Cloud Application Security Assessment (CASA)

Übersicht

Da komplexe Systeme über Cloud-zu-Cloud-Integrationen verbunden sind, ist es wichtig, dass es eine standardisierte Methode zum Schutz von Verbraucherdaten und zum Schutz der Privatsphäre gibt. In den letzten zehn Jahren hat sich die Sicherheit der Cloud-Infrastruktur erheblich verbessert. Auf der Anwendungsebene bestehen jedoch weiterhin erhebliche Sicherheitsrisiken.

CASA basiert auf den branchenweit anerkannten Standards des OWASP Application Security Verification Standard (ASVS) und bietet eine grundlegende Reihe von Sicherheitskontrollen, die in Cloud-Anwendungen implementiert werden sollten. Außerdem bietet CASA eine einheitliche Möglichkeit, diese Kontrollen zu bewerten, wenn solche Bewertungen für Anwendungen erforderlich sind, um auf Google-Nutzerdaten zuzugreifen. CASA hat eine mehrstufige Bewertungsmethode eingeführt, um der potenziellen Änderung des Risikos basierend auf Nutzer, Umfang und anderen anwendungsspezifischen Elementen Rechnung zu tragen. Wir empfehlen zwar dringend, dass Unternehmen ihre Sicherheit von Dritten bewerten lassen, bieten aber allen Unternehmen die Möglichkeit, ihre Sicherheit durch ein Selbsteinschätzungsprogramm zu verbessern. Wenn Sie die Voraussetzungen für dieses Programm erfüllen, wird Google sich direkt bei Ihnen melden, um die nächsten Schritte einzuleiten.

Vorteile

Wir möchten, dass die Branche Nutzern die Transparenz und Kontrolle bietet, die sie in Bezug auf Datensicherheit und Datenschutz für die von ihnen verwendeten Apps erwarten. Durch die Durchführung von Sicherheitsbewertungen der Cloud-Anwendungen und Back-End-Dienste werden häufige Sicherheitslücken erheblich reduziert und das Vertrauen der Verbraucher in die Endprodukte und ‑dienste gestärkt.

Funktionsweise

Das CASA-Framework bietet eine Grundlage für das Testen technischer Sicherheitskontrollen für Webanwendungen basierend auf dem OWASP Application Security Verification Standard (ASVS).

CASA-Framework
Abbildung 1: CASA-Framework

Das CASA-Framework bietet Testrichtlinien für die Bewertung von Web-Apps in vierzehn Kategorien des Application Security Verification Standard 4.0.

Stufen der Sicherheitsanalyse:

CASA umfasst drei Stufen der Bewertung für Cloud-Anwendungen.

CASA-Bewertungen
Abbildung 2: CASA-Bewertungsstufen

Die Prüfungen müssen den CASA-Basisanforderungen des OWASP ASVS 4.0-Sicherheitsstandards entsprechen. Die Prüfungen sind als zeitlich begrenzte funktionale Audits der extern zugänglichen Schnittstellen gedacht und umfassen keine Cloud-Infrastruktur oder interne Serverkommunikation. Es wird empfohlen, dass Entwickler während des gesamten Entwicklungsprozesses Sicherheitsbewertungen durchführen. Für CASA sind jedoch nur jährliche Aktualisierungen des Sicherheitsprüfberichts erforderlich.

Entwickler sollten alle Kontrollen in der ASVS-Spezifikation für Level 1 und Level 2 prüfen und implementieren. ADA erfordert jedoch nur eine Teilmenge der vollständigen ASVS-Anforderungen.

Autorisierte Laborpartner:

Gutachter

GDS Ltd-An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC Group
NST Cyber
Orange Cyberdefense South Africa (Pty) Ltd
Prescient Security LLC
TAC Security
DEKRA