Anfordern der TLS-Verschlüsselung für die Übertragung vertraulicher E-Mails für die Einhaltung von PSPF durch die australische Regierung
Dieser Artikel enthält Anleitungen für organisationen der australischen Regierung zur Verwendung von Transport Layer Security (TLS) zum Schutz von sicherheitsrelevanten Informationen. Ihr Zweck ist es, Regierungsorganisationen zu helfen, ihre Verschlüsselungsanforderungen zu verstehen und wie Microsoft 365 konfiguriert werden kann, um dies zu unterstützen. Die Empfehlungen in diesem Artikel wurden so geschrieben, dass sie am besten mit den Anforderungen übereinstimmen, die in der Richtlinie 8 des Schutzsicherheits-Frameworks (PSPF): Vertrauliche und klassifizierte Informationen und im Handbuch zur Informationssicherheit (ISM) beschrieben sind.
TLS ist eine Art von Verschlüsselung, die verwendet werden kann, um sicherzustellen, dass Daten während der Übertragung nicht abgefangen werden können. Standardmäßig verwendet Exchange Online immer opportunistisches TLS. Opportunistisches TLS bedeutet Exchange Online immer versucht, Verbindungen mit der sichersten Tls-Version zuerst zu verschlüsseln, sich dann in der Liste der TLS-Verschlüsselungen nach unten arbeitet, bis eine gefunden wird, auf die sich beide Parteien einigen können. Wichtig ist, dass TLS auf dem E-Mail-Server angewendet wird und nicht auf Benutzer- oder Clientebene für alle E-Mails gilt, die vom Server gesendet werden. Weitere Informationen zu TLS in Microsoft 365 finden Sie unter Wie Exchange Online TLS zum Sichern von E-Mail-Verbindungen verwendet.
Die Standardeinstellung tls in Exchange Online erfüllt die Ism-Anforderungen (Information Security Manual).
| Anforderung | Detail |
|---|---|
| ISM-0572 (Juni 2024) | Die opportunistische TLS-Verschlüsselung ist auf E-Mail-Servern aktiviert, die eingehende oder ausgehende E-Mail-Verbindungen über eine öffentliche Netzwerkinfrastruktur herstellen. |
Die opportunistische TLS-Konfiguration wird auch in der Blaupause für sichere Cloud von ASD erläutert.
Wenn die E-Mail-Verschlüsselung für hochsensible Informationen optional bleibt, erhöht sich das Risiko des Verlusts von Informationen. Eine kompromittierte oder schlecht verwaltete Umgebung in einem Cluster von Behörden oder externen Partnerorganisationen kann dazu führen, dass vertrauliche Informationen im Klartext über das öffentliche Internet gesendet werden. Opportunistische TLS stellt sicher, dass Nachrichten auf höchstmöglichem Niveau verschlüsselt werden, sodass der beabsichtigte Empfänger die Informationen wie beabsichtigt empfangen kann. Regierungsorganisationen verfügen über eine Transporttopologie, die Connectors verwendet, für die TLS für die Übertragung aller Elemente zwischen Behördenorganisationen erforderlich ist.
Solche Konfigurationen tragen dazu bei, dass die gesamte E-Mail-basierte Kommunikation zwischen einer festen Liste von Organisationen verschlüsselt wird. Es lässt jedoch nicht zu, dass die TLS-Verschlüsselung für Empfänger außerhalb der vordefinierten Liste von Organisationen erforderlich ist. Betrachten Sie beispielsweise ein vertragsvertragliches Unternehmen wie einen Anwalt, der vertrauliche Informationen an sie senden muss. Wenn Sie außerhalb der festen Liste von Domänen sind, die TLS erfordern, kann dies dazu führen, dass Elemente unsicher gesendet werden.
Der Exchange Online Bericht über ausgehende Nachrichten bietet Berichte über den Prozentsatz der E-Mails, die mit und ohne TLS-Verschlüsselung gesendet werden. Weitere Informationen zu den Berichten für ausgehende Nachrichten finden Sie unter Nachrichtenberichte in Exchange Online.
Organisationen mit einem niedrigen Prozentsatz unverschlüsselter E-Mails könnten einen erzwungenen TLS-Ansatz für alle ausgehenden E-Mails in Betracht ziehen. Diese Konfiguration kann verhindern, dass nicht sensible E-Mails ihr beabsichtigtes Ziel erreichen, wenn eine E-Mail außerhalb der festen Liste von Domänen gesendet wird (z. B. INOFFIZIELLE E-Mails). Für die Übertragung von E-Mails "OFFICIAL: Sensitive" und "PROTECTED" ist eine Verschlüsselung erforderlich, um sich an die PsPF-Richtlinie (Protective Security Policy Framework) an Anhang A (zusammengefasst in den Verschlüsselungsanforderungen) anzupassen. TLS ist auf diesen Ebenen erforderlich.
