Cloud Application Security Assessment (CASA)

Übersicht

Da komplexe Systeme über die Cloud mit Cloud-Integrationen verbunden sind, ist es wichtig, eine Standardmethode zum Schutz von Nutzerdaten und Datenschutz zu haben. In den letzten zehn Jahren hat sich die Sicherheit der Cloud-Infrastruktur erheblich verbessert. Es gibt jedoch noch ein erhebliches Sicherheitsrisiko bei der Anwendungsschicht.

CASA basiert auf den branchenüblichen Standards aus dem OWASP-Standard zur Anwendungssicherheit (Application Security Verification Standard, ASVS), die eine Basis für Sicherheitskontrollen bieten, die in Cloud-Anwendungen implementiert werden sollten. Darüber hinaus bietet das CASA eine einheitliche Möglichkeit, diese Kontrollen durchzuführen, wenn solche Bewertungen für den Zugriff auf Google-Nutzerdaten erforderlich sind. CASA hat eine mehrstufige Bewertungsmethode hinzugefügt, um die potenzielle Risikoänderung basierend auf Nutzer, Umfang und anderen anwendungsspezifischen Elementen zu berücksichtigen. Wir empfehlen zwar dringend, Prüfungen durch Dritte durchzuführen, bieten aber allen Unternehmen die Möglichkeit, ihre Sicherheit im Rahmen eines Programms zur Selbsteinschätzung zu verbessern. Wenn Sie die Voraussetzungen für dieses Programm erfüllen, meldet sich Google direkt bei Ihnen, um die nächsten Schritte zu besprechen.

Vorteile

Wir möchten der Branche die Möglichkeit geben, Nutzern Transparenz und Kontrolle in Bezug auf Datensicherheit und Datenschutz für die Apps zu bieten, die sie verwenden. Durch die Sicherheitsprüfungen der Cloud-Anwendungen und Back-End-Dienste werden häufige Sicherheitslücken erheblich reduziert und das Vertrauen der Nutzer in die endgültigen Produkte und Dienste wird erhöht.

So geht's

Das CASA-Framework dient als Grundlage für das Testen der technischen Sicherheitskontrollen für Webanwendungen mit dem OWASP Application Security Verification Standard (ASVS).

CASA-Framework
Abbildung 1: CASA-Framework

Das CASA-Framework enthält Testrichtlinien für die Bewertung von Webanwendungen über 14 Kategorien des Application Security Verification Standard 4.0.

Stufen der Sicherheitsbewertung:

CASA erkennt drei Stufen der Bewertung für Cloud-Anwendungen

  • Für Tier 3-Prüfungen muss der Entwickler einen Fragebogen zur Selbsteinschätzung ausfüllen, der dann von einem von CASA autorisierten Lab geprüft wird. Dies ist eine Veröffentlichung der von Entwicklern bereitgestellten Informationen in Papierform.
  • Für Tier 2-Prüfungen muss der Entwickler einen Fragebogen zur Selbsteinschätzung ausfüllen, der dann von einem von CASA autorisierten Lab geprüft wird. Dies ist eine Prüfung der vom Entwickler bereitgestellten Informationen einschließlich Konfigurationsüberprüfungen.
  • Bewertungen der Stufe 1 umfassen die Schritte der Ebene 2 sowie eine vollständige Sicherheitsbewertung durch das CASA Authorized Lab.
CASA-Frameworks
Abbildung 1: CASA-Framework

Die Prüfungen müssen den CASA-Basisanforderungen aus dem OWASP ASVS 4.0-Sicherheitsstandard entsprechen. Die Bewertungen sind als zeitlich begrenzte Blackbox-Prüfungen der extern zugänglichen Schnittstellen gedacht und beinhalten keine Cloud-Infrastruktur oder interne Serverkommunikation. Es wird empfohlen, dass Entwickler während des gesamten Entwicklungsprozesses Sicherheitsprüfungen durchführen. Für CASA sind jedoch jährliche Updates des Berichts zur Sicherheitsbewertung erforderlich.

Es wird empfohlen, dass Entwickler alle Steuerelemente in der ASVS-Spezifikation für Ebene 1 und Stufe 2 überprüfen und implementieren. ADA erfordert jedoch nur einen Teil der vollständigen ASVS-Anforderungen.

Autorisierte Lab-Partner:

Starten Sie Ihre CASA-Bewertung. Wenden Sie sich dazu an die Lab-Partner und reichen Sie den Fragebogen zur Sicherheitsbewertung ein.