Ocena zabezpieczeń aplikacji Cloud (CASA)

Przegląd

Ponieważ złożone systemy są połączone między chmurą a integracjami w chmurze, ważne jest, aby mieć standardowy sposób ochrony danych i prywatności konsumentów. W ciągu minionej dekady znacznie zwiększyliśmy bezpieczeństwo infrastruktury chmury. Jednak w warstwie aplikacji nadal występują poważne problemy z zabezpieczeniami.

CASA korzysta z uznanych w branży standardów, które pochodzą z OWASP (Application Security Verification Standard), aby zapewnić podstawowy zestaw zabezpieczeń, które warto wdrożyć w aplikacjach internetowych. Ponadto CASA zapewnia jednolity sposób kontrolowania tych ustawień, gdy taka ocena jest wymagana, aby aplikacje miały dostęp do danych użytkownika Google. CASA dodała wielopoziomową metodę oceny, aby rozwiązać problem związany z potencjalną zmianą ryzyka w zależności od użytkownika, zakresu i innych elementów aplikacji. Chociaż zdecydowanie zalecamy wykonanie ocen zewnętrznych, umożliwiamy wszystkim firmom podjęcie decyzji o zwiększeniu bezpieczeństwa poprzez samodzielne ocenianie. Jeśli kwalifikujesz się do udziału w tym programie, Google skontaktuje się z Tobą bezpośrednio, by zainicjować kolejne kroki.

Zalety

Chcemy zachęcić branżę do zapewnienia użytkownikom przejrzystości i kontroli, której oczekują w zakresie bezpieczeństwa i prywatności danych. Przeprowadzanie ocen zabezpieczeń aplikacji internetowych i usług backendu znacznie ogranicza typowe luki w zabezpieczeniach i jednocześnie zwiększa zaufanie klientów do ostatecznych produktów i usług.

Jak to działa

Platforma CASA umożliwia podstawy testowania technicznych ustawień zabezpieczeń aplikacji internetowych przy użyciu standardu OWASP Weryfikacja zabezpieczeń (ASVS).

Platforma CASA
Ilustracja 1. Platforma CASA

Zasady CASA zawierają wskazówki dotyczące testów w zakresie oceny aplikacji internetowych w 14 kategoriach standardu Application Security Verification Standard 4.0

Poziomy oceny zabezpieczeń:

CASA rozpoznaje trzy poziomy oceny aplikacji internetowych

  • Testy na poziomie trzecim wymagają od dewelopera wypełnienia kwestionariusza do samodzielnej oceny wyników, który jest następnie sprawdzany przez autoryzowany urząd CASA. To jest papierowa weryfikacja informacji podanych przez dewelopera.
  • Testy na poziomie 2 wymagają od dewelopera wypełnienia kwestionariusza do samodzielnej oceny wyników, który jest następnie sprawdzany przez autoryzowany urząd CASA. To jest papierowy przegląd informacji dostarczonych przez dewelopera. Obejmuje on też weryfikację konfiguracji.
  • Oceny poziomu 1 obejmują kroki poziomu 2 oraz pełną ocenę zabezpieczeń przez program CASA Authorized Lab.
Platformy CASA
Ilustracja 1. Platforma CASA

Testy muszą spełniać podstawowe wymagania CASA CASA ze standardu zabezpieczeń OWASP ASVS 4.0. Celem testów jest ograniczone czasowo czarne pudełko audytów interfejsów dostępnych z zewnątrz. Nie obejmują one infrastruktury w chmurze ani komunikacji wewnętrznej z serwerem. W trakcie programowania zalecamy, aby deweloperzy przeprowadzali oceny zabezpieczeń. CASA wymaga jednak corocznych aktualizacji raportu oceny zabezpieczeń.

Zalecamy, aby deweloperzy sprawdzili i wdrożyli wszystkie elementy sterujące w specyfikacji ASVS na poziomie 1 i 2, ale ADA wymaga tylko części podzbiorów pełnych wymagań ASVS.

Autoryzowani partnerzy modułów:

Rozpocznij test CASA, kontaktując się z partnerami modułu i przesyłając kwestionariusz oceny zabezpieczeń.