Hinweis
Für viele Regierungsorganisationen, insbesondere dienstbasierte Behörden, fällt der Großteil ihrer Informationen in die Kategorie OFFICIAL, und die Anforderung von TLS für dieses E-Mail-Volumen kann erhebliche Auswirkungen auf das Geschäft mit Einzelpersonen und Organisationen haben, die nicht über TLS verfügen. Ein risikobasierter Ansatz, der auf die geschäftlichen Notwendigkeiten abgestimmt ist, wird für erzwungene TLS auf dieser Ebene im Vergleich zu opportunistischem TLS empfohlen.
Um eine TLS-Verschlüsselung für E-Mails mit höherer Vertraulichkeit zu erfordern, kann eine Exchange-Online-E-Mail-Flussregel verwendet werden. Diese Regel überprüft die x-Header der gesendeten Elemente. Wenn für Elemente bestimmte Vertraulichkeitsbezeichnungen angewendet werden, wendet eine Aktion an, die tls-Verschlüsselung für die Übertragung des Elements erfordert.
Um diese Nachrichtenflussregeln zu erstellen, müssen wir verstehen, wie Bezeichnungen auf E-Mails angewendet werden. Wenn eine Bezeichnung angewendet wird, wird sie in den X-Headern der E-Mail angezeigt. Der Header, der Bezeichnungsinformationen enthält, wird benannt msip_labels und enthält eine Bezeichnungs-ID, die der bezeichnung entspricht, die auf ein Element angewendet wird.
Nachrichtenflussregeln können den msip_labels Header überprüfen, um festzustellen, ob relevante Bezeichnungen über ihre Bezeichnungs-ID oder GUID angewendet werden.
Um die Bezeichnung Globally Unique Identifiers (GUIDs) für eine Umgebung zu erhalten, kann PowerShell für Sicherheit und Compliance verwendet werden. Der erforderliche Befehl zum Anzeigen der Bezeichnungen und zugehörigen GUIDs einer Umgebung lautet:
Get-label | select displayname,guid
Der PowerShell-Befehl gibt eine Liste von Vertraulichkeitsbezeichnungen zusammen mit ihren Bezeichnungs-GUIDs zurück.
Hinweis
Bezeichnungs-GUIDs sind nur für einen einzelnen Microsoft 365-Mandanten spezifisch. Zwei Mandanten mit der gleichen Bezeichnungsbenennung verwenden nicht dieselbe GUID.
Nach dem Erhalt sollten diese Bezeichnungsnamen und GUIDs aufgezeichnet werden, damit Sie sie für die Konfiguration der Exchange-Nachrichtenflussregel verwenden können.
Administratoren müssen das Exchange Online Admin Center verwenden, um Regeln zu erstellen, die nach dem msip_labels Header suchen. Eine einzelne Nachrichtenflussregel kann verwendet werden, um auf mehrere Bezeichnungs-GUIDs zu überprüfen. Stellen Sie sicher, dass Sie beim Erstellen der Regel nach der Bezeichnungs-GUID einschließen Enabled=True . Im folgenden Beispiel werden die sechs Varianten von PROTECTED-Bezeichnungen (einschließlich Informationsverwaltungsmarkern und Einschränkungen) in einer Umgebung überprüft.
Beispiel für eine E-Mail-Flussregel für die Anforderung von TLS
Diese Nachrichtenflussregel soll verhindern, dass sicherheitsrelevante oder vertrauliche E-Mails ohne TLS-Verschlüsselung über das Internet übertragen werden.
| Regelname | Diese Regel anwenden, wenn | Gehen Sie wie folgt vor: |
|---|---|---|
| Anfordern von TLS für PROTECTED-E-Mail | Wenden Sie diese Regel an, wenn der Empfänger intern/extern ist: - Außerhalb des organization AND Die Nachrichtenkopfzeilen... Fügen Sie eines der folgenden Wörter ein: Kopfball: msip_labels Wörter: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
– Ändern der Nachrichtensicherheit – TLS-Verschlüsselung erforderlich |
Hinweis
Bevor Sie solche Regeln implementieren, sollten Sie auch Ihre Strategie zum Überwachen der Auswirkungen von Regeln und zum Ausführen von Aktionen berücksichtigen, die aufgrund der empfangenden organization nicht unterstützen TLS verzögert oder blockiert werden.