Penilaian Keamanan Aplikasi Cloud (CASA)

Ringkasan

Karena sistem yang kompleks terhubung melalui integrasi cloud-ke-cloud, penting untuk memiliki cara standar dalam mengamankan data dan privasi konsumen. Selama satu dekade terakhir, keamanan infrastruktur cloud telah meningkat secara signifikan. Namun, masih ada tantangan keamanan yang signifikan di lapisan aplikasi.

CASA dibangun berdasarkan standar yang diakui industri yang berasal dari Application Security Verification Standard (ASVS) OWASP untuk menyediakan serangkaian kontrol keamanan dasar yang harus diterapkan dalam aplikasi cloud. Selain itu, CASA menyediakan cara yang seragam untuk melakukan penilaian terhadap kontrol ini jika penilaian tersebut diperlukan agar Aplikasi dapat mengakses Data Pengguna Google. CASA telah menambahkan metode penilaian multi-level untuk mengatasi potensi perubahan risiko berdasarkan pengguna, cakupan, dan item khusus aplikasi lainnya. Meskipun sangat merekomendasikan penilaian pihak ketiga, kami menyediakan cara bagi semua perusahaan untuk mulai meningkatkan keamanan mereka melalui program penilaian mandiri. Jika Anda memenuhi syarat untuk program ini, Google akan menghubungi Anda secara langsung untuk memulai langkah berikutnya.

Manfaat

Kami ingin mendorong industri untuk memberikan transparansi dan kontrol yang diharapkan pengguna terkait keamanan dan privasi data untuk aplikasi yang mereka gunakan. Melakukan penilaian keamanan aplikasi cloud dan layanan backend akan sangat mengurangi kerentanan umum, sekaligus meningkatkan kepercayaan konsumen terhadap produk dan layanan akhir.

Cara kerjanya

Framework CASA memberikan dasar untuk menguji kontrol keamanan teknis aplikasi web berdasarkan OWASP Application Security Verification Standard (ASVS).

Framework CASA
Gambar 1: Framework CASA

Framework CASA memberikan pedoman pengujian untuk mengevaluasi Aplikasi Web di empat belas kategori Application Security Verification Standard 4.0

Tingkatan penilaian keamanan:

CASA mengenali tiga tingkat penilaian untuk aplikasi cloud

Penilaian CASA
Gambar 2: Tingkatan penilaian CASA

Penilaian harus memenuhi persyaratan dasar CASA dari standar keamanan OWASP ASVS 4.0. Penilaian ini dimaksudkan sebagai audit fungsional yang dibatasi waktu untuk antarmuka yang dapat diakses secara eksternal, dan tidak mencakup infrastruktur cloud atau komunikasi server internal. Sebaiknya developer melakukan penilaian keamanan di seluruh proses pengembangan. Namun, CASA hanya mewajibkan pembaruan tahunan pada laporan penilaian keamanan.

Developer sebaiknya meninjau dan menerapkan semua kontrol dalam spesifikasi ASVS level 1 dan level 2, tetapi ADA hanya memerlukan sebagian kecil dari persyaratan ASVS lengkap.

Partner Lab Resmi:

Penilai

GDS Ltd-An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC Group
NST Cyber
Orange Cyberdefense South Africa (Pty) Ltd
Prescient Security LLC
Keamanan TAC
DEKRA