Évaluation de la sécurité des applications cloud (CASA)

Présentation

Étant donné que des systèmes complexes sont connectés via des intégrations cloud à cloud, il est important de disposer d'une méthode standard pour sécuriser les données et la confidentialité des consommateurs. Au cours de la dernière décennie, la sécurité des infrastructures cloud s'est considérablement améliorée. Toutefois, il reste d'importants défis de sécurité à relever au niveau de la couche application.

CASA s'est appuyé sur les normes reconnues du secteur issues de la norme ASVS (Application Security Verification Standard) d'OWASP pour fournir un ensemble de base de contrôles de sécurité à implémenter dans les applications cloud. De plus, CASA fournit une méthode uniforme pour évaluer ces contrôles lorsque de telles évaluations sont requises pour que les applications puissent accéder aux données utilisateur Google. La CASA a ajouté une méthode d'évaluation à plusieurs niveaux pour tenir compte de l'évolution potentielle des risques en fonction de l'utilisateur, du champ d'application et d'autres éléments spécifiques à l'application. Bien que nous recommandions vivement les évaluations tierces, nous offrons à toutes les entreprises un moyen de commencer à améliorer leur sécurité grâce à un programme d'auto-évaluation. Si vous êtes éligible à ce programme, Google vous contactera directement pour vous indiquer les prochaines étapes.

Avantages

Nous souhaitons inciter le secteur à offrir aux utilisateurs la transparence et le contrôle qu'ils attendent en matière de sécurité et de confidentialité des données pour les applications qu'ils utilisent. L'évaluation de la sécurité des applications cloud et des services de backend permet de réduire considérablement les failles courantes, tout en renforçant la confiance des consommateurs dans les produits et services finaux.

Fonctionnement

Le framework CASA fournit une base pour tester les contrôles de sécurité techniques des applications Web en fonction de la norme OWASP Application Security Verification Standard (ASVS).

Framework CASA
Figure 1 : Framework CASA

Le framework CASA fournit des consignes de test pour évaluer les applications Web dans quatorze catégories de la norme Application Security Verification Standard 4.0.

Niveaux d'évaluation de la sécurité :

CASA reconnaît trois niveaux d'évaluation pour les applications cloud.

Évaluations CASA
Figure 2 : Niveaux d'évaluation CASA

Les évaluations doivent répondre aux exigences de référence CASA de la norme de sécurité OWASP ASVS 4.0. Les évaluations sont conçues pour être des audits fonctionnels à durée limitée des interfaces accessibles en externe. Elles n'incluent pas l'infrastructure cloud ni les communications internes des serveurs. Nous recommandons aux développeurs d'effectuer des évaluations de sécurité tout au long du processus de développement. Toutefois, CASA n'exige que des mises à jour annuelles du rapport d'évaluation de la sécurité.

Nous recommandons aux développeurs d'examiner et d'implémenter tous les contrôles des spécifications ASVS de niveau 1 et 2. Toutefois, l'ADA n'exige qu'un sous-ensemble des exigences ASVS complètes.

Partenaires de laboratoire agréés :

Évaluateur

GDS Ltd-An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC Group
NST Cyber
Orange Cyberdefense South Africa (Pty) Ltd
Prescient Security LLC
TAC Security
DEKRA