除了 OS 和应用 DLP 控制,许多组织希望实施对网络流量的额外检测,以确保合规策略不会被规避。
通过深度数据包检测 (DPI),IT 管理员能够实施策略,根据用户端点与其连接的服务之间传递的内容来筛选流量。常见策略包括:
- 个人身份信息数据流:检测和阻止敏感信息(信用卡号、社会安全号码等)
- 敏感数据外泄:检测和阻止敏感内容传输到未授权的云服务或目的地。
深度数据包检测和 远程浏览器隔离 可以有选择性地用于流量、设备或用户,以增强额外的策略控制。
信息:需要合作伙伴订阅
Jamf 不提供 TLS 解密,这是深度数据包检测有效性所必需的。
为了帮助客户以高性能云原生的方式实现 DPI,Jamf 已与 Cloudflare 建立合作伙伴关系,为我们的共同客户提供此功能。
如果您还不是 Cloudflare 客户,并且想要试用这些功能,请与您的 Jamf 帐户团队联系。
前提条件
- 配置 Jamf Connect ZTNA
- 设置 通过 Magic WAN 访问 Cloudflare 的访问网关
- 通过 MDM 将 Cloudflare 根证书 部署到设备
深度数据包检测
DPI 允许检测 HTTP 和 HTTPS 流量是否存在敏感数据,如社会安全号码和信用卡号码。DPI 扫描整个 HTTP 正文,其中可能包括上传或下载的 Microsoft Office 文档(Office 2007 及更高版本)、PDF、聊天消息、表单和其他网络内容。可见性因站点或应用而异。DPI 不扫描非 HTTP 流量(如电子邮件),也不扫描未配置为使用私有访问并通过您的 Cloudflare 集成出口的任何流量。
步骤
- 在 Jamf Security Cloud 中,配置访问策略以将 DPI 的域重定向到您的 Cloudflare 出口隧道
- 指定您希望受 Cloudflare DPI 策略约束的域或主机名。
- 如果您希望受与其他 Jamf 访问策略不匹配的所有流量约束,请定义
*作为主机名以将所有剩余流量路由到 Cloudflare
- 在您的 Cloudflare One 门户中配置 DLP 配置文件。
示例
API 示例便利脚本:
curl --request GET
--url https://api.cloudflare.com/client/v4/accounts/(accountid)/dlp/profiles
--header 'Content-Type: application/json'
--header "Authorization: Bearer $CLOUDFLARE_API_TOKEN"
curl --request POST
--url https://api.cloudflare.com/client/v4/accounts/{accountid}/gateway/rules
--header 'Content-Type: application/json'
--header "Authorization: Bearer $CLOUDFLARE_API_TOKEN"
--data '{
"action": "block",
"description": "Test DPI API",
"enabled": true,
"filters": [
"http"
],
"name": "dlptest",
"traffic": "any(dlp.profiles[*] in {"DLPID"})"
}'