क्लाउड ऐप्लिकेशन सुरक्षा आकलन (CASA)

खास जानकारी

कॉम्प्लेक्स सिस्टम क्लाउड से क्लाउड इंटिग्रेशन के ज़रिए जुड़े होते हैं. इसलिए, उपभोक्ता के डेटा और निजता को सुरक्षित रखने का स्टैंडर्ड तरीका होना ज़रूरी है. पिछले दशक में, क्लाउड इन्फ़्रास्ट्रक्चर सुरक्षा में काफ़ी सुधार हुआ है. हालांकि, ऐप्लिकेशन लेयर में सुरक्षा से जुड़ी कई चुनौतियां बाकी हैं.

सीएएसए ने OWASP के ऐप्लिकेशन सिक्योरिटी वेरिफ़िकेशन स्टैंडर्ड (एएसवीएस) से आने वाले उद्योग मानकों को ध्यान में रखकर बनाया है. इससे क्लाउड सुरक्षा के लिए बेसलाइन सेट लागू किया जा सकता है. इसके अलावा, जब Google उपयोगकर्ता डेटा को ऐक्सेस करने के लिए ऐप्लिकेशन में ऐसे आकलन करने की ज़रूरत होती है, तब CAS एक ऐसा तरीका उपलब्ध कराता है जिसकी मदद से आप इन नियंत्रणों का आकलन कर सकते हैं. CASA ने उपयोगकर्ता, दायरे और ऐप्लिकेशन के दूसरे खास आइटम के आधार पर जोखिम में होने वाले संभावित बदलाव का पता लगाने के लिए एक मल्टी-लेवल आकलन विधि जोड़ी है. हालांकि, हम तीसरे पक्ष के आकलन का पुरज़ोर सुझाव देते हैं, लेकिन हम सभी कंपनियों को खुद का आकलन करने के कार्यक्रम के ज़रिए अपनी सुरक्षा बढ़ाने के लिए तरीके उपलब्ध कराते हैं. अगर आप इस प्रोग्राम की ज़रूरी शर्तें पूरी करते हैं, तो Google सीधे आपसे संपर्क करके, इसकी पुष्टि करेगा.

फ़ायदे

हम चाहते हैं कि इंडस्ट्री, उपयोगकर्ताओं को इस्तेमाल किए जाने वाले ऐप्लिकेशन के लिए डेटा सुरक्षा और निजता की पारदर्शिता और कंट्रोल दे. क्लाउड ऐप्लिकेशन और बैक एंड सेवाओं की सुरक्षा जांच करके, सामान्य जोखिमों को बहुत कम किया जा सकता है. साथ ही, असल प्रॉडक्ट और सेवाओं में उपभोक्ताओं का भरोसा बढ़ता है.

यह कैसे काम करता है

सीएएसए फ़्रेमवर्क, OWASP ऐप्लिकेशन सिक्योरिटी वेरिफ़िकेशन स्टैंडर्ड (एएसवीएस) का इस्तेमाल करके, वेब ऐप्लिकेशन के तकनीकी सुरक्षा कंट्रोल की जांच करने का आधार देता है.

CASA फ़्रेमवर्क
पहली इमेज: CASA फ़्रेमवर्क

CASA फ़्रेमवर्क, ऐप्लिकेशन की पुष्टि करने के स्टैंडर्ड 4.0 की चौदह कैटगरी में शामिल वेब ऐप्लिकेशन की जांच करने के लिए, टेस्ट दिशा-निर्देश उपलब्ध कराता है

सुरक्षा आकलन के स्तर

CASA, क्लाउड ऐप्लिकेशन के लिए तीन आकलनों की पहचान करता है

  • टियर तीन आकलनों के लिए, डेवलपर को अपने-आप होने वाले आकलन के सवालों की सूची पूरी करनी होगी. इसके बाद, CASA की अनुमति वाली लैब से इसकी समीक्षा की जाएगी. यह दस्तावेज़ के बारे में डेवलपर की दी गई जानकारी है.
  • टियर दो टेस्ट के लिए, डेवलपर को सेल्फ़ असेस्मेंट से जुड़े सवालों की सूची पूरी करनी होगी. इसके बाद, CASA की अनुमति वाली लैब से इसकी समीक्षा की जाएगी. यह दस्तावेज़ देने के बारे में डेवलपर की दी गई जानकारी है. इसमें, कॉन्फ़िगरेशन की जांच भी शामिल है.
  • टियर एक टेस्ट में टियर 2 के चरणों के साथ ही, CASA की आधिकारिक लैब से मिलने वाली पूरी सुरक्षा का आकलन शामिल होता है.
CASA फ़्रेमवर्क
पहली इमेज: CASA फ़्रेमवर्क

यह आकलन, OWASP ASVS 4.0 सुरक्षा मानक की CASA बेसलाइन की ज़रूरी शर्तों के मुताबिक होना चाहिए. इन आकलन का मकसद बाहरी बॉक्स को ऐक्सेस करने वाले इंटरफ़ेस के ब्लैक बॉक्स ऑडिट करना है. इनमें क्लाउड इंफ़्रास्ट्रक्चर या अंदरूनी सर्वर कम्यूनिकेशन शामिल नहीं हैं. हमारा सुझाव है कि डेवलपर, डेवलपमेंट की पूरी प्रोसेस के दौरान सुरक्षा की जांच करते हैं. हालांकि, CASA को सिर्फ़ सुरक्षा आकलन रिपोर्ट के सालाना अपडेट की ज़रूरत होती है.

हमारा सुझाव है कि डेवलपर, लेवल 1 और लेवल 2 की ASVS विशेषता में, सभी कंट्रोल की समीक्षा करें और उन्हें लागू करें. हालांकि, एडीए को सिर्फ़ ASVS की पूरी ज़रूरी शर्तों के सबसेट की ज़रूरत होती है.

आधिकारिक लैब पार्टनर:

अपने लैब से जुड़े आकलन की प्रक्रिया शुरू करने के लिए, लैब के पार्टनर से संपर्क करें और सुरक्षा से जुड़े सवालों की सूची सबमिट करें.