雲端應用程式安全性評估 (CASA)

總覽

由於複雜的系統是透過雲端與雲端整合,因此您必須採用標準的方式保護消費者資料和隱私權。過去十年來,雲端基礎架構的安全性大幅改善, 不過,應用程式層仍存在重大安全性問題。

CASA 根據 OWASP 的「應用程式安全性驗證標準」(ASVS) 制訂的業界認可標準,提供一組應該在雲端應用程式中導入的安全性控管機制。此外,當應用程式存取「Google 使用者資料」時需要這類評估作業時,CASA 將統一執行這些控制項的評估作業。CASA 新增了多重層級的評估方法,可依據使用者、範圍和其他應用程式的特定項目,解決潛在風險的變化。雖然我們強烈建議 使用第三方評估服務,但我們也建議所有公司都透過自我評量計劃開始提升安全性。 如果您符合本計劃的參與資格,Google 會直接聯絡您展開後續步驟。

優點

我們希望在業界提升資訊透明度,並讓使用者能掌控、使用及維護應用程式,針對雲端應用程式和後端服務執行安全性評估,可大幅降低常見的安全漏洞,同時提高消費者對最終產品和服務的信心。

運作方式

CASA 架構提供了使用 OWASP 應用程式安全性驗證標準 (ASVS) 測試網路應用程式技術安全性的基礎。

CASA 架構
圖 1:CASA 架構

CASA 架構提供了測試規範,用於評估網路應用程式安全性驗證標準 4.0 的 14 種類別

安全性評估級別:

CASA 可識別雲端應用程式的 3 層評估

  • 第 3 級評量需要開發人員填寫自評問卷,並交由 CASA 授權實驗室進行審核。這是開發人員提供資訊的書面審查。
  • 第 2 級評量需要開發人員完成自我評量問卷,然後由 CASA 授權實驗室進行審核。此文件為開發人員提供資訊的書面審查,其中含有設定檢查。
  • 第一級評估包含第 2 級的步驟,以及 CASA Authorized Lab 的完整安全性評估。
CASA 架構
圖 1 :CASA 架構

評估必須符合 OWASP ASVS 4.0 安全性標準的 CASA 基準要求。這些評估是有時間限制,可對外部存取的介面進行限時黑箱稽核,不包含雲端基礎架構或內部伺服器通訊。建議開發人員在開發過程中進行安全性評估。不過,CASA 只需要每年更新安全性評估報告一次。

我們建議開發人員檢閱並實作第 1 級和第 2 級 ASVS 規格中的所有控制項,不過 ADA 只需要一部分的 ASVS 規定。

Authorized Lab 合作夥伴:

如要展開 CASA 評估,請與研究室合作夥伴聯絡並提交安全性評估問卷。