OS and App DLP controlsと併せて、多くの組織はネットワークトラフィックの追加検査を実装して、コンプライアンスポリシーが回避されていないことを確認したいと考えています。
Deep Packet Inspection (DPI)により、IT管理者はユーザーのエンドポイントと接続先のサービス間で送受信されるコンテンツに基づいてトラフィックをフィルタリングするポリシーを実装できます。一般的なポリシーには以下のものが含まれます:
- PII データフロー: 機密情報(クレジットカード番号、社会保障番号など)の検出とブロック
- 機密データ流出: 許可されていないクラウドサービスまたはデスティネーションへの機密コンテンツの送信の検出とブロック
Deep Packet InspectionおよびRemote Browser Isolationは、トラフィック、デバイス、またはユーザーに対して選択的に使用して、追加のポリシーコントロールを強化できます。
Info: パートナーサブスクリプション必須
Jamfはセキュアなデータ転送に必要なTLS復号化を提供していません。
Jamfはお客様がクラウドネイティブな高性能な方法でDPIを達成するのをサポートするために、Cloudflareとパートナーシップを結び、この機能を共通のお客様に提供しています。
まだCloudflareのお客様ではなく、これらの機能をお試しになりたい場合は、Jamfのアカウントチームにお問い合わせください。
前提条件
- Jamf Connect ZTNAを構成する
- Magic WAN経由でAccess GatewayをCloudflareに設定する
- Cloudflareルート証明書をMDM経由でデバイスにデプロイする
Deep Packet Inspection
DPIは、社会保障番号やクレジットカード番号などの機密データの存在についてHTTPおよびHTTPSトラフィックを検査できます。DPIはHTTPボディ全体をスキャンし、アップロードまたはダウンロードされたMicrosoft Officeドキュメント(Office 2007以降)、PDF、チャットメッセージ、フォーム、およびその他のWebコンテンツが含まれる場合があります。可視性はサイトまたはアプリケーションによって異なります。DPIはメールなどの非HTTPトラフィックをスキャンしません。また、Private Accessを使用するように構成されていないトラフィックや、Cloudflare統合経由で出力されないトラフィックもスキャンしません。
ステップ
- Jamf Security Cloudで、アクセスポリシーを構成してDPI用のドメインをCloudflareの出口トンネルにリダイレクトします
- Cloudflare DPIポリシーに従わせたいドメインまたはホスト名を指定します。
- 別のJamfアクセスポリシーに一致しないすべてのトラフィックをCloudflareに送信したい場合は、
*をホスト名として定義して、残りのトラフィックをすべてCloudflareにルートします
- Cloudflare OneポータルでDLPプロファイルを構成します。
例
API例の便利スクリプト:
curl --request GET
--url https://api.cloudflare.com/client/v4/accounts/(accountid)/dlp/profiles
--header 'Content-Type: application/json'
--header "Authorization: Bearer $CLOUDFLARE_API_TOKEN"
curl --request POST
--url https://api.cloudflare.com/client/v4/accounts/{accountid}/gateway/rules
--header 'Content-Type: application/json'
--header "Authorization: Bearer $CLOUDFLARE_API_TOKEN"
--data '{
"action": "block",
"description": "Test DPI API",
"enabled": true,
"filters": [
"http"
],
"name": "dlptest",
"traffic": "any(dlp.profiles[*] in {"DLPID"})"
}'