雲端應用程式安全性評估 (CASA)

總覽

複雜系統透過雲端對雲端整合功能連線,因此必須採用標準方式來保護消費者資料和隱私權。過去十年來,雲端基礎架構安全性大幅提升。不過,應用程式層仍存在重大安全性挑戰。

CASA 採用 OWASP 應用程式安全防護驗證標準 (ASVS) 的業界認可標準,提供一組基本安全控制措施,應在雲端應用程式中實作。此外,如果應用程式需要存取 Google 使用者資料,且必須進行這類評估,CASA 就能提供統一的評估方式。CASA 新增了多層級評估方法,可因應使用者、範圍和其他應用程式專屬項目,評估風險的潛在變化。雖然我們強烈建議進行第三方評估,但我們也提供自評計畫,讓所有公司都能開始提升安全性。如果符合這項計畫的資格,Google 會直接與您聯絡,啟動後續步驟。

優點

我們希望推動業界為使用者提供透明度,讓他們在應用程式的資料安全和隱私權方面,獲得期望的控制權。對雲端應用程式和後端服務進行安全評估,可大幅減少常見安全漏洞,同時提升消費者對最終產品和服務的信心。

運作方式

CASA 架構提供網路應用程式技術安全控管的測試基礎,測試依據為 OWASP 應用程式安全防護驗證標準 (ASVS)

CASA 架構
圖 1:CASA 架構

CASA 架構提供測試指南,可評估應用程式安全性驗證標準 4.0 的 14 個類別

安全評估等級:

CASA 認可雲端應用程式的三個評估層級

CASA 評估
圖 2:CASA 評估層級

評估必須符合 OWASP ASVS 4.0 安全標準的 CASA 基準規定。評估的目的是對外部可存取的介面進行功能稽核,且有時間限制,不包括雲端基礎架構或內部伺服器通訊。建議開發人員在整個開發過程中執行安全評估。不過,CASA 每年只需要更新安全性評估報告。

建議開發人員審查並導入第 1 級和第 2 級 ASVS 規格中的所有控制項,但 ADA 僅要求部分完整的 ASVS 需求。

授權實驗室合作夥伴:

評估人員

GDS Ltd-An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC Group
NST Cyber
Orange Cyberdefense South Africa (Pty) Ltd
Prescient Security LLC
TAC Security
DEKRA