Microsoft 365-Verschlüsselungsfunktionen für die Einhaltung von PSPF durch die australische Regierung
Dieser Artikel bietet eine Übersicht über die Microsoft 365-Verschlüsselungsfunktionen, die für australische Behörden relevant sind. Sein Zweck ist es, Regierungsorganisationen dabei zu unterstützen, ihre Datensicherheitsreife zu erhöhen und gleichzeitig die Anforderungen zu erfüllen, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Security Manual, ISM) beschrieben sind.
Die Verschlüsselung ist ein wichtiger Bestandteil Ihrer Dateischutz- und Information protection-Strategie und eine Anforderung des PsPF-Richtlinienrahmens (Protection Security Policy Framework) 8 Anhang A.
Microsoft 365-Dienste bieten Verschlüsselung für ruhende und übertragene Daten. Weitere Informationen finden Sie unter Verschlüsselung und Funktionsweise in Microsoft 365.
Verschlüsselungsfunktionen der Microsoft 365-Plattform, z. B. BitLocker - und TLS-Verschlüsselung , sollten für die Verschlüsselungsanforderungen der australischen Regierung als relevant angesehen werden. Zusätzlich zu diesen angeborenen Funktionen gibt es weitere optionale Verschlüsselungsfeatures, die auf Elemente angewendet werden können, um sicherzustellen, dass nur autorisierte Benutzer Zugriff darauf erhalten. Relevant für die PSPF-Ausrichtung sind:
Die Verschlüsselung ist innerhalb eines organization einfach anzuwenden. Die Freigabe von verschlüsselten Daten für externe Organisationen erfordert zusätzliche Überlegungen, die in diesem Leitfaden behandelt werden, um eine Angleichung im Kontext der anforderungen der australischen Regierung und der PSPF sicherzustellen.
Verschlüsselungsanforderungen der australischen Regierung
Verschlüsselungs-, Übertragungs- und Zugriffsanforderungen, die in PSPF-Richtlinie 8 Anhang A beschrieben sind.
Verschlüsselung im Allgemeinen ist für Übertragungsanforderungen relevant, aber verschiedene Arten der Verschlüsselung sind auch für den Zugriff und die erforderlichen Informationen relevant, z. B. Azure Rights Management. Azure Rights Management bestätigt die Berechtigung zum Zugriff auf Elemente zum Zeitpunkt des Zugriffs. Azure Rights Management stellt sicher, dass nicht autorisierte Personen nicht auf informationen zugreifen, die nicht ordnungsgemäß exfiltriert oder verteilt wurden. Im Folgenden finden Sie einen Auszug der relevanten PSPF-Anforderungen.
| Klassifizierung | Anforderungen |
|---|---|
| AMTLICH1 | Es wird empfohlen, dass alle Informationen, die über die öffentliche Netzwerkinfrastruktur übermittelt werden, verschlüsselt werden. Das Need-to-Know-Prinzip wird für OFFIZIELLE Informationen empfohlen. Es gibt keine Sicherheitsabfertigungsanforderungen für den Zugriff auf OFFIZIELLE Informationen. |
| OFFICIAL: Vertraulich | Verschlüsseln von OFFICIAL: Vertrauliche Informationen, die über eine öffentliche Netzwerkinfrastruktur oder über ungesicherte Bereiche (einschließlich Zone 1-Sicherheitsbereichen) übertragen werden, es sei denn, das verbleibende Sicherheitsrisiko, dass dies nicht geschieht, wurde von der Entität erkannt und akzeptiert. Das Need-to-Know-Prinzip gilt für alle OFFIZIELLEN: Vertraulichen Informationen. Es gibt keine Sicherheitsabfertigungsanforderungen für den Zugriff auf OFFICIAL: Vertrauliche Informationen. |
| GESCHÜTZT | Verschlüsseln Sie PROTECTED-Informationen für jede Kommunikation, die nicht über ein PROTECTED-Netzwerk (oder netzwerk mit höherer Klassifizierung) erfolgt. Das Need-to-Know-Prinzip gilt für alle GESCHÜTZTen Informationen. Der fortlaufende Zugriff auf PROTECTED-Informationen erfordert eine Baseline-Sicherheitsfreigabe oder höher. |
