.0. ההערכה מיועדת להיות תיבת שחורות לזמן מוגבל של הממשקים הנגישים החיצוניים, ואינה כוללת תשתית ענן או תקשורת פנימית של השרת. מומלץ למפתחים לבצע בדיקות אבטחה לאורך כל תהליך הפיתוח. עם זאת, ל-CASA נדרשים רק עדכונים שנתיים בדוח הערכת האבטחה.

מומלץ למפתחים לבדוק וליישם את כל הפקדים במפרט ASVS ברמה 1 וברמה 2. עם זאת, ל-ADA נדרשת רק קבוצת משנה של הדרישות המלאות של ASVS.

שותפים מורשים של Lab:

יש להתחיל את מבדק ה-CASA על ידי פנייה לשותפי ה-Lab ושליחה של שאלון הערכת האבטחה.