Оценка безопасности облачных приложений (CASA)

Обзор

Поскольку сложные системы связаны через облачную интеграцию, важно иметь стандартный способ защиты данных и конфиденциальности потребителей. За последнее десятилетие произошло значительное улучшение безопасности облачной инфраструктуры. Однако на прикладном уровне остаются серьезные проблемы с безопасностью.

CASA основывается на общепризнанных отраслевых стандартах стандарта проверки безопасности приложений (ASVS) OWASP, чтобы обеспечить базовый набор элементов управления безопасностью, которые должны быть реализованы в облачных приложениях. Кроме того, CASA предоставляет единый способ оценки этих средств контроля, когда такие оценки требуются для того, чтобы Приложения могли получить доступ к Данным пользователя Google. CASA добавила многоуровневый метод оценки для учета потенциального изменения риска в зависимости от пользователя, области действия и других элементов, специфичных для приложения. Хотя мы настоятельно рекомендуем сторонние оценки, мы предоставляем средства для всех компаний, чтобы начать улучшать свою безопасность с помощью программы самооценки. Если вы имеете право на участие в этой программе, Google свяжется с вами напрямую, чтобы предпринять следующие шаги.

Выгоды

Мы хотим подтолкнуть отрасль к тому, чтобы предоставить пользователям прозрачность и контроль, которых они ожидают, когда речь идет о безопасности данных и конфиденциальности для приложений, которые они используют. Выполнение оценок безопасности облачных приложений и серверных служб значительно уменьшит распространенные уязвимости, одновременно повысив доверие потребителей к конечным продуктам и услугам.

Как это устроено

Инфраструктура CASA обеспечивает основу для тестирования технических средств безопасности веб-приложений с использованием стандарта OWASP Application Security Verification Standard (ASVS) .

структура CASA
Рисунок 1 : Структура CASA

Платформа CASA предоставляет рекомендации по тестированию для оценки веб-приложений по четырнадцати категориям стандарта проверки безопасности приложений 4.0.

Уровни оценки безопасности:

CASA признает три уровня оценки облачных приложений

  • Оценки третьего уровня требуют от разработчика заполнения анкеты для самооценки, которая затем проверяется авторизованной лабораторией CASA. Это бумажный обзор предоставленной разработчиком информации.
  • Для оценки второго уровня требуется, чтобы разработчик заполнил анкету для самооценки, которая затем рассматривается авторизованной лабораторией CASA. Это бумажный обзор информации, предоставленной разработчиком, с добавлением проверок конфигурации.
  • Оценки первого уровня включают этапы второго уровня, а также полную оценку безопасности авторизованной лабораторией CASA.
CASA-фреймворки
Рисунок 1 : Структура CASA

Оценки должны соответствовать базовым требованиям CASA стандарта безопасности OWASP ASVS 4.0. Оценки предназначены для ограниченного по времени аудита «черного ящика» интерфейсов, доступных извне, и не включают облачную инфраструктуру или внутреннюю связь сервера. Разработчикам рекомендуется проводить оценку безопасности на протяжении всего процесса разработки. Однако CASA требует только ежегодных обновлений отчета об оценке безопасности.

Разработчикам рекомендуется просмотреть и внедрить все элементы управления в спецификации ASVS уровней 1 и 2, однако для ADA требуется только часть полных требований ASVS.

Авторизованные партнеры лаборатории:

Начните свою оценку CASA, обратившись к партнерам лаборатории и отправив анкету оценки безопасности.