การประเมินความปลอดภัยของแอปพลิเคชันระบบคลาวด์ (CASA)

ภาพรวม

เนื่องจากระบบที่ซับซ้อนเชื่อมต่อกันผ่านระบบคลาวด์สู่ระบบคลาวด์ การมีวิธีการมาตรฐานในการรักษาความปลอดภัยของข้อมูลและความเป็นส่วนตัวของผู้บริโภคเป็นสิ่งสําคัญ ในช่วงทศวรรษที่ผ่านมา เราได้ปรับปรุงโครงสร้างพื้นฐานของระบบคลาวด์อย่างมาก แต่ก็ยังมีความท้าทายด้านความปลอดภัยอีกมากในเลเยอร์แอปพลิเคชัน

CASA สร้างมาตรฐานอุตสาหกรรมที่ได้รับการยอมรับซึ่งมาพร้อมกับมาตรฐาน App Security Verification (ASVS) ของ OWASP เพื่อมอบชุดการควบคุมความปลอดภัยพื้นฐานซึ่งควรนํามาใช้ในแอปพลิเคชันระบบคลาวด์ นอกจากนี้ CASA ยังมอบวิธีดําเนินการควบคุมเหล่านี้อย่างเท่าเทียมกันเมื่อต้องมีการประเมินดังกล่าวเพื่อให้แอปพลิเคชันเข้าถึงข้อมูลผู้ใช้ Google CASA ได้เพิ่มวิธีการประเมินหลายระดับเพื่อรับมือกับการเปลี่ยนแปลงที่อาจเกิดขึ้นกับความเสี่ยงตามผู้ใช้ ขอบเขต และรายการเฉพาะแอปพลิเคชันอื่นๆ แม้ว่าเราขอแนะนําการประเมินของบุคคลที่สามเป็นหลัก แต่ก็มีช่องทางให้ทุกบริษัทเริ่มปรับปรุงความปลอดภัยของตนผ่านโปรแกรมการประเมินด้วยตนเอง หากคุณมีสิทธิ์เข้าร่วมโปรแกรมนี้ Google จะติดต่อคุณโดยตรงเพื่อเริ่มขั้นตอนถัดไป

ข้อดี

เราต้องการให้อุตสาหกรรมมีความโปร่งใสและการควบคุมที่แสดงต่อผู้ใช้เมื่อพูดถึงการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลสําหรับแอปที่ผู้ใช้ใช้ การประเมินความปลอดภัยของแอปพลิเคชันระบบคลาวด์และบริการแบ็กเอนด์ จะช่วยลดช่องโหว่ทั่วไปได้อย่างมาก ขณะที่เพิ่มความเชื่อมั่นของผู้บริโภคในผลิตภัณฑ์และบริการสุดท้าย

วิธีการทำงาน

กรอบของ CASA มีไว้สําหรับทดสอบการควบคุมความปลอดภัยทางเทคนิคสําหรับเว็บแอปพลิเคชันโดยใช้ OWASP Application Security Verification Standard (ASVS)

เฟรมเวิร์กของ CASA
รูปที่ 1: เฟรมเวิร์ก CASA

เฟรมเวิร์ก CASA มีหลักเกณฑ์การทดสอบในการประเมินเว็บแอปในมาตรฐาน 1.44 ของมาตรฐานการตรวจสอบความปลอดภัยของแอปพลิเคชัน 4.0

ระดับการประเมินความปลอดภัย:

CASA ให้ความสําคัญกับการประเมิน 3 ระดับสําหรับแอปพลิเคชันระบบคลาวด์

  • การประเมินระดับที่ 3 กําหนดให้นักพัฒนาแอปตอบแบบสอบถามการประเมินตนเอง ซึ่งจะต้องผ่านการตรวจสอบโดย CASA Authorized Lab นี่คือการตรวจสอบข้อมูลนักพัฒนาแอปที่ได้ให้ไว้ในกระดาษ
  • การประเมินระดับที่ 2 กําหนดให้นักพัฒนาแอปตอบแบบสอบถามการประเมินตนเอง ซึ่งจะต้องผ่านการตรวจสอบโดย CASA Authorized Lab นี่คือการตรวจสอบข้อมูลที่นําเสนอโดยนักพัฒนาซอฟต์แวร์ซึ่งมาพร้อมกับการตรวจสอบการกําหนดค่า
  • การประเมินระดับที่ 1 ประกอบด้วยขั้นตอนของระดับที่ 2 และการประเมินความปลอดภัยเต็มรูปแบบโดย CASA Authorized Lab
เฟรมเวิร์กของ CASA
รูปที่ 1: เฟรมเวิร์ก CASA

การประเมินนี้ต้องเป็นไปตามข้อกําหนดพื้นฐานของ CASA จากมาตรฐานความปลอดภัย OWASP ASVS 4.0 การประเมินนี้มีจุดประสงค์เพื่อเป็นการตรวจสอบกล่องดําแบบจํากัดเวลาของอินเทอร์เฟซที่เข้าถึงได้ภายนอก และไม่รวมโครงสร้างพื้นฐานของระบบคลาวด์หรือการสื่อสารภายในเซิร์ฟเวอร์ เราขอแนะนําให้นักพัฒนาซอฟต์แวร์ประเมินความปลอดภัยในกระบวนการพัฒนา แต่ CASA กําหนดให้อัปเดตรายงานการประเมินความปลอดภัยทุกปีเท่านั้น

เราขอแนะนําให้นักพัฒนาแอปตรวจสอบและใช้การควบคุมทั้งหมดในข้อกําหนด ASVS ระดับ 1 และ 2 อย่างไรก็ตาม ADA กําหนดให้ใช้ข้อกําหนด ASVS ฉบับเต็มเท่านั้น

พาร์ทเนอร์ห้องทดลองที่ได้รับอนุญาต:

เริ่มต้นการประเมิน CASA โดยติดต่อพาร์ทเนอร์ห้องทดลองและส่งแบบสอบถามการประเมินความปลอดภัย