호주 정부가 PSPF를 준수할 수 있는 Microsoft 365 암호화 기능
이 문서에서는 오스트레일리아 정부 조직과 관련된 Microsoft 365 암호화 기능에 대한 개요를 제공합니다. 그 목적은 정부 조직이 PSPF(보호 보안 정책 프레임워크) 및 ISM(정보 보안 매뉴얼)에 설명된 요구 사항을 준수하면서 데이터 보안 완성도를 높일 수 있도록 돕는 것입니다.
암호화는 파일 보호 및 정보 보호 전략의 중요한 부분이며 PSPF(보호 보안 정책 프레임워크) 정책 8 부록 A의 요구 사항입니다.
Microsoft 365 서비스는 미사용 및 전송 중인 데이터에 대한 암호화를 제공합니다. 자세한 내용은 암호화 및 Microsoft 365의 작동 방식을 참조하세요.
BitLocker 및 TLS 암호화와 같은 Microsoft 365 플랫폼에 내재된 암호화 기능은 호주 정부 암호화 요구 사항과 관련된 것으로 간주되어야 합니다. 이러한 타고난 기능 외에도 권한 있는 사용자만 액세스할 수 있도록 항목에 적용할 수 있는 다른 선택적 암호화 기능이 있습니다. PSPF 맞춤과 관련된 내용은 다음과 같습니다.
암호화는 organization 내에서 적용하기 쉽습니다. 외부 조직과 암호화된 을 공유하려면 호주 정부 및 PSPF 요구 사항의 컨텍스트 내에서 조정을 보장하기 위해 이 가이드에서 다루는 추가 고려 사항이 필요합니다.
오스트레일리아 정부 암호화 요구 사항
PSPF 정책 8 부속서 A에 자세히 설명된 암호화, 전송 및 액세스 요구 사항
일반적으로 암호화는 전송 요구 사항과 관련이 있지만 다양한 유형의 암호화는 Azure Rights Management와 같이 액세스 및 알아야 할 사항과도 관련이 있습니다. Azure Rights Management는 액세스 시 항목에 액세스할 수 있는 권한을 확인합니다. Azure Rights Management는 부적절하게 유출되거나 배포된 정보에 권한이 없는 사람이 액세스하지 않도록 합니다. 다음은 관련 PSPF 요구 사항의 발췌입니다.
| 분류 | 요구 사항 |
|---|---|
| 공식1 | 공용 네트워크 인프라를 통해 전달되는 모든 정보를 암호화하는 것이 좋습니다. 공식 정보에는 알아야 할 원칙이 권장됩니다. 공식 정보에 액세스하기 위한 보안 허가 요구 사항은 없습니다. |
| 공식: 중요 | 공식 암호화: 공용 네트워크 인프라를 통해 전송되거나 보안되지 않은 공간(영역 1 보안 영역 포함)을 통해 전송되는 중요한 정보는 엔터티에서 인식 및 수락하지 않는 한 유지 보안 위험이 없습니다. 알아야 할 원칙은 모든 공식: 중요한 정보에 적용됩니다. 공식: 중요한 정보에 액세스하기 위한 보안 허가 요구 사항은 없습니다. |
| 보호 | PROTECTED 네트워크(또는 상위 분류 네트워크)를 통해서가 아닌 모든 통신에 대해 PROTECTED 정보를 암호화합니다. 알아야 할 사항 원칙은 모든 PROTECTED 정보에 적용됩니다. PROTECTED 정보에 지속적으로 액세스하려면 기준 보안 허가 이상이 필요합니다. |
팁
1선택적 Microsoft 365 암호화 기능(예: Azure Rights Management)은 organization 항목을 받는 내부 사용자와 외부 사용자 모두에 영향을 줍니다. Azure Rights Managementment와 같은 고급 도구를 사용하려는 경우 처음에는 높은 민감도 항목에 선택적 암호화 기능을 적용하여 단계적 접근 방식을 사용하는 것이 좋습니다. 조직은 공식 정보를 암호화하는 PSPF 권장 접근 방식을 따르는 방법을 결정할 때 내부 및 외부 사용자 사용 사례를 고려해야 합니다. 이 결정은 신중하게 위험을 평가해야 합니다. 상대적으로 낮은 민감도 항목에 대한 콘텐츠 가로채기 위험과 받는 사람이 보내지 않거나 액세스할 수 없는 항목의 조직 영향과 균형을 유지합니다.
