Обзор
Поскольку сложные системы связаны через облачную интеграцию, важно иметь стандартный способ защиты данных и конфиденциальности потребителей. За последнее десятилетие произошло значительное улучшение безопасности облачной инфраструктуры. Однако на прикладном уровне остаются серьезные проблемы с безопасностью.
CASA основывается на общепризнанных отраслевых стандартах стандарта проверки безопасности приложений (ASVS) OWASP, чтобы обеспечить базовый набор элементов управления безопасностью, которые должны быть реализованы в облачных приложениях. Кроме того, CASA предоставляет единый способ оценки этих средств контроля, когда такие оценки требуются для того, чтобы Приложения могли получить доступ к Данным пользователя Google. CASA добавила многоуровневый метод оценки для учета потенциального изменения риска в зависимости от пользователя, области действия и других элементов, специфичных для приложения. Хотя мы настоятельно рекомендуем сторонние оценки, мы предоставляем средства для всех компаний, чтобы начать улучшать свою безопасность с помощью программы самооценки. Если вы имеете право на участие в этой программе, Google свяжется с вами напрямую, чтобы предпринять следующие шаги.
Преимущества
Мы хотим подтолкнуть отрасль к тому, чтобы предоставить пользователям прозрачность и контроль, которых они ожидают, когда речь идет о безопасности данных и конфиденциальности для приложений, которые они используют. Выполнение оценок безопасности облачных приложений и серверных служб значительно уменьшит распространенные уязвимости, одновременно повысив доверие потребителей к конечным продуктам и услугам.
Как это работает
Инфраструктура CASA обеспечивает основу для тестирования технических средств безопасности веб-приложений на основе стандарта OWASP Application Security Verification Standard (ASVS) .
Платформа CASA предоставляет рекомендации по тестированию для оценки веб-приложений по четырнадцати категориям стандарта проверки безопасности приложений 4.0.
Уровни оценки безопасности:
CASA признает три уровня оценки облачных приложений
Оценки должны соответствовать базовым требованиям CASA стандарта безопасности OWASP ASVS 4.0. Оценки предназначены для ограниченного по времени функционального аудита интерфейсов, доступных извне, и не включают облачную инфраструктуру или внутреннюю связь сервера. Разработчикам рекомендуется проводить оценку безопасности на протяжении всего процесса разработки. Однако CASA требует только ежегодных обновлений отчета об оценке безопасности.
Разработчикам рекомендуется просмотреть и внедрить все элементы управления в спецификации ASVS уровней 1 и 2, однако для ADA требуется только часть полных требований ASVS.
Авторизованные партнеры лаборатории:оценщик |
|---|
| GDS Ltd-Группа Аон |
| епископ Фокс |
| КПМГ |
| Левиафан Безопасность |
| Группа НКЦ |
| НСТ Кибер |
| Orange Cyberdefense South Africa (Pty) Ltd |
| ООО «Презиент Секьюрити» |
| Центр безопасности |
| ДЕКРА |