애플리케이션, 플랫폼, 시스템의 글로벌 생태계가 복잡한 클라우드 간 통합을 통해 발전하고 연결됨에 따라 업계에서 인정되고 널리 알려진 기존의 애플리케이션 보안 표준이 소비자 데이터 및 개인 정보 보호에 있어 무엇보다도 중요합니다. 

지난 10년 동안 클라우드 인프라 보안에 상당한 투자와 개선이 이루어졌지만 여전히 애플리케이션 레이어에 중요한 과제가 남아 있습니다. 특히 신뢰할 수 있는 데이터 공유 통합을 통해 안전한 클라우드 인프라와 데이터를 교환하는 강화되지 않은 애플리케이션이 위험합니다. 이에 따라 클라우드 애플리케이션 보안 평가 (CASA)가 도입되었습니다.

CASA는 업계에서 인정하는 OWASP' Application Security Verification Standard (ASVS)의 표준을 수립하여 애플리케이션의 보안을 강화하는 일관적인 요구사항을 제공했습니다. 또한 CASA는 민감한 정보에 액세스할 가능성이 있는 애플리케이션에 이러한 평가가 필요한 경우 신뢰할 수 있는 보증 평가를 수행하는 균일한 방법을 제공합니다. 

사용자 데이터 보호에 관한 애플리케이션 위험 평가는 '모든 경우에 적합한' 해결책은 없습니다. CASA 평가는 이러한 사실을 인식하고 사용자, 범위, 기타 애플리케이션별 항목을 기반으로 애플리케이션 위험을 평가하는 위험 기반 다중 계층 평가 접근 방식을 채택합니다.

Google에서는 사용자가 사용하는 앱의 데이터 보안 및 개인 정보 보호와 관련하여 투명성과 제어 기능을 제공할 책임이 있습니다. 클라우드 애플리케이션의 보안을 평가하고 인프라를 지원하면 일반적인 취약점을 크게 줄이는 동시에 최종 제품과 서비스에 대한 소비자 신뢰도를 높일 수 있습니다.

CASA의 주된 목표는 클라우드-클라우드 통합의 확장성과 포용성을 높이면서 소비자 데이터의 보안을 강화하는 것입니다. 이러한 포부를 바탕으로 CASA 평가 프레임워크는 다음 원칙을 바탕으로 수립되었습니다.

  • CASA는 OWASP ASVS를 기반으로 하며 독점 요건이나 혼란스러운 보안 전문 용어가 없습니다.
  • 모든 신청은 CASA 요구사항 및 평가 절차에 동일하게 적용됩니다.
  • 모두를 위한 요구사항, 평가, 승인된 평가자 전반
  • 테스트가 모든 사람에게 적합한 것은 아니며 보안 검토 수준은 위험 계층을 기반으로 합니다
애플리케이션이 충족해야 하는 요구사항에 대해 알아보기
개발자에게 필요한 검사를 최소화하는 도구를 제공합니다.
애플리케이션이 평가되는 방법에 중점을 둔 보증 등급
CASA 요구사항 준수를 위해 애플리케이션의 유효성을 검사하는 승인된 평가자