Penilaian Keamanan Aplikasi Cloud (CASA)

Ringkasan

Karena sistem yang kompleks terhubung melalui integrasi cloud ke cloud, penting untuk memiliki cara standar guna mengamankan data dan privasi konsumen. Selama satu dekade terakhir, ada peningkatan besar dalam keamanan infrastruktur cloud. Namun, ada tantangan keamanan yang signifikan di lapisan aplikasi.

CASA telah mengembangkan standar yang diakui industri yang berasal dari Application Security Verification Standard (ASVS) OWASP untuk memberikan serangkaian kontrol keamanan dasar yang harus diimplementasikan dalam aplikasi cloud. Selanjutnya, CASA menyediakan cara yang seragam untuk melakukan penilaian terhadap kontrol ini saat penilaian tersebut diperlukan agar Aplikasi dapat mengakses Data Pengguna Google. CASA telah menambahkan metode penilaian multilevel untuk mengatasi potensi perubahan risiko berdasarkan pengguna, cakupan, dan item khusus aplikasi lainnya. Meskipun kami sangat merekomendasikan penilaian pihak ketiga, kami menyediakan sarana bagi semua perusahaan untuk mulai meningkatkan keamanan mereka melalui program penilaian mandiri. Jika Anda memenuhi syarat untuk program ini, Google akan langsung menghubungi Anda untuk memulai langkah selanjutnya.

Manfaat

Kami ingin mendorong industri untuk memberikan transparansi dan kontrol yang diharapkan pengguna dalam hal keamanan dan privasi data untuk aplikasi yang mereka gunakan. Melakukan penilaian keamanan pada aplikasi cloud dan layanan backend akan mengurangi kerentanan umum secara signifikan, sekaligus meningkatkan kepercayaan konsumen terhadap produk dan layanan akhir.

Cara kerja

Framework CASA menyediakan dasar untuk menguji kontrol keamanan teknis aplikasi web menggunakan OWASP Application Security Verification Standard (ASVS).

Framework CASA
Gambar 1: Framework CASA

Framework CASA memberikan panduan pengujian untuk mengevaluasi Aplikasi Web di empat belas kategori Standar Verifikasi Keamanan Aplikasi 4.0

Tingkat penilaian keamanan:

CASA mengenali tiga tingkat penilaian untuk aplikasi cloud

  • Tiga penilaian ini mengharuskan developer untuk menyelesaikan kuesioner penilaian mandiri, yang kemudian ditinjau oleh Lab Resmi CASA. Ini adalah ulasan makalah mengenai informasi yang diberikan oleh developer.
  • Tingkat dua penilaian mengharuskan developer mengisi kuesioner penilaian mandiri, yang kemudian ditinjau oleh CASA Authorized Lab. Ini adalah ulasan makalah yang berisi informasi yang disediakan developer, dengan penambahan pemeriksaan konfigurasi.
  • Penilaian tingkat satu mencakup langkah-langkah tingkat dua, ditambah penilaian keamanan lengkap oleh Lab Resmi CASA.
Framework CASA
Gambar 1: Framework CASA

Penilaian harus memenuhi persyaratan dasar pengukuran CASA dari standar keamanan OWASP ASVS 4.0. Penilaian ditujukan sebagai audit kotak hitam berbatas waktu untuk antarmuka yang dapat diakses secara eksternal, dan tidak mencakup infrastruktur cloud atau komunikasi server internal. Sebaiknya developer melakukan penilaian keamanan selama proses pengembangan. Namun, CASA hanya mewajibkan update tahunan untuk laporan penilaian keamanan.

Sebaiknya developer meninjau dan mengimplementasikan semua kontrol dalam spesifikasi ASVS level 1 dan level 2. Namun, ADA hanya memerlukan sebagian persyaratan ASVS penuh.

Partner Lab Resmi:

Mulai Penilaian CASA Anda dengan menghubungi partner lab dan mengirimkan kuesioner penilaian keamanan.