云应用安全评估 (CASA)

概览

由于复杂的系统通过云到云的集成而连接,因此务必要采用一种标准的方式来保护消费者数据和隐私。在过去十年中,云基础架构的安全性已得到巨大的改善。但是,应用层仍存在重大的安全挑战。

CASA 在 OWASP 应用安全验证标准 (ASVS) 的基础上构建了行业认可的标准,提供一套基准云应用安全控制措施。此外,在要求应用访问 Google 用户数据时,CASA 提供了一种统一的方法来执行这些控制措施的评估。CASA 添加了多级评估方法,以根据用户、范围和其他特定于应用的项解决风险的潜在变化。虽然我们强烈建议您提供第三方评估,但我们为所有企业提供了一种方式,让他们可以通过自我评估计划来增强安全性。如果您符合参与此计划的条件,Google 将直接与您联系,以启动后续步骤。

优势

我们希望推动该行业在用户使用其应用时实现数据安全和隐私权方面的透明度和控制权。对云应用和后端服务进行安全性评估可显著减少常见漏洞,同时提高用户对最终产品和服务的信心。

运作方式

CASA 框架为基于 OWASP 应用安全验证标准 (ASVS) 测试 Web 应用技术安全控制奠定了基础。

CASA 框架
图 1:CASA 框架

CASA 框架提供了用于评估应用安全验证标准 4.0 中的 14 类 Web 应用的测试指南

安全性评估层级:

CASA 识别云应用的三级评估

CASA 评估
图 2:CASA 评估层级

评估必须符合 OWASP ASVS 4.0 安全标准的 CASA 基准要求。评估是针对可外部访问的界面的限时功能审核,不包括云基础架构或内部服务器通信。建议开发者在整个开发过程中执行安全性评估。但是,CASA 只需要每年对安全性评估报告进行更新。

我们建议开发者查看并实现 1 级和 2 级 ASVS 规范中的所有控件,不过,ADA 只需要完整版 ASVS 要求的子集。

授权的实验室合作伙伴

评估员

GDS Ltd - Aon Group
Bishop Fox
KPMG
Leviathan 安全团队
NCC 群组
NST Cyber
Orange Cyber 防御 South Africa (Pty) Ltd
Prescient Security LLC
TAC 安全性
DEKRA