Informazioni sulla strategia di sicurezza

securityPosture è la valutazione della sicurezza di un dispositivo, determinata dallo stato attuale del dispositivo. Lo stato attuale del dispositivo è determinato da fattori quali se il dispositivo è stato sottoposto a rooting, se è in esecuzione una ROM personalizzata e altro ancora.

securityPosture è suddiviso nella risposta in devicePosture e in un elenco aggiuntivo di postureDetails contenente il campo securityRisk.

Il campo securityRisk fornisce un'idea del motivo per cui il dispositivo non è considerato nello stato più sicuro, mentre l'elenco advice può aiutare a eseguire azioni per migliorare la posizione di sicurezza del dispositivo. Ad esempio:

 {
  "devicePosture": "POTENTIALLY_COMPROMISED",
  "postureDetails": [
    {
      "securityRisk": "UNKNOWN_OS",
      "advice": [
        {
          "defaultMessage": "The user should lock their device's bootloader."
        }
      ]
    },
    {
      "securityRisk": "HARDWARE_BACKED_EVALUATION_FAILED"
    }
  ]
}

Valutazione della security posture

Per impostazione predefinita, securityPosture viene valutato utilizzando l'attestazione delle chiavi, in particolare l'attestazione delle chiavi con integrazione hardware (HBKA), se applicabile, fornendo un verdetto di sicurezza attendibile poiché genera e firma l'attestazione in hardware sicuro.

A volte, l'HBKA potrebbe non essere utilizzabile per questa valutazione. Di conseguenza, securityRisk restituirà "HARDWARE_BACKED_EVALUATION_FAILED". Ciò significa che securityPosture può essere valutato, ma non con HBKA, il che significa che lo stato di integrità del boot del dispositivo potrebbe essere compromesso (ad esempio il dispositivo potrebbe essere sottoposto a root) e non essere rilevato dal rilevamento basato su software.

Informazioni sui giudizi della postura di sicurezza

È possibile interpretare diverse combinazioni di devicePosture e securityRisk per comprendere la sicurezza complessiva del dispositivo. Tieni presente che l'elenco riportato di seguito non è esaustivo:

  • Se devicePosture restituisce "SECURE" e securityRisk restituisce "HARDWARE_BACKED_EVALUATION_FAILED", l'integrità del dispositivo è sicura, ma non è stato possibile confermarlo tramite HBKA.
  • Se devicePosture restituisce "POTENTIALLY_COMPROMISED" e non viene restituito alcun risultato securityRisk, nella valutazione viene utilizzato HBKA e il dispositivo viene considerato compromesso.
  • Se devicePosture restituisce "POTENTIALLY_COMPROMISED" e securityRisk restituisce "HARDWARE_BACKED_EVALUATION_FAILED", è possibile eseguire solo controlli basati su software, ma gli indicatori di minacce all'integrità sono sufficientemente forti da considerare il dispositivo compromesso.
  • Se devicePosture restituisce "POSTURE_UNSPECIFIED", significa che non è stato possibile completare la valutazione della sicurezza. Ti consigliamo di attendere la nuova emissione dell'HBKA, che avviene quando viene restituito un nuovo verdetto, per verificare se può restituire un valore specifico. Tuttavia, è normale che "POSTURE_UNSPECIFIED" si verifichi durante l'installazione iniziale per un breve periodo di tempo.

Mappature dell'API Android Management all'API Play Integrity

La tabella seguente fornisce l'equivalenza di mappatura tra l'esito dell'API AM e la risposta dell'esito dell'API Play Integrity.

API AM DevicePosture API AM Posture.Detail.SecurityRisk Equivale al verdetto dell'API Play Integrity
SECURE SECURITY_RISK_UNSPECIFIED MEETS_STRONG_INTEGRITY
SECURE contiene: HARDWARE_BACKED_EVALUATION_FAILED MEETS_DEVICE_INTEGRITY
AT_RISK contiene: HARDWARE_BACKED_EVALUATION_FAILED MEETS_DEVICE_INTEGRITY
POTENTIALLY_COMPROMISED contiene: UNKNOWN_OS MEETS_BASIC_INTEGRITY
POTENTIALLY_COMPROMISED contiene: COMPROMISED_OS <unset>
POSTURE_UNSPECIFIED <any> <unset>