다음 표에서는 요구 사항 및 요구 사항을 달성하는 방법을 설명합니다.
| 요구 사항 범주 | 달성 방법 |
|---|---|
| 전송 중 암호화 |
-
TLS 암호화 는 전송 중에 파일과 이메일을 암호화하고 클라이언트 디바이스와 Microsoft 365 서비스 간의 상호 작용을 통해 전송 요구 사항을 충족합니다. - 민감도 레이블 암호화 는 파일과 전자 메일 모두에 적용됩니다. 항목이 암호화되면 전송 중에 암호화되어 PSPF 암호화 요구 사항을 계속 충족합니다. - Microsoft Purview 메시지 암호화 전송 중에 전자 메일 및 첨부 파일에 암호화를 적용하는 규칙을 만듭니다. |
| 알아야 할 사항 확인 |
-
민감도 레이블 암호화 는 항목에 대한 권한이 부여된 인증된 사용자만 열 수 있도록 허용하여 알아야 할 사항을 보장합니다. - Microsoft Purview 메시지 암호화 지정된 받는 사람만 암호화된 전자 메일 및 해당 첨부 파일을 열 수 있도록 합니다. |
| 보안 허가 확인 | - 민감도 레이블 암호화 는 암호화된 항목을 열 수 있는 권한이 있는 사용자만 허용하여 사용자에게 적절한 허가를 받도록 합니다. |
오스트레일리아 정부 암호화 고려 사항
오스트레일리아 정부 내에서 협업 및 정보 배포 요구 사항은 organization 유형에 따라 달라집니다. 일부 조직은 주로 격리된 상태로 작동하여 암호화 구성을 간단하게 만듭니다. 다른 조직에는 중요한 정보를 다른 조직과 지속적으로 공유해야 하는 요구 사항이 있으며 그에 따라 계획해야 합니다.
암호화된 전송 요구 사항은 PROTECTED 네트워크를 통해 충족됩니다. 전자 메일의 경우 중요한 전자 메일 전송을 위해 TLS 암호화 요구 에서 설명한 대로 레이블 기반 TLS 구성을 사용하는 것이 좋습니다. 또는 Exchange Online 파트너 organization 사용하여 보안 메일 흐름을 위한 커넥터 설정에서 설명한 대로 보안 파트너 커넥터를 구성할 수 있습니다.
전송 중에 적용되는 암호화 컨트롤은 USB 사용과 같은 개별 항목을 보호하지 않습니다. 정부 조직은 디바이스에 따라 달라질 수 있는 이러한 위험을 완화하기 위해 다른 제어를 구현합니다. 예를 들어 UEFI에서 USB 포트를 사용하지 않도록 설정하는 것은 Microsoft Surface 노트북에서 간단합니다. 사용되는 타사 디바이스에 대한 다른 옵션으로는 USB 포트 및 암호화된 USB 드라이브 사용을 적용하는 디바이스 관리 소프트웨어가 있습니다. 레이블 기반 암호화는 이러한 컨트롤 중 일부에 대한 대안을 제공하며, 또한 항목이 반출된 경우 무단 액세스로부터 항목을 보호합니다.
옵션을 탐색하는 데 도움이 되도록 이 가이드에서는 다음 organization 범주에 따라 암호화 옵션에 대해 설명합니다.
간단한 정보 공동 작업 및 배포 요구 사항이 있는 조직
중요한 정보 공유에 대한 간단한 요구 사항이 있는 조직은 레이블 기반 암호화와 가장 기본적인 전송 및 액세스 요구 사항을 충족해야 하는 조직을 통해 큰 이점을 얻을 수 있습니다. 이러한 조직은 다음과 같습니다.
- 암호화 권한이 공동 작업하거나 암호화된 정보를 전송하는 게스트 또는 조직에 적합한지 확인해야 합니다.
- 암호화 권한에 추가된 사용자만 암호화된 항목에 액세스할 수 있으므로 알아야 할 원칙이 준수되도록 할 수 있습니다.
팁
주 정부 조직은 정보 공유 시나리오가 연방 정부보다 더 간단하기 때문에 이 범주에 속할 가능성이 더 큽니다.
복잡한 정보 공동 작업 및 배포 요구 사항이 있는 조직
복잡한 요구 사항이 있는 조직에는 일반적으로 많은 양의 정보를 다른 조직과 공유하는 대규모 부서가 포함됩니다. 이러한 유형의 조직은 부서 간 통신을 위해 보호된 네트워크에 대한 액세스를 포함하여 암호화 요구 사항을 충족하기 위한 프로세스를 이미 수립했을 가능성이 높습니다. 이러한 조직은 다음과 같습니다.
- 클라우드 기반 Microsoft 365 레이블 암호화의 이점을 누릴 수 있습니다. 특히 항목이 암호화로 반출되는 경우 권한이 있는 사용자만 상주 위치에 관계없이 항목에 액세스할 수 있습니다.
- 다른 부서의 사용자가 전송된 항목에 액세스할 수 있도록 암호화 권한에 정부 도메인 목록을 사용하는 등 보다 개방적인 암호화 구성을 고려해야 합니다.
- Microsoft 365 암호화가 현재 커넥터를 사용하여 생성된 Exchange Online 온-프레미스 서비스로 다시 라우팅하는 커넥터를 포함하여 기존 컨트롤을 방해하지 않는지 테스트해야 보호된 네트워크를 통해 전송할 수 있습니다.
참고
Azure Rights Management 암호화는 Microsoft Purview 배포 또는 Microsoft 365 서비스의 정보 보호를 위한 어려운 요구 사항이 아닙니다. 그러나 레이블 기반 암호화는 Microsoft 365 환경에서 시작되거나 Microsoft 365 환경에 있는 데이터가 무단 액세스로부터 보호되도록 하는 가장 효과적인 방법 중 하나로 간주됩니다.