OS 및 앱 DLP 제어와 함께 많은 조직은 네트워크 트래픽을 추가로 검사하여 규정 준수 정책이 우회되지 않도록 보장하려고 합니다.
심층 패킷 검사(DPI)를 통해 IT 관리자는 사용자의 엔드포인트와 연결 중인 서비스 사이에 전달되는 콘텐츠를 기반으로 트래픽을 필터링하는 정책을 구현할 수 있습니다. 일반적인 정책은 다음과 같습니다:
- PII 데이터 흐름: 민감한 정보(신용 카드 번호, 사회 보장 번호 등) 감지 및 차단
- 민감한 데이터 유출: 허용되지 않은 클라우드 서비스 또는 대상에 대한 민감한 콘텐츠 전송 감지 및 차단
심층 패킷 검사 및 원격 브라우저 격리는 트래픽, 장치 또는 사용자에 대해 선택적으로 사용되어 추가 정책 제어를 강화할 수 있습니다.
정보: 파트너 구독 필요
Jamf는 심층 패킷 검사가 효과적이기 위해 필요한 TLS 암호 해독을 제공하지 않습니다.
공유 고객에게 이 기능을 제공하도록 돕기 위해 Jamf는 클라우드 기반 고성능 방식으로 DPI를 제공하기 위해 Cloudflare와 파트너 관계를 맺었습니다.
아직 Cloudflare 고객이 아니며 이러한 기능을 시도하려면 Jamf 계정 팀에 문의하세요.
전제 조건
- Jamf Connect ZTNA 구성
- Magic WAN을 통해 Cloudflare에 액세스 게이트웨이 설정
- Cloudflare 루트 인증서를 MDM을 통해 장치에 배포
심층 패킷 검사
DPI는 민감한 데이터(사회 보장 번호 및 신용 카드 번호)의 존재에 대한 HTTP 및 HTTPS 트래픽 검사를 허용합니다. DPI는 업로드되거나 다운로드된 Microsoft Office 문서(Office 2007 이상), PDF, 채팅 메시지, 양식 및 기타 웹 콘텐츠를 포함할 수 있는 전체 HTTP 본문을 스캔합니다. 가시성은 사이트 또는 응용 프로그램에 따라 다릅니다. DPI는 전자 메일과 같은 비 HTTP 트래픽을 스캔하지 않으며 Private Access를 사용하도록 구성되고 Cloudflare 통합을 통해 송신되지 않는 트래픽을 스캔하지 않습니다.
단계
- Jamf Security Cloud에서 액세스 정책을 구성하여 DPI에 대한 도메인을 Cloudflare 송신 터널로 리디렉션합니다.
- DPI 정책을 적용하고 싶은 도메인 또는 호스트 이름을 지정합니다.
- 다른 Jamf 액세스 정책과 일치하지 않는 모든 트래픽을 Cloudflare로 대상화하려면
*을 호스트 이름으로 정의합니다.
- Cloudflare One 포털에서 DLP 프로필을 구성합니다.
예
API 예 편의 스크립트:
curl --request GET \
--url https://api.cloudflare.com/client/v4/accounts/(accountid)/dlp/profiles \
--header 'Content-Type: application/json' \
--header "Authorization: Bearer $CLOUDFLARE_API_TOKEN"
curl --request POST \
--url https://api.cloudflare.com/client/v4/accounts/{accountid}/gateway/rules \
--header 'Content-Type: application/json' \
--header "Authorization: Bearer $CLOUDFLARE_API_TOKEN" \
--data '{
"action": "block",
"description": "Test DPI API",
"enabled": true,
"filters": [
"http"
],
"name": "dlptest",
"traffic": "any(dlp.profiles[*] in {\"DLPID\"})"
}'