除了 OS 和應用程式 DLP 控制,許多組織希望實施額外的網路流量檢查以確保符合政策的規定不被規避。
藉由深度封包檢查 (DPI),IT 管理員能夠實施政策來篩選流量,其基礎為使用者端點裝置與其連線服務之間傳遞的內容。常見的政策包括:
- 個人可識別資訊 (PII) 資料流:偵測和阻止敏感資訊(信用卡號碼、社會安全號碼等)
- 敏感資料外洩:偵測和阻止敏感內容傳輸到未授權的雲端服務或目的地。
深度封包檢查和 遠端瀏覽器隔離 可以選擇性地用於流量、裝置或使用者,以增強額外的政策控制。
資訊:需要合作夥伴訂閱
Jamf 不提供 TLS 解密,這是有效執行深度封包檢查所必需的。
為了幫助客戶以高效能雲端原生方式實現 DPI,Jamf 已與 Cloudflare 合作,將此功能提供給我們的共同客戶。
如果您還不是 Cloudflare 客戶,且想要試用這些功能,請聯絡您的 Jamf 帳戶團隊。
先決條件
- 設定 Jamf Connect ZTNA
- 設定 Access Gateway 連線至 Cloudflare via Magic WAN
- 透過您的 MDM 將 Cloudflare 根憑證 部署至裝置
深度封包檢查
DPI 允許檢查 HTTP 和 HTTPS 流量中是否存在敏感資料,例如社會安全號碼和信用卡號碼。DPI 掃描整個 HTTP 本文,其中可能包含上傳或下載的 Microsoft Office 文件(Office 2007 及更新版本)、PDF、聊天訊息、表單和其他網頁內容。可見性取決於網站或應用程式。DPI 不掃描非 HTTP 流量(例如電子郵件),也不掃描任何未設定為使用 Private Access 並透過您的 Cloudflare 整合出口的流量。
步驟
- 在 Jamf Security Cloud 中,設定 Access 政策以將 DPI 的網域重新導向至您的 Cloudflare 出口通道
- 指定您想要進行 Cloudflare DPI 政策檢查的網域或主機名稱。
- 如果您想要針對所有不符合其他 Jamf Access 政策的流量進行檢查,請定義
*為主機名稱以將所有剩餘流量路由至 Cloudflare
- 在您的 Cloudflare One 入口網站中設定 DLP 設定檔。
範例
API 範例便利指令碼:
curl --request GET \
--url https://api.cloudflare.com/client/v4/accounts/(accountid)/dlp/profiles \
--header 'Content-Type: application/json' \
--header "Authorization: Bearer $CLOUDFLARE_API_TOKEN"
curl --request POST \
--url https://api.cloudflare.com/client/v4/accounts/{accountid}/gateway/rules \
--header 'Content-Type: application/json' \
--header "Authorization: Bearer $CLOUDFLARE_API_TOKEN" \
--data '{
"action": "block",
"description": "Test DPI API",
"enabled": true,
"filters": [
"http"
],
"name": "dlptest",
"traffic": "any(dlp.profiles[*] in {\"DLPID\"})"
}'