securityPosture
הוא הערכת האבטחה של מכשיר, שנקבע לפי הסטטוס הנוכחי שלו.
סטטוס המכשיר הנוכחי נקבע על סמך גורמים כמו אם המכשיר עבר תהליך רוט (Root), אם פועל בו ROM בהתאמה אישית ועוד.
הערך securityPosture
מחולק בתגובה ל-devicePosture
ורשימה נוספת של postureDetails
שכוללת את השדה securityRisk
.
השדה securityRisk
מספק מושג למה המכשיר לא נחשב במצב המאובטח ביותר, בעוד שהרשימה של advice
יכולה לעזור בביצוע פעולות לשיפור מצב האבטחה של המכשיר.
לדוגמה:
{ "devicePosture": "POTENTIALLY_COMPROMISED", "postureDetails": [ { "securityRisk": "UNKNOWN_OS", "advice": [ { "defaultMessage": "The user should lock their device's bootloader." } ] }, { "securityRisk": "HARDWARE_BACKED_EVALUATION_FAILED" } ] }
הערכת מצב האבטחה
כברירת מחדל, securityPosture
נבדק באמצעות אימות מפתחות, ובמיוחד אימות מפתחות בגיבוי חומרה (HBKA) אם רלוונטי, כדי לספק קביעת אבטחה אמינה בזמן היצירה והחתימה של האימות בחומרה מאובטחת.
לפעמים לא ניתן להשתמש ב-HBKA לצורך ההערכה הזו. כדי לשקף זאת, securityRisk
יחזיר "HARDWARE_BACKED_EVALUATION_FAILED". המשמעות היא שאפשר להעריך את securityPosture
אבל לא באמצעות HBKA. כלומר, יכול להיות שמצב תקינות ההפעלה של המכשיר ייפרץ (למשל, המכשיר עבר תהליך רוט (Root) וזיהוי מבוסס-תוכנה לא יזוהה.
הסבר על תוצאות של מצב אבטחה
ניתן לפרש שילובים שונים של devicePosture
ו-securityRisk
כדי להבין את רמת האבטחה הכוללת של המכשיר. לידיעתך, הרשימה הבאה חלקית בלבד:
- אם המדיניות
devicePosture
מחזירה את הערך 'SECURE' ו-securityRisk
מחזירה את הערך 'HARDWARE_BACKED_EVALUATION_FAILED', תקינות המכשיר מאובטחת אבל לא ניתן לאשר זאת על ידי HBKA. - אם הפרמטר
devicePosture
מחזיר 'POTENTIALLY_COMPROMISED' ולא מוחזרת תוצאה מסוגsecurityRisk
, אז נעשה שימוש ב-HBKA בהערכה ומחשיב את המכשיר כפגוע. - אם הפונקציה
devicePosture
מחזירה את הערך POTENTIALLY_COMPROMISED ו-securityRisk
מחזירה את הערך HARDWARE_BACKED_EVALUATION_FAILED, אז ניתן לבצע רק בדיקות המבוססות על תוכנה, אבל האותות של איום התקינות חזקים מספיק כדי להחשיב את המכשיר כפגוע. - אם הפונקציה
devicePosture
מחזירה את הערך "POSTURE_UNSPECIFIED", לא ניתן להשלים את הערכת האבטחה. מומלץ להמתין להנפקה מחדש של ה-HBKA, שמתרחש כשמוחזרת קביעה חדשה, כדי לראות אם הוא יכול להחזיר ערך ספציפי. עם זאת, "POSTURE_UNSPECIFIED" צפוי להתרחש בהתקנה הראשונית למשך זמן קצר.