Übersicht
Da komplexe Systeme über Cloud-zu-Cloud-Integrationen verbunden sind, ist es wichtig, dass es eine standardisierte Methode zum Schutz von Verbraucherdaten und zum Schutz der Privatsphäre gibt. In den letzten zehn Jahren hat sich die Sicherheit der Cloud-Infrastruktur erheblich verbessert. Auf der Anwendungsebene bestehen jedoch weiterhin erhebliche Sicherheitsrisiken.
CASA basiert auf den branchenweit anerkannten Standards des OWASP Application Security Verification Standard (ASVS) und bietet eine grundlegende Reihe von Sicherheitskontrollen, die in Cloud-Anwendungen implementiert werden sollten. Außerdem bietet CASA eine einheitliche Möglichkeit, diese Kontrollen zu bewerten, wenn solche Bewertungen für Anwendungen erforderlich sind, um auf Google-Nutzerdaten zuzugreifen. CASA hat eine mehrstufige Bewertungsmethode eingeführt, um der potenziellen Änderung des Risikos basierend auf Nutzer, Umfang und anderen anwendungsspezifischen Elementen Rechnung zu tragen. Wir empfehlen zwar dringend, dass Unternehmen ihre Sicherheit von Dritten bewerten lassen, bieten aber allen Unternehmen die Möglichkeit, ihre Sicherheit durch ein Selbsteinschätzungsprogramm zu verbessern. Wenn Sie die Voraussetzungen für dieses Programm erfüllen, wird Google sich direkt bei Ihnen melden, um die nächsten Schritte einzuleiten.
Vorteile
Wir möchten, dass die Branche Nutzern die Transparenz und Kontrolle bietet, die sie in Bezug auf Datensicherheit und Datenschutz für die von ihnen verwendeten Apps erwarten. Durch die Durchführung von Sicherheitsbewertungen der Cloud-Anwendungen und Back-End-Dienste werden häufige Sicherheitslücken erheblich reduziert und das Vertrauen der Verbraucher in die Endprodukte und ‑dienste gestärkt.
Funktionsweise
Das CASA-Framework bietet eine Grundlage für das Testen technischer Sicherheitskontrollen für Webanwendungen basierend auf dem OWASP Application Security Verification Standard (ASVS).
Das CASA-Framework bietet Testrichtlinien für die Bewertung von Web-Apps in vierzehn Kategorien des Application Security Verification Standard 4.0.
Stufen der Sicherheitsanalyse:
CASA umfasst drei Stufen der Bewertung für Cloud-Anwendungen.
Die Prüfungen müssen den CASA-Basisanforderungen des OWASP ASVS 4.0-Sicherheitsstandards entsprechen. Die Prüfungen sind als zeitlich begrenzte funktionale Audits der extern zugänglichen Schnittstellen gedacht und umfassen keine Cloud-Infrastruktur oder interne Serverkommunikation. Es wird empfohlen, dass Entwickler während des gesamten Entwicklungsprozesses Sicherheitsbewertungen durchführen. Für CASA sind jedoch nur jährliche Aktualisierungen des Sicherheitsprüfberichts erforderlich.
Entwickler sollten alle Kontrollen in der ASVS-Spezifikation für Level 1 und Level 2 prüfen und implementieren. ADA erfordert jedoch nur eine Teilmenge der vollständigen ASVS-Anforderungen.
Autorisierte Laborpartner:|
Gutachter |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| KPMG |
| Leviathan Security |
| NCC Group |
| NST Cyber |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC |
| TAC Security |
| DEKRA |