ทําความเข้าใจระดับความปลอดภัย

securityPosture คือการประเมินความปลอดภัยของอุปกรณ์ โดยพิจารณาจากสถานะปัจจุบันของอุปกรณ์ สถานะปัจจุบันของอุปกรณ์จะกำหนดโดยปัจจัยต่างๆ เช่น มีการรูทอุปกรณ์หรือไม่ อุปกรณ์ใช้ ROM ที่กำหนดเองหรือไม่ เป็นต้น

securityPosture จะแจกแจงตามคำตอบเป็น devicePosture และรายการเพิ่มเติมของ postureDetails ที่มีช่อง securityRisk

ช่อง securityRisk จะแสดงสาเหตุที่ทำให้อุปกรณ์ไม่อยู่ในสถานะที่ปลอดภัยที่สุด ส่วนรายการ advice จะช่วยดำเนินการเพื่อปรับปรุงระดับความปลอดภัยของอุปกรณ์ เช่น

 {
  "devicePosture": "POTENTIALLY_COMPROMISED",
  "postureDetails": [
    {
      "securityRisk": "UNKNOWN_OS",
      "advice": [
        {
          "defaultMessage": "The user should lock their device's bootloader."
        }
      ]
    },
    {
      "securityRisk": "HARDWARE_BACKED_EVALUATION_FAILED"
    }
  ]
}

การประเมินระดับความปลอดภัย

โดยค่าเริ่มต้น securityPosture จะได้รับการประเมินโดยใช้เอกสารรับรองคีย์ โดยเฉพาะเอกสารรับรองคีย์ที่ได้รับการสนับสนุนผ่านฮาร์ดแวร์ (HBKA) หากมี ซึ่งจะให้ผลการตัดสินด้านความปลอดภัยที่เชื่อถือได้ในขณะที่สร้างและลงนามในเอกสารรับรองในฮาร์ดแวร์ที่ปลอดภัย

บางครั้งอาจมีกรณีที่ไม่สามารถใช้ HBKA ในการประเมินผลนี้ได้ securityRisk จะส่งกลับ "HARDWARE_BACKED_EVALUATION_FAILED" เพื่อให้สอดคล้องกับการเปลี่ยนแปลงนี้ ซึ่งหมายความว่าระบบประเมิน securityPosture ได้ แต่ประเมินด้วย HBKA ไม่ได้ ซึ่งหมายความว่าสถานะความสมบูรณ์ในการเปิดเครื่องของอุปกรณ์อาจถูกบุกรุก (เช่น อุปกรณ์อาจมีการรูท) และไม่ถูกตรวจพบจากการตรวจจับที่ใช้ซอฟต์แวร์

ทำความเข้าใจคำตัดสินระดับความปลอดภัย

ชุดค่าผสมของ devicePosture และ securityRisk ที่แตกต่างกันจะตีความได้เพื่อให้เข้าใจความปลอดภัยโดยรวมของอุปกรณ์ โปรดทราบว่ารายการด้านล่างเป็นเพียงตัวอย่างบางส่วนเท่านั้น

  • หาก devicePosture แสดงผล "SECURE" และ securityRisk แสดงผล "HARDWARE_BACKED_EVALUATION_FAILED" ความสมบูรณ์ของอุปกรณ์ปลอดภัย แต่ HBKA ยืนยันข้อมูลนี้ไม่ได้
  • หาก devicePosture แสดงผล "POTENTIALLY_COMPROMISED" และไม่แสดงผล securityRisk ระบบจะใช้ HBKA ในการประเมินและพิจารณาว่าอุปกรณ์ถูกบุกรุก
  • หาก devicePosture แสดงผล "POTENTIALLY_COMPROMISED" และ securityRisk แสดงผล "HARDWARE_BACKED_EVALUATION_FAILED" ทำให้ทำได้เพียงตรวจสอบจากซอฟต์แวร์เท่านั้น แต่สัญญาณภัยคุกคามด้านความสมบูรณ์ก็สูงพอที่จะพิจารณาว่าอุปกรณ์ถูกบุกรุก
  • หาก devicePosture แสดงผล "POSTURE_UNSPECIFIED" ก็ไม่สามารถทำให้การประเมินความปลอดภัยเสร็จสมบูรณ์ เราขอแนะนําให้รอการออก HBKA อีกครั้ง ซึ่งจะเกิดขึ้นเมื่อมีการคืนสินค้าอีกครั้ง เพื่อดูว่าจะแสดงค่าที่เฉพาะเจาะจงได้หรือไม่ แต่สำหรับ "POSTURE_UNSPECIFIED" ซึ่งจะเกิดขึ้นในการติดตั้งครั้งแรกเป็นระยะเวลาสั้นๆ