Tipp
1Optionale Microsoft 365-Verschlüsselungsfunktionen wie Azure Rights Management wirken sich sowohl auf interne Benutzer als auch auf externe Benutzer aus, die Elemente von Ihrer organization erhalten. Wenn Sie die Verwendung erweiterter Tools wie Azure Rights Management planen, wird ein mehrstufiger Ansatz empfohlen, bei dem zunächst optionale Verschlüsselungsfunktionen auf Elemente mit höherer Vertraulichkeit angewendet werden. Organisationen sollten interne und externe Anwendungsfälle für Benutzer berücksichtigen, wenn sie entscheiden, wie sie den von PSPF empfohlenen Ansatz zur Verschlüsselung von OFFICIAL-Informationen befolgen. Diese Entscheidung sollte sorgfältig mit Risiken bewertet werden; Ausgleich des Risikos des Abfangens von Inhalten für elemente mit relativ geringer Vertraulichkeit und den organisatorischen Auswirkungen von Elementen, die nicht gesendet werden oder für einen Empfänger nicht zugänglich sind.
In der folgenden Tabelle werden die Anforderung und die Methode zum Erreichen der Anforderung beschrieben.
| Anforderungskategorie | Methode des Erreichens |
|---|---|
| Verschlüsselung während der Übertragung |
-
DIE TLS-Verschlüsselung erfüllt die Übertragungsanforderungen, indem Dateien und E-Mails während der Übertragung sowie Interaktionen zwischen Clientgerät und Microsoft 365-Diensten verschlüsselt werden. - Die Verschlüsselung von Vertraulichkeitsbezeichnungen gilt sowohl für Dateien als auch für E-Mails. Wenn Elemente verschlüsselt sind, werden sie während der Übertragung verschlüsselt und erfüllen weiterhin die PSPF-Verschlüsselungsanforderungen. - Microsoft Purview-Nachrichtenverschlüsselung erstellt die Regeln zum Anwenden der Verschlüsselung auf E-Mails und Anlagen während der Übertragung. |
| Sicherstellen, dass Sie wissen müssen |
-
Die Verschlüsselung von Vertraulichkeitsbezeichnungen stellt die Notwendigkeit sicher, dass nur authentifizierte Benutzer, denen Berechtigungen für Elemente erteilt wurden, diese öffnen können. - Microsoft Purview-Nachrichtenverschlüsselung stellt sicher, dass nur bestimmte Empfänger verschlüsselte E-Mails und ihre Anlagen öffnen können. |
| Sicherstellen der Sicherheitsfreigabe | - Die Verschlüsselung von Vertraulichkeitsbezeichnungen stellt sicher, dass Benutzer über geeignete Freigaben verfügen, indem nur Benutzer zugelassen werden, die über Berechtigungen zum Öffnen verschlüsselter Elemente verfügen. |
Überlegungen zur Verschlüsselung der australischen Regierung
Innerhalb der australischen Regierung variieren die Anforderungen an Zusammenarbeit und Informationsverteilung je nach Art der organization. Einige Organisationen arbeiten weitgehend isoliert, was die Verschlüsselungskonfiguration vereinfacht. Andere müssen vertrauliche Informationen ständig für andere Organisationen freigeben und entsprechend planen.
Die Anforderungen an die verschlüsselte Übertragung werden über PROTECTED-Netzwerke erfüllt. Für E-Mails ist die Verwendung der bezeichnungsbasierten TLS-Konfiguration wie unter Anfordern der TLS-Verschlüsselung für die Übertragung vertraulicher E-Mails beschrieben von Vorteil. Alternativ können sichere Partnerconnectors konfiguriert werden, wie unter Einrichten von Connectors für den sicheren E-Mail-Fluss mit einem Partner organization in Exchange Online erläutert.
