Cloud 애플리케이션 보안 평가 (CASA)

개요

복잡한 시스템이 클라우드를 통해 클라우드 통합으로 연결되므로 소비자 데이터와 개인정보를 보호하는 표준 방법이 중요합니다. 지난 10년간 클라우드 인프라 보안이 크게 개선되었습니다. 하지만 애플리케이션 레이어에는 상당한 보안 문제가 있습니다.

CASA는 OWASP의 애플리케이션 보안 인증 표준 (ASVS)에서 인식되는 업계의 표준을 기반으로 빌드되어 클라우드 애플리케이션에 구현되어야 하는 보안 제어의 기본 세트를 제공합니다. 또한 CASA는 애플리케이션에서 Google 사용자 데이터에 액세스하기 위해 이러한 평가가 필요한 경우 이러한 제어에 대해 평가를 균일하게 수행할 수 있는 방법을 제공합니다. CASA에서는 다단계 평가 메서드를 추가하여 사용자, 범위 및 기타 애플리케이션별 항목을 기반으로 위험의 잠재적 변화를 해결했습니다. Google에서는 타사 평가를 적극 권장하지만, 모든 기업에서 자체 평가 프로그램을 통해 보안을 강화할 수 있는 수단을 제공합니다. 이 프로그램의 자격요건에 부합하는 경우 Google에서 직접 연락하여 다음 단계를 시작할 수 있습니다.

이점

Google은 사용자가 사용하는 앱의 데이터 보안과 개인 정보 보호에 관해 사용자가 원하는 투명성과 제어 기능을 제공할 수 있도록 업계를 돕고자 합니다. 클라우드 애플리케이션과 백엔드 서비스의 보안 평가를 실행하면 일반적인 취약점을 크게 줄이면서 최종 제품과 서비스에 대한 소비자 신뢰도를 높일 수 있습니다.

작동 방식

CASA 프레임워크는 OWASP 애플리케이션 보안 인증 표준 (ASVS)을 사용하여 웹 애플리케이션 기술 보안 제어를 테스트하기 위한 기반을 제공합니다.

CASA 프레임워크
그림 1: CASA 프레임워크

CASA 프레임워크는 애플리케이션 보안 확인 표준 4.0의 14개 카테고리에서 웹 앱을 평가하기 위한 테스트 가이드라인을 제공합니다.

보안 평가 등급:

CASA는 클라우드 애플리케이션에 대한 3가지 평가 등급을 인식합니다.

  • 3단계 평가에서는 개발자가 자체 평가 설문지를 작성해야 하며 이후 CASA 공인 실험실에서 검토합니다. 이 문서는 개발자가 제공한 정보에 대한 서면 리뷰입니다.
  • 2단계 평가에서는 개발자가 자체 평가 설문지를 작성해야 하며 이후 CASA 공인 실험실에서 검토합니다. 이 문서에는 개발자가 제공한 구성과 함께 종이로 작성된 정보가 검토됩니다.
  • 1단계 평가에는 2단계 단계와 CASA 공인 실습의 완전한 보안 평가가 포함됩니다.
CASA 프레임워크
그림 1: CASA 프레임워크

평가는 OWASP ASVS 4.0 보안 표준의 CASA 기준 요구사항을 충족해야 합니다. 평가는 외부에서 액세스할 수 있는 인터페이스에 대해 기간 한정 블랙박스 감사를 대상으로 하며 클라우드 인프라 또는 내부 서버 통신은 포함하지 않습니다. 개발자는 개발 프로세스 전반에 걸쳐 보안 평가를 실행하는 것이 좋습니다. 그러나 CASA에서는 매년 보안 평가 보고서만 업데이트하면 됩니다.

개발자는 레벨 1 및 수준 2 ASVS 사양의 모든 컨트롤을 검토하고 구현하는 것이 좋습니다. 하지만 ADA에는 전체 ASVS 요구사항의 하위 집합만 필요합니다.

공인 실습 파트너:

실습 파트너에게 연락하여 보안 평가 설문지를 제출하여 CASA 평가를 시작하세요.