Cette page a été traduite par l'API Cloud Translation.

Comprendre la stratégie de sécurité

securityPosture correspond à l'évaluation de la sécurité d'un appareil, déterminée par son état actuel. L'état actuel de l'appareil dépend de différents facteurs, par exemple s'il est en mode root ou s'il dispose d'une ROM personnalisée, etc.

securityPosture est décomposé dans la réponse en devicePosture et en une liste supplémentaire de postureDetails qui contient le champ securityRisk.

Le champ securityRisk explique pourquoi l'appareil n'est pas considéré comme étant dans l'état le plus sécurisé, tandis que la liste advice peut vous aider à effectuer des actions pour améliorer le niveau de sécurité de l'appareil. Exemple :

 {
  "devicePosture": "POTENTIALLY_COMPROMISED",
  "postureDetails": [
    {
      "securityRisk": "UNKNOWN_OS",
      "advice": [
        {
          "defaultMessage": "The user should lock their device's bootloader."
        }
      ]
    },
    {
      "securityRisk": "HARDWARE_BACKED_EVALUATION_FAILED"
    }
  ]
}

Évaluation de la stratégie de sécurité

Par défaut, securityPosture est évalué à l'aide d'une attestation de clé, en particulier de l'attestation de clé intégrée au matériel (HBKA), le cas échéant. Elle fournit une évaluation de sécurité fiable lorsqu'il génère et signe l'attestation dans du matériel sécurisé.

Dans certains cas, l'HBKA ne peut pas être utilisé pour cette évaluation. Pour refléter cela, securityRisk renvoie "HARDWARE_BACKED_EVALUATION_FAILED". Cela signifie que securityPosture peut être évalué, mais pas avec HBKA. Cela signifie que l'état d'intégrité du démarrage de l'appareil peut être compromis (par exemple, en mode root) et ne pas être détecté par la détection logicielle.

Comprendre les verdicts de la stratégie de sécurité

Différentes combinaisons de devicePosture et securityRisk peuvent être interprétées pour évaluer la sécurité globale de l'appareil. Veuillez noter que la liste ci-dessous n'est pas exhaustive:

Si devicePosture renvoie "SÉCURISER" et securityRisk renvoie "HARDWARE_BACKED_EVALUATION_FAILED". l'intégrité de l'appareil est sécurisée, mais cela n'a pas pu être confirmé par HBKA.
Si devicePosture renvoie "POTENTIALLY_COMPROMISED" et qu'aucun résultat securityRisk n'est renvoyé, l'algorithme HBKA est utilisé lors de l'évaluation et considère l'appareil comme compromis.
Si devicePosture renvoie "POTENTIALLY_COMPROMISED" et securityRisk renvoie "HARDWARE_BACKED_EVALUATION_FAILED". alors que seules des vérifications logicielles ont pu être effectuées, mais les signaux de menace d’intégrité sont suffisamment forts pour considérer l’appareil comme compromis.
Si devicePosture renvoie "POSTURE_UNSPECIFIED" cela signifie que l'évaluation de la sécurité n'a pas pu être effectuée. Nous vous recommandons d'attendre la réémission du code HBKA, qui se produit lorsqu'une nouvelle évaluation est renvoyée, pour voir s'il peut renvoyer une valeur spécifique. En revanche, il est attendu pour "POSTURE_UNSPECIFIED". lors de l'installation initiale pendant une courte période.