Đánh giá bảo mật ứng dụng đám mây (CASA)

Tổng quan

Khi các hệ thống phức tạp được kết nối thông qua nền tảng tích hợp đám mây sang đám mây, điều quan trọng là bạn phải có một cách thức tiêu chuẩn để bảo vệ dữ liệu và quyền riêng tư của người tiêu dùng. Trong hơn một thập kỷ qua, đã có sự cải thiện lớn trong việc bảo mật cơ sở hạ tầng đám mây. Tuy nhiên, có lỗ hổng bảo mật đáng kể trong lớp ứng dụng.

CASA đã được xây dựng dựa trên các tiêu chuẩn ngành được công nhận, tiêu chuẩn của chương trình xác minh bảo mật ứng dụng (ASVS) của OWASP để cung cấp một tập hợp các biện pháp kiểm soát bảo mật cơ bản sẽ được triển khai trong các ứng dụng đám mây. Ngoài ra, CASA cung cấp một cách thức thống nhất để thực hiện việc đánh giá các biện pháp kiểm soát này khi cần phải đánh giá như vậy để các Ứng dụng có thể truy cập vào Dữ liệu người dùng của Google. CASA đã thêm một phương pháp đánh giá nhiều cấp độ để giải quyết thay đổi tiềm ẩn rủi ro dựa trên người dùng, phạm vi và các mục cụ thể khác của ứng dụng. Mặc dù rất nên cung cấp dịch vụ đánh giá của bên thứ ba, nhưng chúng tôi vẫn cung cấp một phương thức để tất cả các công ty bắt đầu tăng cường bảo mật thông qua chương trình tự đánh giá. Nếu bạn đủ điều kiện tham gia chương trình này, Google sẽ liên hệ trực tiếp với bạn để bắt đầu các bước tiếp theo.

Lợi ích

Chúng tôi muốn thúc đẩy ngành để đem lại cho người dùng sự minh bạch và khả năng kiểm soát mà họ muốn thực hiện đối với vấn đề bảo mật và quyền riêng tư trong dữ liệu đối với các ứng dụng mà họ sử dụng. Việc đánh giá tính bảo mật của các ứng dụng trên đám mây và các dịch vụ phụ trợ sẽ làm giảm đáng kể các lỗ hổng phổ biến, trong khi vẫn làm tăng niềm tin của người tiêu dùng vào các sản phẩm và dịch vụ cuối cùng.

Cách hoạt động

Khung CASA cung cấp cơ sở để kiểm tra các biện pháp kiểm soát bảo mật ứng dụng web bằng cách sử dụng Tiêu chuẩn xác minh bảo mật ứng dụng OWASP (ASVS).

Khung CASA
Hình 1: Khung CASA

Khung CASA cung cấp các nguyên tắc thử nghiệm để đánh giá Ứng dụng web trên 14 danh mục của Tiêu chuẩn xác minh bảo mật ứng dụng 4.0.

Cấp đánh giá bảo mật:

CASA nhận dạng ba cấp độ đánh giá cho ứng dụng trên đám mây

  • Việc đánh giá cấp 3 yêu cầu nhà phát triển hoàn thành bảng câu hỏi tự đánh giá, sau đó, được Phòng thí nghiệm được Ủy quyền CASA xem xét. Đây là bài đánh giá trên giấy về thông tin do nhà phát triển cung cấp.
  • Việc đánh giá ở cấp độ 2 yêu cầu nhà phát triển hoàn thành bảng câu hỏi tự đánh giá, sau đó, được Phòng thí nghiệm được Ủy quyền CASA xem xét. Đây là quy trình xem xét bằng giấy đối với thông tin do nhà phát triển cung cấp, kèm theo các bước kiểm tra cấu hình.
  • Bài đánh giá cấp 1 bao gồm các bước trong cấp 2, cùng với bài đánh giá đầy đủ về tính bảo mật của Phòng thí nghiệm được ủy quyền của CASA.
Khung CASA
Hình 1: Khung CASA

Các bài đánh giá phải đáp ứng các yêu cầu cơ sở của CASA từ tiêu chuẩn bảo mật OWASP ASVS 4.0. Các bài đánh giá nhằm mục đích kiểm tra hộp đen có giới hạn thời gian của các giao diện bên ngoài và không bao gồm cơ sở hạ tầng đám mây hoặc giao tiếp máy chủ nội bộ. Nhà phát triển nên thực hiện đánh giá bảo mật trong suốt quá trình phát triển. Tuy nhiên, CASA chỉ yêu cầu bản cập nhật hàng năm cho báo cáo đánh giá bảo mật.

Các nhà phát triển nên xem xét và triển khai tất cả các tùy chọn kiểm soát trong thông số kỹ thuật ASVS cấp 1 và cấp 2. Tuy nhiên, ADA chỉ yêu cầu một số yêu cầu đầy đủ về ASVS.

Đối tác được ủy quyền trong Phòng thí nghiệm:

Bắt đầu bài đánh giá CASA của bạn bằng cách liên hệ với các đối tác phòng thí nghiệm và gửi bảng câu hỏi đánh giá bảo mật.