Avaliação da segurança de aplicativos na nuvem (CASA)

Visão geral

Como os sistemas complexos estão conectados por integrações de nuvem para nuvem, é importante ter uma maneira padrão de proteger os dados e a privacidade do consumidor. Na última década, houve uma grande melhoria na segurança da infraestrutura em nuvem. No entanto, há desafios significativos de segurança na camada do aplicativo.

O CASA foi desenvolvido com base nos padrões reconhecidos pelo setor provenientes do padrão de verificação de segurança de aplicativos (ASVS, na sigla em inglês) da OWASP para fornecer um conjunto de valor de referência de controles de segurança que precisam ser implementados em aplicativos na nuvem. Além disso, o CASA oferece uma maneira uniforme de realizar avaliações desses controles quando essas avaliações são necessárias para que os aplicativos acessem os dados do usuário do Google. O CASA adicionou um método de avaliação de vários níveis para lidar com a possível mudança de risco com base no usuário, no escopo e em outros itens específicos do aplicativo. Embora seja altamente recomendável fazer avaliações de terceiros, fornecemos um meio para todas as empresas começarem a melhorar a segurança com um programa de autoavaliação. Se você se qualificar para esse programa, o Google entrará em contato diretamente para iniciar as próximas etapas.

Vantagens

Queremos incentivar o setor a oferecer aos usuários transparência e controle que eles esperam quando se trata de segurança de dados e privacidade dos apps que usam. Executar avaliações de segurança dos aplicativos na nuvem e de serviços de back-end vai reduzir bastante as vulnerabilidades comuns, além de aumentar a confiança dos consumidores nos produtos e serviços finais.

Como funciona

O framework do CASA fornece uma base para testar controles de segurança técnica de aplicativos da Web com base no padrão de verificação de segurança de aplicativos (ASVS, na sigla em inglês).

Framework CASA
Figura 1: framework CASA

O framework do CASA fornece diretrizes de teste para avaliar apps da Web em 14 categorias da Verificação de segurança de aplicativo padrão 4.0

Níveis de avaliação da segurança:

O CASA reconhece três níveis de avaliação de aplicativos na nuvem

Avaliações da CASA
Figura 2: níveis de avaliação do CASA

As avaliações precisam atender aos requisitos de valor de referência do CASA do padrão de segurança OWASP ASVS 4.0. O objetivo das avaliações é fazer auditorias funcionais por tempo limitado das interfaces acessíveis externamente e não incluem infraestrutura em nuvem ou comunicações internas do servidor. Recomenda-se que os desenvolvedores realizem avaliações de segurança durante todo o processo de desenvolvimento. No entanto, a CASA só exige atualizações anuais do relatório de avaliação de segurança.

É recomendável que os desenvolvedores revisem e implementem todos os controles nas especificações ASVS de nível 1 e 2. No entanto, a ADA só exige um subconjunto dos requisitos completos de ASVS.

Parceiros de laboratório autorizados:

Avaliador

GDS Ltd-An Aon Group
Bishop Fox
KPMG
Segurança do Leviathan
Grupo da NCC (em inglês)
NST Cyber
Orange Cyberdefense South Africa (Pty) Ltd
Prescient Security LLC (link em inglês)
Segurança do TAC
DEKRA