Cette page a été traduite par l'API Cloud Translation.

Comprendre la stratégie de sécurité

securityPosture évalue la sécurité d'un appareil, déterminée par son état actuel. L'état actuel de l'appareil est déterminé par différents facteurs, comme s'il est passé en mode root ou s'il utilise une ROM personnalisée.

securityPosture est décomposé dans la réponse en devicePosture et en une liste supplémentaire de postureDetails qui contient le champ securityRisk.

Le champ securityRisk permet de comprendre pourquoi l'appareil n'est pas considéré comme étant dans l'état le plus sécurisé, tandis que la liste advice peut aider à effectuer des actions pour améliorer son niveau de sécurité. Exemple :

 {
  "devicePosture": "POTENTIALLY_COMPROMISED",
  "postureDetails": [
    {
      "securityRisk": "UNKNOWN_OS",
      "advice": [
        {
          "defaultMessage": "The user should lock their device's bootloader."
        }
      ]
    },
    {
      "securityRisk": "HARDWARE_BACKED_EVALUATION_FAILED"
    }
  ]
}

Évaluer la stratégie de sécurité

Par défaut, securityPosture est évalué à l'aide d'une attestation de clé, en particulier l'attestation de clé intégrée au matériel (HBKA) le cas échéant, fournissant ainsi une évaluation de sécurité fiable lorsqu'elle génère et signe l'attestation sur du matériel sécurisé.

Il peut arriver que le HBKA ne puisse pas être utilisé pour cette évaluation. Pour refléter cela, securityRisk renvoie "HARDWARE_BACKED_EVALUATION_FAILED". Cela signifie que securityPosture peut être évalué, mais pas avec un HBKA, ce qui signifie que l'état d'intégrité du démarrage de l'appareil pourrait être compromis (par exemple, l'appareil peut être en mode root) et passer inaperçu lors de la détection logicielle.

Comprendre les évaluations de la stratégie de sécurité

Différentes combinaisons de devicePosture et securityRisk peuvent être interprétées pour comprendre la sécurité globale de l'appareil. Veuillez noter que la liste ci-dessous n'est pas exhaustive:

Si devicePosture renvoie "SECURE" et que securityRisk renvoie "HARDWARE_BACKED_EVALUATION_FAILED", l'intégrité de l'appareil est sécurisée, mais cela n'a pas pu être confirmé par HBKA.
Si devicePosture renvoie "POTENTIALLY_COMPROMISED" et qu'aucun résultat securityRisk n'est renvoyé, HBKA est utilisé lors de l'évaluation et considère l'appareil comme compromis.
Si devicePosture renvoie "POTENTIALLY_COMPROMISED" et que securityRisk renvoie "HARDWARE_BACKED_EVALUATION_FAILED", seules les vérifications logicielles peuvent être effectuées, mais les signaux de menace d'intégrité sont assez forts pour considérer l'appareil comme compromis.
Si devicePosture renvoie "POSTURE_UNSPECIFIED", l'évaluation de la sécurité n'a pas pu être terminée. Nous vous recommandons d'attendre la réémission du HBKA, qui se produit lorsqu'une nouvelle évaluation est renvoyée, pour voir s'il peut renvoyer une valeur spécifique. Toutefois, il est probable que "POSTURE_UNSPECIFIED" s'affiche lors de l'installation initiale pendant une courte période.