Evaluación de seguridad para aplicaciones en la nube (CASA)

Descripción general

A medida que los sistemas complejos se conectan a través de integraciones de nube a nube, es importante tener una forma estándar de proteger los datos y la privacidad de los consumidores. En la última década, se produjo una gran mejora en la seguridad de la infraestructura de la nube. Sin embargo, aún existen desafíos de seguridad importantes en la capa de aplicación.

La CASA se basa en los estándares reconocidos de la industria que provienen del Estándar de verificación de seguridad de aplicaciones (ASVS) de OWASP para proporcionar un conjunto de referencia de controles de seguridad que se deben implementar en las aplicaciones de la nube. Además, CASA proporciona una forma uniforme de realizar evaluaciones de estos controles cuando se requieren para que las Aplicaciones accedan a los Datos del Usuario de Google. CASA agregó un método de evaluación de varios niveles para abordar el posible cambio en el riesgo según el usuario, el alcance y otros elementos específicos de la aplicación. Si bien recomendamos las evaluaciones de terceros, proporcionamos un medio para que todas las empresas comiencen a mejorar su seguridad a través de un programa de autoevaluación. Si cumples con los requisitos para participar en este programa, Google se comunicará contigo directamente para iniciar los próximos pasos.

Beneficios

Queremos impulsar a la industria para que brinde a los usuarios la transparencia y el control que esperan en lo que respecta a la seguridad y la privacidad de los datos de las apps que usan. Realizar evaluaciones de seguridad de las aplicaciones en la nube y los servicios de backend reducirá en gran medida las vulnerabilidades comunes y aumentará la confianza de los consumidores en los productos y servicios finales.

Cómo funciona

El framework de CASA proporciona una base para probar los controles de seguridad técnicos de las aplicaciones web según el Estándar de verificación de seguridad para aplicaciones (ASVS) de OWASP.

Marco de trabajo de CASA
Figura 1: Marco de trabajo CASA

El framework de CASA proporciona lineamientos de prueba para evaluar las apps web en catorce categorías del Estándar de verificación de seguridad para aplicaciones 4.0.

Niveles de evaluación de seguridad:

CASA reconoce tres niveles de evaluación para las aplicaciones en la nube

Evaluaciones de CASA
Figura 2: Niveles de evaluación de CASA

Las evaluaciones deben cumplir con los requisitos básicos de CASA del estándar de seguridad OWASP ASVS 4.0. Las evaluaciones tienen como objetivo ser auditorías funcionales con límite de tiempo de las interfaces accesibles de forma externa y no incluyen la infraestructura de la nube ni las comunicaciones internas del servidor. Se recomienda que los desarrolladores realicen evaluaciones de seguridad durante todo el proceso de desarrollo. Sin embargo, CASA solo requiere actualizaciones anuales del informe de evaluación de seguridad.

Se recomienda que los desarrolladores revisen e implementen todos los controles de las especificaciones de ASVS de nivel 1 y nivel 2. Sin embargo, ADA solo requiere un subconjunto de los requisitos completos de ASVS.

Socios de laboratorios autorizados:

Asesor

GDS Ltd, An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC Group
NST Cyber
Orange Cyberdefense South Africa (Pty) Ltd
Prescient Security LLC
TAC Security
DEKRA