Оценка безопасности облачных приложений (CASA)

Обзор

Поскольку сложные системы связаны через облачную интеграцию, важно иметь стандартный способ защиты данных и конфиденциальности потребителей. За последнее десятилетие произошло значительное улучшение безопасности облачной инфраструктуры. Однако на прикладном уровне остаются серьезные проблемы с безопасностью.

CASA основывается на общепризнанных отраслевых стандартах стандарта проверки безопасности приложений (ASVS) OWASP, чтобы обеспечить базовый набор элементов управления безопасностью, которые должны быть реализованы в облачных приложениях. Кроме того, CASA предоставляет единый способ оценки этих средств контроля, когда такие оценки требуются для того, чтобы Приложения могли получить доступ к Данным пользователя Google. CASA добавила многоуровневый метод оценки для учета потенциального изменения риска в зависимости от пользователя, области действия и других элементов, специфичных для приложения. Хотя мы настоятельно рекомендуем сторонние оценки, мы предоставляем средства для всех компаний, чтобы начать улучшать свою безопасность с помощью программы самооценки. Если вы имеете право на участие в этой программе, Google свяжется с вами напрямую, чтобы предпринять следующие шаги.

Преимущества

Мы хотим подтолкнуть отрасль к тому, чтобы предоставить пользователям прозрачность и контроль, которых они ожидают, когда речь идет о безопасности данных и конфиденциальности для приложений, которые они используют. Выполнение оценок безопасности облачных приложений и серверных служб значительно уменьшит распространенные уязвимости, одновременно повысив доверие потребителей к конечным продуктам и услугам.

Как это работает

Инфраструктура CASA обеспечивает основу для тестирования технических средств безопасности веб-приложений на основе стандарта OWASP Application Security Verification Standard (ASVS) .

структура CASA
Рисунок 1 : Структура CASA

Платформа CASA предоставляет рекомендации по тестированию для оценки веб-приложений по четырнадцати категориям стандарта проверки безопасности приложений 4.0.

Уровни оценки безопасности:

CASA признает три уровня оценки облачных приложений

оценки CASA
Рисунок 2 : Уровни оценки CASA

Оценки должны соответствовать базовым требованиям CASA стандарта безопасности OWASP ASVS 4.0. Оценки предназначены для ограниченного по времени функционального аудита интерфейсов, доступных извне, и не включают облачную инфраструктуру или внутреннюю связь сервера. Разработчикам рекомендуется проводить оценку безопасности на протяжении всего процесса разработки. Однако CASA требует только ежегодных обновлений отчета об оценке безопасности.

Разработчикам рекомендуется просмотреть и внедрить все элементы управления в спецификации ASVS уровней 1 и 2, однако для ADA требуется только часть полных требований ASVS.

Авторизованные партнеры лаборатории:

оценщик

GDS Ltd-Группа Аон
епископ Фокс
КПМГ
Левиафан Безопасность
Группа НКЦ
НСТ Кибер
Orange Cyberdefense South Africa (Pty) Ltd
ООО «Презиент Секьюрити»
Центр безопасности
ДЕКРА