Évaluation de la sécurité des applications cloud (CASA)

Aperçu

Comme les systèmes complexes sont connectés entre le cloud et les intégrations dans le cloud, il est important de disposer d'une méthode standard pour sécuriser les données et la vie privée des consommateurs. Au cours des 10 dernières années, la sécurité de l'infrastructure cloud s'est nettement améliorée. Toutefois, la couche d'application présente des problèmes de sécurité importants.

CASA s'appuie sur les normes reconnues par le secteur, issues de la norme de sécurité de l'application (ASVS) d'OWASP. Elle fournit ainsi un ensemble basique de contrôles de sécurité à mettre en œuvre dans les applications cloud. Par ailleurs, la CASA fournit une méthode uniforme pour effectuer des évaluations de ces contrôles lorsque de telles évaluations sont requises pour que les Applications puissent accéder aux Données utilisateur Google. CASA a ajouté une méthode d'évaluation à plusieurs niveaux pour répondre à l'évolution potentielle du risque en fonction de l'utilisateur, du champ d'application et d'autres éléments spécifiques à l'application. Bien que nous recommandions des évaluations tierces, nous offrons à toutes les entreprises un moyen de commencer à améliorer leur sécurité grâce à un programme d'auto-évaluation. Si vous êtes éligible, Google vous contactera directement pour vous présenter les prochaines étapes.

Avantages

Nous voulons inciter le secteur à offrir aux utilisateurs transparence et contrôle en ce qui concerne la sécurité et la confidentialité des données pour les applications qu'ils utilisent. Évaluer la sécurité des applications cloud et des services de backend permet de réduire considérablement les failles courantes, tout en renforçant la confiance des consommateurs envers les produits et services finaux.

Fonctionnement

Le framework CASA sert de base pour tester les contrôles techniques de sécurité des applications Web à l'aide de la norme AWAS (Application Security Verification Standard).

Framework CASA
Figure 1: Framework CASA

Le framework CASA fournit des consignes concernant les tests pour évaluer les applications Web dans 14 catégories de la version 4.0 de la norme de sécurité des applications.

Niveaux d'évaluation de la sécurité:

CASA reconnaît trois niveaux d'évaluation pour les applications cloud

  • Pour les évaluations de niveau 3, le développeur doit remplir un questionnaire d'auto-évaluation, qui sera ensuite examiné par un laboratoire autorisé par la CASA. Voici un résumé des informations fournies par le développeur.
  • Pour réaliser les évaluations de niveau 2, le développeur doit remplir un questionnaire d'auto-évaluation, qui sera ensuite examiné par l'un des laboratoires autorisés de la CASA. Voici un aperçu des informations fournies par le développeur, avec l'ajout de vérifications de configuration.
  • Les évaluations de niveau 1 comprennent les étapes de niveau 2, ainsi qu'une évaluation complète de la sécurité par le CASA Authorized Lab.
Framework CASA
Figure 1: Framework CASA

Les évaluations doivent répondre aux exigences de référence de la CASA concernant la norme de sécurité OWASP ASVS 4.0. Les évaluations sont destinées à réaliser des audits noirs à durée limitée des interfaces accessibles en externe. Elles n'incluent pas d'infrastructure cloud ni de communications avec un serveur interne. Il est recommandé aux développeurs d'effectuer des évaluations de sécurité tout au long du processus de développement. Toutefois, le CASA ne nécessite que des mises à jour annuelles du rapport d'évaluation de la sécurité.

Il est recommandé aux développeurs d'examiner et d'implémenter toutes les commandes dans les spécifications ASVS des niveaux 1 et 2, mais le CDA n'a besoin que d'un sous-ensemble des exigences requises.

Partenaires autorisés de l'atelier:

Commencez votre évaluation CASA en contactant les partenaires des ateliers et en envoyant le questionnaire d'évaluation de la sécurité.