CASA (Cloud Application Security Assessment)

Panoramica

Poiché i sistemi complessi sono connessi tramite integrazioni cloud-cloud, è importante disporre di un modo standard per proteggere la privacy e i dati dei consumatori. {0}Negli ultimi dieci anni c'è stato un grande miglioramento nella sicurezza dell'infrastruttura cloud. Tuttavia, rimangono livelli significativi di sicurezza nel livello dell'applicazione.

CASA si basa sugli standard riconosciuti dal settore provenienti dall'Application Security Verification Standard (ASVS) di OWASP per fornire un set di base di controlli di sicurezza da implementare nelle applicazioni cloud. Inoltre, CASA offre un modo uniforme per eseguire valutazioni di questi controlli quando tali valutazioni sono richieste affinché le applicazioni possano accedere ai dati utente di Google. CASA ha aggiunto un metodo di valutazione multilivello per affrontare la potenziale variazione del rischio in base a utenti, ambito e altri elementi specifici dell'applicazione. Sebbene consigliamo vivamente di effettuare valutazioni di terze parti, tutte le aziende possono iniziare a migliorare la propria sicurezza utilizzando un programma di autovalutazione. Se soddisfi i requisiti di idoneità per questo programma, Google ti contatterà direttamente per farti aiutare nei passaggi successivi.

Vantaggi

Vogliamo incoraggiare il settore a offrire agli utenti la trasparenza e il controllo necessari per quanto riguarda la sicurezza e la privacy dei dati per le app che utilizzano. L'esecuzione di valutazioni della sicurezza delle applicazioni cloud e dei servizi di backend riduce notevolmente le vulnerabilità comuni, aumentando al contempo la fiducia dei consumatori nei prodotti e nei servizi finali.

Come funziona

Il framework CASA fornisce una base per testare i controlli tecnici di sicurezza delle applicazioni web utilizzando l'OSVSP Application Security Verification Standard (ASVS).

Framework CASA
Figura 1: framework CASA

Il framework CASA fornisce linee guida di test per la valutazione delle app web in quattordici categorie del programma Application Security Verification Standard 4.0

Livelli di valutazione della sicurezza:

CASA riconosce tre livelli di valutazione per le applicazioni cloud

  • Le valutazioni di terzo livello richiedono allo sviluppatore di completare un questionario di autovalutazione, che viene successivamente esaminato da un lab autorizzato CASA. Si tratta di una recensione cartacea delle informazioni fornite dallo sviluppatore.
  • Le valutazioni di secondo livello richiedono allo sviluppatore di completare un questionario di autovalutazione, che viene successivamente esaminato da un lab autorizzato CASA. Questa è una revisione cartacea delle informazioni fornite dallo sviluppatore, con l'aggiunta dei controlli di configurazione.
  • Le valutazioni di primo livello includono i passaggi del livello due, oltre a una valutazione completa della sicurezza da parte del lab autorizzato CASA.
Framework CASA
Figura 1: Framework CASA

Le valutazioni devono soddisfare i requisiti di base di CASA dallo standard di sicurezza OWASP ASVS 4.0. I test sono intesi come controlli black-box a tempo limitato delle interfacce accessibili esternamente e non includono infrastrutture cloud o comunicazioni interne dei server. È consigliabile che gli sviluppatori eseguano valutazioni di sicurezza durante il processo di sviluppo, Tuttavia, CASA richiede solo aggiornamenti annuali al rapporto di valutazione della sicurezza.

È consigliabile che gli sviluppatori esaminino e implementino tutti i controlli nella specifica ASVS di livello 1 e 2; tuttavia, ADA richiede solo un sottoinsieme dei requisiti ASVS completi.

Partner di Lab autorizzati:

Inizia il test CASA contattando i partner del lab e inviando il questionario del test di sicurezza.