Ocena bezpieczeństwa aplikacji w chmurze (CASA)

Przegląd

W miarę jak złożone systemy są łączone za pomocą integracji typu chmura-chmura, ważne jest, aby mieć standardowy sposób zabezpieczania danych konsumentów i ich prywatności. W ciągu ostatniej dekady znacznie poprawiło się bezpieczeństwo infrastruktury chmury. W warstwie aplikacji nadal jednak występują poważne problemy z bezpieczeństwem.

CASA opiera się na uznanych w branży standardach OWASP Application Security Verification Standard (ASVS), aby zapewnić podstawowy zestaw kontroli bezpieczeństwa, które powinny być wdrożone w aplikacjach w chmurze. Dodatkowo CASA zapewnia jednolity sposób przeprowadzania ocen tych mechanizmów kontroli, gdy takie oceny są wymagane w przypadku aplikacji uzyskujących dostęp do danych użytkowników Google. CASA wprowadziła wielopoziomową metodę oceny, aby uwzględnić potencjalną zmianę ryzyka w zależności od użytkownika, zakresu i innych elementów specyficznych dla aplikacji. Chociaż bardzo zalecamy oceny zewnętrzne, udostępniamy wszystkim firmom możliwość rozpoczęcia poprawy bezpieczeństwa za pomocą programu samooceny. Jeśli kwalifikujesz się do tego programu, skontaktujemy się z Tobą bezpośrednio, aby poinformować Cię o dalszych krokach.

Zalety

Chcemy, aby branża zapewniała użytkownikom przejrzystość i kontrolę w zakresie bezpieczeństwa danych i prywatności w aplikacjach, z których korzystają. Przeprowadzanie ocen bezpieczeństwa aplikacji w chmurze i usług backendowych znacznie zmniejszy liczbę typowych luk w zabezpieczeniach, a jednocześnie zwiększy zaufanie konsumentów do produktów i usług.

Jak to działa

Zasady CASA stanowią podstawę do testowania technicznych mechanizmów kontroli zabezpieczeń aplikacji internetowych na podstawie standardu OWASP Application Security Verification Standard (ASVS).

Zasady CASA
Rysunek 1.: struktura CASA

Zasady CASA zawierają wytyczne dotyczące testów, które umożliwiają ocenę aplikacji internetowych w 14 kategoriach standardu Application Security Verification Standard 4.0.

Poziomy oceny zabezpieczeń:

CASA wyróżnia 3 poziomy oceny aplikacji w chmurze:

Oceny CASA
Rysunek 2. Poziomy oceny CASA

Oceny muszą spełniać podstawowe wymagania CASA określone w standardzie bezpieczeństwa OWASP ASVS 4.0. Oceny mają być ograniczonymi czasowo audytami funkcjonalnymi interfejsów dostępnych z zewnątrz i nie obejmują infrastruktury chmury ani komunikacji serwerów wewnętrznych. Zalecamy, aby deweloperzy przeprowadzali oceny bezpieczeństwa w trakcie całego procesu tworzenia aplikacji. CASA wymaga jednak tylko corocznych aktualizacji raportu z oceny bezpieczeństwa.

Zalecamy, aby programiści sprawdzili i wdrożyli wszystkie ustawienia w specyfikacji ASVS na poziomie 1 i 2, jednak ADA wymaga tylko podzbioru pełnych wymagań ASVS.

Autoryzowani partnerzy w zakresie laboratoriów:

Osoba oceniająca

GDS Ltd-An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC Group
NST Cyber
Orange Cyberdefense South Africa (Pty) Ltd
Prescient Security LLC
TAC Security
DEKRA