Evaluación de seguridad de aplicaciones en la nube (CASA)

Visión de conjunto

Dado que los sistemas complejos están conectados a través de integraciones de nube a nube, es importante contar con una forma estándar de proteger los datos y la privacidad de los consumidores. Durante la última década, ha habido una gran mejora en la seguridad de la infraestructura de la nube. Sin embargo, quedan importantes desafíos de seguridad en la capa de aplicación.

CASA se ha basado en los estándares reconocidos de la industria que provienen del Estándar de verificación de seguridad de aplicaciones (ASVS) de OWASP para proporcionar un conjunto básico de controles de seguridad que deben implementarse en las aplicaciones en la nube. Además, CASA proporciona una forma uniforme de realizar evaluaciones de estos controles cuando dichas evaluaciones son necesarias para que las Aplicaciones accedan a los Datos de usuario de Google. CASA ha agregado un método de evaluación de varios niveles para abordar el cambio potencial en el riesgo según el usuario, el alcance y otros elementos específicos de la aplicación. Aunque recomendamos encarecidamente las evaluaciones de terceros, proporcionamos un medio para que todas las empresas comiencen a mejorar su seguridad a través de un programa de autoevaluación. Si es elegible para este programa, Google se comunicará directamente con usted para iniciar los siguientes pasos.

Beneficios

Queremos impulsar a la industria para que brinde a los usuarios la transparencia y el control que esperan en lo que respecta a la seguridad y privacidad de los datos para las aplicaciones que utilizan. La realización de evaluaciones de seguridad de las aplicaciones en la nube y los servicios back-end reducirá en gran medida las vulnerabilidades comunes y aumentará la confianza del consumidor en los productos y servicios finales.

Cómo funciona

El marco CASA proporciona una base para probar los controles de seguridad técnica de aplicaciones web utilizando el Estándar de verificación de seguridad de aplicaciones (ASVS) de OWASP .

Marco CASA
Figura 1 : Marco CASA

El marco CASA proporciona pautas de prueba para evaluar aplicaciones web en catorce categorías del estándar de verificación de seguridad de aplicaciones 4.0

Niveles de evaluación de seguridad:

CASA reconoce tres niveles de evaluación para aplicaciones en la nube

  • Las evaluaciones de nivel tres requieren que el desarrollador complete un cuestionario de autoevaluación, que luego es revisado por un laboratorio autorizado de CASA. Esta es una revisión en papel de la información proporcionada por el desarrollador.
  • Las evaluaciones de nivel dos requieren que el desarrollador complete un cuestionario de autoevaluación, que luego es revisado por un laboratorio autorizado de CASA. Esta es una revisión en papel de la información proporcionada por el desarrollador, con la adición de verificaciones de configuración.
  • Las evaluaciones de nivel uno incluyen los pasos del nivel dos, además de una evaluación de seguridad completa realizada por el laboratorio autorizado de CASA.
Marcos CASA
Figura 1 : Marco CASA

Las evaluaciones deben cumplir con los requisitos básicos de CASA del estándar de seguridad OWASP ASVS 4.0. Las evaluaciones están destinadas a ser auditorías de caja negra de tiempo limitado de las interfaces accesibles externamente y no incluyen la infraestructura de la nube ni las comunicaciones internas del servidor. Se recomienda que los desarrolladores realicen evaluaciones de seguridad durante todo el proceso de desarrollo. Sin embargo, CASA solo requiere actualizaciones anuales del informe de evaluación de seguridad.

Se recomienda que los desarrolladores revisen e implementen todos los controles en la especificación ASVS de nivel 1 y nivel 2; sin embargo, ADA solo requiere un subconjunto de los requisitos completos de ASVS.

Socios de laboratorio autorizados:

Comience su evaluación CASA poniéndose en contacto con los socios de laboratorio y enviando el cuestionario de evaluación de seguridad.