Bulut Uygulaması Güvenlik Değerlendirmesi (CASA)

Genel bakış

Karmaşık sistemler buluttan bulut entegrasyonlarına bağlı olduğundan, tüketici verilerinin ve gizliliğin güvenliğini sağlamak için standart bir yönteme sahip olmak önemlidir. Geçtiğimiz on yıl boyunca bulut altyapısı güvenliğinde büyük iyileştirmeler yapıldı. Bununla birlikte, uygulama katmanında önemli güvenlik zorlukları kaldı.

CASA, OWASP'ın Uygulama Güvenliği Doğrulama Standardı'ndan (ASVS) sektörde kabul gören standartları temel alarak bulut uygulamalarında uygulanması gereken bir dizi güvenlik kontrolü sağlar. Dahası, CASA, Uygulamaların Google Kullanıcı Verilerine erişmesi için bu tür değerlendirmelerin yapılması gerektiğinde bu denetimleri tek tip bir şekilde yerine getirmeyi sağlar. CASA; kullanıcıya, kapsama ve uygulamaya özel diğer öğelere göre riskteki olası değişikliği ele almak için çok düzeyli bir değerlendirme yöntemi ekledi. Üçüncü taraf değerlendirmelerini önemle tavsiye etsek de tüm şirketlerin kendi değerlendirme programlarını kullanarak güvenliklerini artırmaya başlamalarını sağlıyoruz. Bu program için uygunsanız Google, sonraki adımları başlatmak için doğrudan sizinle iletişime geçecektir.

Yararları

Sektörün kullanıcılara, kullandıkları uygulamalar için veri güvenliği ve gizliliği konusunda bekledikleri şeffaflığı ve kontrolü sunmasını istiyoruz. Bulut uygulamaları ve arka uç hizmetleri için güvenlik değerlendirmeleri yapmak, yaygın güvenlik açıklarını önemli ölçüde azaltırken tüketicilerin nihai ürün ve hizmetlere olan güvenini artırır.

İşleyiş şekli

CASA çerçevesi, web uygulaması teknik güvenlik kontrollerini OWASP Uygulama Güvenliği Doğrulama Standardı (ASVS) ile test etmek için bir temel sağlar.

CASA çerçevesi
Şekil 1: CASA çerçevesi

CASA çerçevesi, Uygulama Güvenliği Doğrulama Standardı 4.0'ın on dört kategorisinde Web Uygulamalarını değerlendirmeye ilişkin test yönergeleri sağlar.

Güvenlik değerlendirme katmanları:

CASA, bulut uygulamaları için üç değerlendirme katmanı tanır.

  • Üçüncü düzey değerlendirmeler için geliştiricinin kendi değerlendirme değerlendirmesi anketini doldurması gerekir. Bu anket, daha sonra bir CASA Yetkili Laboratuvarı tarafından incelenir. Bu, geliştirici tarafından sağlanan bilgileri içeren basılı bir incelemedir.
  • İkinci düzey değerlendirmeler için geliştiricinin kendi değerlendirme değerlendirmesi anketini doldurması gerekir. Bu anket daha sonra CASA Yetkili Laboratuvarı tarafından incelenir. Bu, yapılandırma denetimlerinin yanı sıra geliştirici tarafından sağlanan bilgilerin basılı bir incelemesidir.
  • Birinci derece değerlendirmeleri, ikinci katman adımlarını ve CASA Yetkili Laboratuvarı'nın tam güvenlik değerlendirmesini içerir.
CASA çerçeveleri
Şekil 1: CASA çerçevesi

Değerlendirmeler, OWASP ASVS 4.0 güvenlik standardından CASA referans şartlarını karşılamalıdır. Değerlendirmeler, harici olarak erişilebilen arayüzlerin zaman sınırı olan kara kutu denetimleri olarak tasarlanmıştır ve bulut altyapısı veya dahili sunucu iletişimlerini içermez. Geliştiricilerin geliştirme süreci boyunca güvenlik değerlendirmeleri gerçekleştirmeleri önerilir. Ancak, CASA yalnızca güvenlik değerlendirmesi raporunda yıllık güncellemeler yapılmasını gerektirir.

Geliştiricilerin 1. ve 2. seviye ASVS spesifikasyonundaki tüm kontrolleri inceleyip uygulaması önerilir ancak ADA, yalnızca tam ASVS gereksinimlerinin bir alt kümesini gerektirir.

Yetkili Laboratuvar iş ortakları:

CASA Değerlendirmenizi başlatmak için laboratuvar iş ortaklarıyla iletişime geçin ve güvenlik değerlendirmesi anketini gönderin.