Avaliação de segurança de aplicativos em nuvem (CASA)

Visão geral

Como sistemas complexos são conectados por meio de integrações de nuvem a nuvem, é importante ter uma maneira padrão de proteger os dados e a privacidade do consumidor. Na última década, houve uma grande melhoria na segurança da infraestrutura em nuvem. No entanto, há desafios de segurança significativos na camada de aplicativo.

O CASA baseou-se nos padrões reconhecidos do setor provenientes do Application Security Verification Standard (ASVS) da OWASP para fornecer um conjunto básico de controles de segurança que devem ser implementados em aplicativos em nuvem. Além disso, o CASA oferece uma maneira uniforme de realizar avaliações desses controles quando essas avaliações são necessárias para que os Aplicativos acessem os Dados do usuário do Google. O CASA adicionou um método de avaliação em vários níveis para abordar a possível mudança no risco com base no usuário, escopo e outros itens específicos do aplicativo. Embora recomendemos avaliações de terceiros, fornecemos um meio para todas as empresas começarem a melhorar sua segurança por meio de um programa de autoavaliação. Se você estiver qualificado para este programa, o Google entrará em contato diretamente para iniciar as próximas etapas.

Benefícios

Queremos levar o setor a dar aos usuários a transparência e o controle que eles esperam quando se trata de segurança e privacidade de dados para os aplicativos que eles usam. A realização de avaliações de segurança dos aplicativos em nuvem e serviços de back-end reduzirá bastante as vulnerabilidades comuns, ao mesmo tempo em que aumentará a confiança do consumidor nos produtos e serviços finais.

Como funciona

A estrutura CASA fornece uma base para testar os controles técnicos de segurança de aplicativos da Web usando o OWASP Application Security Verification Standard (ASVS) .

Estrutura CASA
Figura 1 : Estrutura CASA

A estrutura CASA fornece diretrizes de teste para avaliar aplicativos da Web em quatorze categorias do Application Security Verification Standard 4.0

Níveis de avaliação de segurança:

CASA reconhece três níveis de avaliação para aplicativos em nuvem

  • As avaliações de nível três exigem que o desenvolvedor preencha um questionário de autoavaliação, que é analisado por um Laboratório Autorizado CASA. Esta é uma revisão em papel das informações fornecidas pelo desenvolvedor.
  • As avaliações de nível dois exigem que o desenvolvedor preencha um questionário de autoavaliação, que é analisado por um Laboratório Autorizado CASA. Esta é uma revisão em papel das informações fornecidas pelo desenvolvedor, com a adição de verificações de configuração.
  • As avaliações de nível um incluem as etapas do nível dois, além de uma avaliação de segurança completa pelo Laboratório Autorizado CASA.
Estruturas CASA
Figura 1 : Estrutura CASA

As avaliações devem atender aos requisitos básicos do CASA do padrão de segurança OWASP ASVS 4.0. As avaliações destinam-se a ser auditorias de caixa preta com limite de tempo das interfaces acessíveis externamente e não incluem infraestrutura em nuvem ou comunicações internas do servidor. Recomenda-se que os desenvolvedores realizem avaliações de segurança durante todo o processo de desenvolvimento. No entanto, o CASA exige apenas atualizações anuais do relatório de avaliação de segurança.

Recomenda-se que os desenvolvedores revisem e implementem todos os controles na especificação ASVS de nível 1 e nível 2, no entanto, o ADA requer apenas um subconjunto dos requisitos completos do ASVS.

Parceiros de laboratório autorizados:

Inicie sua avaliação CASA entrando em contato com os parceiros do laboratório e enviando o questionário de avaliação de segurança.