개요
복잡한 시스템은 클라우드를 통해 클라우드로 통합되므로 소비자 데이터와 개인 정보를 보호하는 표준 방식을 마련하는 것이 중요합니다. 지난 10년 동안 클라우드 인프라 보안은 크게 개선되었습니다. 하지만 애플리케이션 레이어에 남아 있는 보안 관련 중대한 어려움이 있습니다.
CASA는 OWASP의 애플리케이션 보안 인증 표준 (ASVS)에서 인정하는 업계 표준을 기반으로 구축되어 클라우드 애플리케이션에 구현되어야 하는 보안 제어의 기준을 제공합니다. 또한 CASA는 애플리케이션이 Google 사용자 데이터에 액세스하기 위해 이러한 평가가 필요할 때 이러한 제어에 대한 평가를 균일하게 수행할 수 있는 방법을 제공합니다. CASA는 사용자, 범위, 기타 애플리케이션별 항목에 따라 위험의 잠재적 변화를 해결하기 위해 여러 수준의 평가 방법을 추가했습니다. Google은 서드 파티 평가를 적극 권장하지만 모든 회사가 자체 평가 프로그램을 통해 보안을 강화할 수 있는 방법을 제공합니다. 이 프로그램을 이용할 자격이 있는 경우 Google에서 직접 연락해서 다음 단계를 시작합니다.
이점
Google에서는 사용자가 사용하는 앱의 데이터 보안과 개인 정보 보호와 관련하여 업계에서 투명성과 관리권을 기대하는 환경을 업계에 제공하고자 합니다. 클라우드 애플리케이션 및 백엔드 서비스에 대한 보안 평가를 수행하면 일반 취약점이 크게 감소하는 동시에 최종 제품과 서비스에 대한 소비자 신뢰도가 높아집니다.
사용 방법
CASA 프레임워크는 OWASP 애플리케이션 보안 인증 표준 (ASVS)을 기반으로 웹 애플리케이션 기술 보안 컨트롤의 테스트 기반을 제공합니다.
CASA 프레임워크는 애플리케이션 보안 인증 표준 4.0의 14개 카테고리에서 웹 앱을 평가하기 위한 테스트 가이드라인을 제공합니다.
보안 평가 등급:
클라우드 애플리케이션에 대한 3단계 평가의 CASA 인정
평가는 OWASP ASVS 4.0 보안 표준의 CASA 기준 요구사항을 충족해야 합니다. 평가는 외부에서 액세스할 수 있는 인터페이스를 대상으로 기능 제한 시간 감사를 실시해야 하며 클라우드 인프라나 내부 서버 통신은 포함하지 않습니다. 개발자는 개발 프로세스 전반에 걸쳐 보안 평가를 수행하는 것이 좋습니다. 그러나 CASA에서는 보안 평가 보고서에 대한 연간 업데이트만 필요합니다.
개발자는 수준 1 및 수준 2 ASVS 사양의 모든 제어를 검토하고 구현하는 것이 좋습니다. 그러나 ADA는 전체 ASVS 요구사항의 하위 집합만 필요합니다.
공인 실험 파트너:|
평가자 |
|---|
| GDS Ltd-An Aon Group |
| 비숍 폭스 |
| KPMG |
| 리비아선 보안 |
| NCC 그룹 |
| NST Cyber |
| Orange Cybersecurity South South (Pty) Ltd |
| Prescient Security LLC |
| TAC 보안 |
| 데리아 |