Обзор
Поскольку сложные системы взаимодействуют посредством облачных интеграций, важно иметь стандартный способ защиты данных и конфиденциальности пользователей. За последнее десятилетие безопасность облачной инфраструктуры значительно улучшилась. Однако на прикладном уровне по-прежнему существуют серьёзные проблемы безопасности.
CASA опирается на общепризнанные отраслевые стандарты, основанные на Стандарте проверки безопасности приложений (ASVS) OWASP, чтобы предоставить базовый набор мер безопасности, которые должны быть реализованы в облачных приложениях. Кроме того, CASA предоставляет унифицированный способ оценки этих мер безопасности, когда такая оценка требуется для доступа приложений к данным пользователей Google. CASA добавила многоуровневый метод оценки для учета потенциального изменения риска в зависимости от пользователя, области применения и других характеристик приложения. Хотя мы настоятельно рекомендуем проводить оценку независимыми экспертами, мы предоставляем всем компаниям возможность начать повышать свою безопасность с помощью программы самостоятельной оценки. Если вы соответствуете требованиям этой программы, Google свяжется с вами напрямую для принятия дальнейших мер.
Преимущества
Мы хотим, чтобы отрасль предоставила пользователям прозрачность и контроль, которых они ожидают в отношении безопасности данных и конфиденциальности используемых ими приложений. Проведение оценки безопасности облачных приложений и внутренних сервисов значительно снизит количество распространённых уязвимостей, одновременно повышая доверие потребителей к конечным продуктам и услугам.
Как это работает
Платформа CASA обеспечивает основу для тестирования технических средств контроля безопасности веб-приложений на основе Стандарта проверки безопасности приложений OWASP (ASVS) .
Платформа CASA предоставляет рекомендации по тестированию для оценки веб-приложений по четырнадцати категориям Стандарта проверки безопасности приложений 4.0.
Уровни оценки безопасности:
CASA признает три уровня оценки облачных приложений
Оценки должны соответствовать базовым требованиям CASA, изложенным в стандарте безопасности OWASP ASVS 4.0. Оценки предназначены для проведения ограниченных по времени функциональных аудитов интерфейсов внешнего доступа и не включают облачную инфраструктуру или внутренние серверные коммуникации. Разработчикам рекомендуется проводить оценки безопасности на протяжении всего процесса разработки. Однако CASA требует только ежегодного обновления отчёта об оценке безопасности.
Разработчикам рекомендуется просмотреть и реализовать все элементы управления в спецификации ASVS уровня 1 и уровня 2, однако ADA требует только подмножество полных требований ASVS.
Авторизованные партнеры лаборатории:Оценщик |
|---|
| GDS Ltd-An Aon Group |
| Епископ Фокс |
| КПМГ |
| «Левиафан Секьюрити» |
| Группа НКК |
| NST Cyber |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC |
| Безопасность TAC |
| ДЕКРА |