Cloud Application Security Assessment (CASA)

Descripción general

A medida que los sistemas complejos se conectan a través de integraciones de nube a nube, es importante tener una forma estándar de proteger los datos y la privacidad de los consumidores. En la última década, se produjo una gran mejora en la seguridad de la infraestructura de nube. Sin embargo, quedan desafíos de seguridad significativos en la capa de la aplicación.

CASA se basa en los estándares reconocidos en la industria que provienen del estándar de verificación de seguridad para aplicaciones (ASVS) de OWASP a fin de proporcionar un conjunto de controles de seguridad de referencia que deben implementarse en aplicaciones en la nube. Además, CASA proporciona una forma uniforme de realizar las evaluaciones de estos controles cuando se requieren tales evaluaciones para que las Aplicaciones accedan a los Datos del usuario de Google. CASA agregó un método de evaluación de varios niveles para abordar el cambio potencial en el riesgo según el usuario, el alcance y otros elementos específicos de la aplicación. Aunque recomendamos las evaluaciones de terceros, proporcionamos un medio para que todas las empresas comiencen a mejorar su seguridad a través de un programa de autodiagnóstico. Si cumples con los requisitos para este programa, Google se comunicará directamente para iniciar los próximos pasos.

Beneficios

Queremos impulsar la industria para brindarles a los usuarios la transparencia y el control que esperan de la seguridad y la privacidad de los datos en las apps que usan. Realizar evaluaciones de seguridad de las aplicaciones en la nube y los servicios de backend reducirá considerablemente las vulnerabilidades comunes y aumentará la confianza de los consumidores en los productos y servicios finales.

Cómo funciona

El framework de CASA proporciona una base para probar los controles de seguridad técnica de aplicaciones web basados en el estándar de verificación de seguridad para aplicaciones (ASVS) de OWASP.

Framework de CASA
Figura 1: framework de CASA

El marco de trabajo de CASA proporciona lineamientos de prueba para evaluar aplicaciones web en catorce categorías del estándar de verificación de seguridad para aplicaciones 4.0

Niveles de evaluación de seguridad:

CASA reconoce tres niveles de evaluación para aplicaciones en la nube

Evaluaciones de CASA
Figura 2: Niveles de evaluación de la CASA

Las evaluaciones deben cumplir con los requisitos del modelo de referencia CASA del estándar de seguridad OWASP ASVS 4.0. Las evaluaciones están diseñadas para ser auditorías funcionales por tiempo limitado de las interfaces accesibles de forma externa y no incluyen la infraestructura de nube ni las comunicaciones internas del servidor. Se recomienda que los desarrolladores realicen evaluaciones de seguridad durante todo el proceso de desarrollo. Sin embargo, CASA solo requiere actualizaciones anuales en el informe de evaluación de seguridad.

Se recomienda que los desarrolladores revisen e implementen todos los controles en la especificación de ASVS de nivel 1 y 2. Sin embargo, ADA solo requiere un subconjunto de los requisitos de ASVS completos.

Socios de Labs autorizados:

Asesor

GDS Ltd-An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC Group
NST Cyber
Orange cyberDefensa Sudáfrica (Pty) Ltd
Prescient Security LLC
Seguridad de TAC
DEKRA