Verschlüsselungssteuerelemente, die während der Übertragung angewendet werden, schützen nicht einzelne Elemente, z. B. die Verwendung eines USB. Regierungsorganisationen implementieren andere Kontrollen, um solche Risiken zu minimieren, die je nach Gerät variieren können. Beispielsweise ist das Deaktivieren von USB-Anschlüssen in der UEFI mit einem Microsoft Surface-Laptop einfach. Weitere Optionen für nicht von Microsoft verwendete Geräte sind das Kleben von USB-Anschlüssen und Geräteverwaltungssoftware, die die Verwendung verschlüsselter USB-Laufwerke erzwingt. Die bezeichnungsbasierte Verschlüsselung bietet eine Alternative zu einigen dieser Steuerelemente und schützt Darüber hinaus Elemente vor nicht autorisiertem Zugriff, wenn sie jemals exfiltriert werden.
Um die Navigation durch die Optionen zu erleichtern, werden in diesem Leitfaden Verschlüsselungsoptionen im Einklang mit den folgenden organization Kategorien erläutert:
Organisationen mit einfachen Anforderungen an die Zusammenarbeit und Verteilung von Informationen
Organisationen mit einfachen Anforderungen an die Freigabe vertraulicher Informationen profitieren erheblich von der bezeichnungsbasierten Verschlüsselung und Organisationen, die die grundlegendsten Übertragungs- und Zugriffsanforderungen erfüllen müssen. Diese Organisationen:
- Sicherstellen, dass ihre Verschlüsselungsberechtigungen für die Gäste oder Organisationen geeignet sind, mit denen sie zusammenarbeiten oder verschlüsselte Informationen senden, und
- Erhalten Sie die Gewissheit, dass nur diejenigen, die ihren Verschlüsselungsberechtigungen hinzugefügt wurden, auf verschlüsselte Elemente zugreifen können, um sicherzustellen, dass die Prinzipien von "Need-to-Know" eingehalten werden.
Tipp
Staatliche Regierungsorganisationen fallen eher in diese Kategorie, da ihre Szenarien für den Informationsaustausch einfacher sind als die von Bundesregierungen.
Organisationen mit komplexen Anforderungen an die Zusammenarbeit und Verteilung von Informationen
Organisationen mit komplexen Anforderungen umfassen in der Regel größere Abteilungen, die große Mengen an Informationen mit anderen Organisationen teilen. Diese Arten von Organisationen verfügen wahrscheinlich bereits über etablierte Prozesse zur Erfüllung von Verschlüsselungsanforderungen, einschließlich des Zugriffs auf geschützte Netzwerke für die abteilungsübergreifende Kommunikation. Diese Organisationen:
- Profitieren Sie von der cloudbasierten Microsoft 365-Bezeichnungsverschlüsselung, insbesondere in Situationen, in denen Elemente exfiltriert werden, da die Verschlüsselung sicherstellt, dass nur autorisierte Benutzer auf Elemente zugreifen können, unabhängig davon, wo sie sich befinden.
- Erwägen Sie eine offenere Verschlüsselungskonfiguration, einschließlich der Verwendung von Listen von Regierungsdomänen in ihren Verschlüsselungsberechtigungen, um sicherzustellen, dass Benutzer aus anderen Abteilungen auf an sie gesendete Elemente zugreifen können.
- Es muss getestet werden, ob die Microsoft 365-Verschlüsselung vorhandene Kontrollen nicht beeinträchtigt, einschließlich der aktuellen Verwendung von Connectors zum Weiterleiten Exchange Online generierten E-Mails an lokale Dienste, sodass sie dann über geschützte Netzwerke gesendet werden können.
Hinweis
Die Azure Rights Management-Verschlüsselung ist keine zwingende Voraussetzung für die Bereitstellung von Microsoft Purview oder den Schutz von Informationen in Microsoft 365-Diensten. Die bezeichnungsbasierte Verschlüsselung gilt jedoch als eine der effektivsten Methoden, um sicherzustellen, dass Daten, die aus Microsoft 365-Umgebungen stammen oder sich in Microsoft 365-Umgebungen befinden, vor unbefugtem Zugriff geschützt sind, insbesondere wenn sie die Organisation verlassen haben.