云应用安全评估 (CASA)

概览

由于复杂的系统通过云连接到云集成,因此请务必采用一种标准的方式来保护消费者数据和隐私。在过去的十年中,云基础架构的安全性得到显著提升。但是,应用层仍然存在巨大的安全挑战。

CASA 在 OWASP 的应用安全验证标准 (ASVS) 的基础上制定了业界认可的标准,提供一套要在云应用中实现的安全控制措施。此外,对于应用访问 Google 用户数据所需的评估,CASA 提供了一种统一的方法来评估这些控制措施。CASA 添加了多级评估方法,可根据用户、范围和其他应用特定项应对风险的潜在变化。虽然我们强烈建议您提供第三方评估,但所有公司都可以通过自我评估计划开始增强安全性。 如果您符合此计划的条件,Google 将直接与您联系,启动后续步骤。

优势

我们希望推动整个行业提高透明度,让用户对自己使用的应用在数据安全和隐私方面拥有控制权。对云应用和后端服务进行安全性评估可大大减少常见漏洞,同时让消费者对最终产品和服务更加有信心。

运作方式

CASA 框架为使用 OWASP 应用安全验证标准 (ASVS) 测试 Web 应用技术安全控制奠定了基础。

CASA 框架
图 1:CASA 框架

CASA 框架提供了用于评估应用安全验证标准 4.0 中的 14 类 Web 应用的测试指南

安全评估层级:

CASA 识别云应用的三层评估

  • 三级评估要求开发者完成一份自我评估调查问卷,然后由 CASA 授权实验室进行审核。这是开发者提供的信息的纸质评价。
  • 第二级评估要求开发者完成一份自我评估调查问卷,然后由 CASA 授权实验室进行审核。这是开发者提供的信息的纸质评价,包含配置检查。
  • 第 1 级评估包括第 2 级步骤,以及 CASA 授权实验室的完整安全评估。
CASA 框架
图 1 :CASA 框架

评估必须满足 OWASP ASVS 4.0 安全标准的 CASA 基准要求。评估的目的是对外部可访问的接口进行有时间限制的黑盒审核,不包括云基础架构或内部服务器通信。建议开发者在整个开发过程中进行安全评估。但是,CASA 只需要每年对安全评估报告进行更新。

建议开发者查看并实现级别 1 和级别 2 的 ASVS 规范中的所有控件,不过,ADA 只需要完整 ASVS 要求的子集。

授权的实验室合作伙伴

如需开始 CASA 评估,请联系实验室合作伙伴并提交安全评估调查问卷。