雲端應用程式安全性評估 (CASA)

總覽

由於複雜的系統會透過雲端相互連結雲端整合,因此必須使用標準方法來保護消費者資料和隱私權。過去十年來,雲端基礎架構的安全性有很大的改善。但是,應用程式層仍有重大的安全性難題。

CASA 根據 OWASP 應用程式安全性驗證標準 (ASVS) 制定的業界認可標準,提供應於雲端應用程式中實作的基準安全性控管機制。此外,當應用程式需要進行這類評估以存取 Google 使用者資料時,CASA 提供統一的控管方式執行這些評估的方式。CASA 新增了多層級評估方法,根據使用者、範圍和其他應用程式特定項目處理潛在的風險變化。雖然我們強烈建議使用第三方評估服務,但這讓所有公司都能透過自我評估計畫開始提升安全性。如果您符合這項計畫的參與資格,Google 會直接聯絡您採取後續步驟。

優點

我們希望能夠推動產業,讓使用者充分瞭解相關資訊,並掌控他們使用的應用程式的資料安全性和隱私權。針對雲端應用程式和後端執行安全性評估會大幅降低常見的安全漏洞,同時提高消費者對最終產品和服務的信心。

運作方式

CASA 架構則會根據 OWASP 應用程式安全性驗證標準 (ASVS),測試網頁應用程式的技術安全性控管。

CASA 架構
圖 1:CASA 架構

CASA 架構提供應用程式驗證指南,針對應用程式安全性驗證標準 4.0 的四十個類別評估網頁應用程式

安全性評估層級:

CASA 可辨識雲端應用程式的三個級別評估結果

CASA 評估
圖 2:CASA 評估級別

評估作業必須符合 OWASP ASVS 4.0 安全性標準的 CASA 基準要求。這類評估的目的是為外部可存取的介面設定功能限時稽核,但不含雲端基礎架構或內部伺服器通訊。建議開發人員在開發過程中執行安全性評估。不過,CASA 只需要每年更新安全性評估報告即可,

建議開發人員檢查並實作第 1 級和第 2 級 ASVS 規格中的所有控制項,但 ADA 只需要一部分的完整 ASVS 規定。

授權研究室合作夥伴:

評估

GDS Ltd-An Aon Group
Bishop Fox
KPMG
Leviathan Security
NCC 群組
NST 網路
Orange Cyberense 南非 (Pty) Ltd
Prescient Security LLC
TAC 安全技術
DEKRA