Requerir cifrado TLS para la transmisión de correo electrónico confidencial para el cumplimiento del gobierno australiano con PSPF
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas sobre el uso de Seguridad de la capa de transporte (TLS) para ayudar a proteger la información clasificada de seguridad. Su propósito es ayudar a las organizaciones gubernamentales a comprender sus requisitos de cifrado, así como cómo se puede configurar Microsoft 365 para ayudar con esto. El consejo de este artículo se ha escrito para adaptarse mejor a los requisitos descritos en la directiva 8 del Marco de directivas de seguridad de protección (PSPF): información confidencial y clasificada y el Manual de seguridad de la información (ISM).
TLS es un tipo de cifrado que se puede usar para garantizar que los datos no se puedan interceptar durante la transmisión. De forma predeterminada, Exchange Online siempre usa TLS oportunista. TLS oportunista significa que Exchange Online siempre intenta cifrar las conexiones con la versión más segura de TLS primero y, a continuación, funciona en su camino hacia abajo en la lista de cifrados TLS hasta que encuentra uno en el que ambas partes pueden estar de acuerdo. Lo importante es que TLS se aplica en el servidor de correo y se aplica a todos los correos electrónicos enviados desde el servidor, en lugar de en el nivel de usuario o cliente. Para obtener más información sobre TLS en Microsoft 365, vea cómo Exchange Online usa TLS para proteger las conexiones de correo electrónico.
La configuración predeterminada de TLS en Exchange Online cumple los requisitos del Manual de seguridad de la información (ISM).
| Requisito | Detalles |
|---|---|
| ISM-0572 (junio de 2024) | El cifrado TLS oportunista está habilitado en los servidores de correo electrónico que realizan conexiones de correo electrónico entrantes o salientes a través de la infraestructura de red pública. |
La configuración de TLS oportunista también se describe en plano técnico de ASD para la nube segura.
Mantener el cifrado de correo electrónico opcional para información altamente confidencial aumenta los riesgos de pérdida de información. Un entorno en peligro o mal administrado dentro de un clúster de organizaciones gubernamentales o asociadas externas podría dar lugar a que se envíe información confidencial a través de la red pública de Internet en texto sin formato. TLS oportunista garantiza que los mensajes se cifran al máximo nivel posible, de modo que el receptor previsto pueda recibir la información, según lo previsto. Las organizaciones gubernamentales tienen una topología de transporte que usa conectores que requieren TLS para la transmisión de todos los elementos entre organizaciones gubernamentales.
Estas configuraciones ayudan a garantizar que se cifra toda la comunicación basada en correo electrónico entre una lista fija de organizaciones. Sin embargo, no permite que el cifrado TLS sea necesario para los destinatarios fuera de la lista predefinida de organizaciones. Por ejemplo, considere una empresa contratada, como un abogado, que requiere que se les envíe información confidencial. Estar fuera de la lista fija de dominios que requieren TLS podría dar lugar a que los elementos se envíen de forma insegura.
El Exchange Online informe de mensajes salientes proporciona informes sobre el porcentaje de correos electrónicos que se envían con y sin cifrado TLS. Para obtener más información sobre los informes de mensajes salientes, consulte informes de mensajes en Exchange Online.
Las organizaciones con un porcentaje bajo de correo electrónico sin cifrar podrían considerar un enfoque TLS forzado para todo el correo saliente. Esta configuración puede impedir que el correo electrónico sin sentido llegue a su destino previsto cuando se envía un correo electrónico fuera de la lista fija de dominios (por ejemplo, correos electrónicos NO OFICIALES). Para alinearse con la directiva del Marco de directivas de seguridad de protección (PSPF) 8, se requiere el cifrado A (resumido en los requisitos de cifrado) para la transmisión del correo electrónico "OFFICIAL: Sensitive" y "PROTECTED". TLS es necesario en estos niveles.
Nota:
Para muchas organizaciones gubernamentales, especialmente las agencias basadas en servicios, la mayor parte de su información pertenece a la categoría OFICIAL y requerir TLS para este volumen de correo electrónico puede tener impactos significativos en el negocio con personas y organizaciones que no tienen TLS. Se recomienda un enfoque basado en riesgos, templado a la necesidad empresarial para TLS forzado en este nivel frente a TLS oportunista.
Para requerir el cifrado TLS para un correo electrónico de mayor confidencialidad, se puede usar una regla de flujo de correo en línea de Exchange. Esta regla inspecciona los encabezados x de los elementos que se envían. Cuando los elementos se identifican como que tienen determinadas etiquetas de confidencialidad aplicadas, aplica una acción, que requiere cifrado TLS para la transmisión del elemento.
Para construir estas reglas de flujo de correo, es preciso comprender cómo se aplican las etiquetas al correo electrónico. Cuando se aplica una etiqueta, se puede ver en los encabezados x del correo electrónico. El encabezado que contiene información de etiqueta se denomina msip_labels e incluye un identificador de etiqueta, que corresponde a la etiqueta aplicada a un elemento.
Las reglas de flujo de correo pueden comprobar el msip_labels encabezado para ver si se aplican etiquetas pertinentes a través de su identificador de etiqueta o GUID.
Para obtener la etiqueta Global Unique Identifiers (GUID) para un entorno, se puede usar PowerShell de seguridad y cumplimiento . El comando necesario para ver las etiquetas de un entorno y los GUID asociados es:
Get-label | select displayname,guid
El comando de PowerShell devuelve una lista de etiquetas de confidencialidad junto con sus GUID de etiqueta.
Nota:
Los GUID de etiqueta son específicos de un solo inquilino de Microsoft 365. Dos inquilinos con la misma nomenclatura de etiquetas no compartirán el mismo GUID.
Una vez obtenidos, estos nombres de etiqueta y GUID deben registrarse para que pueda usarlos para la configuración de la regla de flujo de correo de Exchange.
Los administradores deben usar el Centro de Exchange Online Administración para crear reglas que busquen el msip_labels encabezado. Se puede usar una sola regla de flujo de correo para comprobar si hay varios GUID de etiqueta. Asegúrese de incluir Enabled=True después del GUID de etiqueta al crear la regla. En el ejemplo siguiente se comprueban las seis variaciones de las etiquetas PROTEGIDAs (incluidos los marcadores de administración de la información y las advertencias) dentro de un entorno.
Regla de flujo de correo de ejemplo para requerir TLS
Esta regla de flujo de correo está diseñada para evitar que el correo electrónico confidencial o clasificado de seguridad se transmita a través de Internet sin cifrado TLS.
| Nombre de la regla | Aplicar esta regla si | Haga lo siguiente: |
|---|---|---|
| Requerir TLS para correo electrónico PROTEGIDO | Aplique esta regla si el destinatario es interno o externo: - Fuera de la organización AND Encabezados de mensaje... Incluya cualquiera de estas palabras: Encabezado: msip_labels Palabras: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
- Modificación de la seguridad del mensaje - Requerir cifrado TLS |
Nota:
Antes de implementar estas reglas, tenga en cuenta también la estrategia para supervisar el impacto de las reglas y los elementos de acción que se retrasan o bloquean debido a que la organización receptora no admite TLS.