개요
복잡한 시스템이 클라우드 간 통합을 통해 연결되므로 소비자 데이터와 개인 정보를 보호하는 표준 방식이 필요합니다. 지난 10년간 클라우드 인프라 보안이 크게 개선되었습니다. 하지만 애플리케이션 계층에는 여전히 심각한 보안 문제가 남아 있습니다.
CASA는 OWASP의 애플리케이션 보안 인증 표준 (ASVS)에서 비롯된 업계 인정 표준을 기반으로 클라우드 애플리케이션에 구현해야 하는 기준 보안 제어 세트를 제공합니다. 또한 CASA는 애플리케이션이 Google 사용자 데이터에 액세스하는 데 이러한 평가가 필요한 경우 이러한 관리의 평가를 수행하는 통일된 방법을 제공합니다. CASA는 사용자, 범위, 기타 애플리케이션별 항목에 따라 위험이 달라질 수 있다는 점을 고려하여 다단계 평가 방법을 추가했습니다. 서드 파티 평가를 적극 권장하지만 모든 회사가 자체 평가 프로그램을 통해 보안을 개선할 수 있는 수단을 제공합니다. 이 프로그램의 자격 요건을 충족하는 경우 Google에서 다음 단계를 시작하기 위해 직접 연락드립니다.
이점
Google은 업계가 사용자가 사용하는 앱의 데이터 보안 및 개인 정보 보호와 관련해 기대하는 투명성과 관리 기능을 제공하도록 유도하고자 합니다. 클라우드 애플리케이션과 백엔드 서비스에 대한 보안 평가를 수행하면 일반적인 취약점을 크게 줄이는 동시에 최종 제품과 서비스에 대한 소비자 신뢰도를 높일 수 있습니다.
작동 방식
CASA 프레임워크는 OWASP 애플리케이션 보안 인증 표준 (ASVS)을 기반으로 웹 애플리케이션 기술 보안 제어를 테스트하기 위한 기반을 제공합니다.
CASA 프레임워크는 애플리케이션 보안 인증 표준 4.0의 14개 카테고리에 걸쳐 웹 앱을 평가하기 위한 테스트 가이드라인을 제공합니다.
보안 평가 등급:
CASA는 클라우드 애플리케이션에 대한 세 가지 등급의 평가를 인정합니다.
평가는 OWASP ASVS 4.0 보안 표준의 CASA 기준 요구사항을 충족해야 합니다. 평가는 외부에서 액세스할 수 있는 인터페이스의 시간 제한 기능 감사로, 클라우드 인프라 또는 내부 서버 통신은 포함되지 않습니다. 개발자는 개발 프로세스 전반에 걸쳐 보안 평가를 수행하는 것이 좋습니다. 하지만 CASA에서는 보안 평가 보고서를 매년 업데이트하도록 요구합니다.
개발자는 1단계 및 2단계 ASVS 사양의 모든 제어를 검토하고 구현하는 것이 좋지만 ADA에서는 전체 ASVS 요구사항의 일부만 요구합니다.
공인 연구 기관 파트너:|
평가자 |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| KPMG |
| Leviathan Security |
| NCC Group |
| NST Cyber |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC |
| TAC Security |
| DEKRA |