호주 정부가 PSPF를 준수하기 위해 중요한 전자 메일 전송을 위해 TLS 암호화 요구
이 문서에서는 보안 기밀 정보를 보호하기 위해 TLS(전송 계층 보안)를 사용하는 호주 정부 조직에 대한 지침을 제공합니다. 그 목적은 정부 조직이 암호화 요구 사항과 이를 지원하도록 Microsoft 365를 구성할 수 있는 방법을 이해하도록 돕는 것입니다. 이 문서의 조언은 PSPF(보호 보안 정책 프레임워크) 정책 8: 민감하고 분류된 정보 및ISM(정보 보안 매뉴얼)에 설명된 요구 사항에 가장 잘 부합하도록 작성되었습니다.
TLS는 전송 중에 데이터를 가로챌 수 없도록 하는 데 사용할 수 있는 암호화 유형입니다. 기본적으로 Exchange Online 항상 기회 TLS를 사용합니다. 기회적 TLS는 Exchange Online 항상 가장 안전한 버전의 TLS와의 연결을 먼저 암호화한 다음, 두 당사자가 동의할 수 있는 암호화를 찾을 때까지 TLS 암호화 목록 아래로 작동한다는 것을 의미합니다. 중요한 것은 TLS는 메일 서버에 적용되며 사용자 또는 클라이언트 수준이 아닌 서버에서 보낸 모든 전자 메일에 적용됩니다. Microsoft 365의 TLS에 대한 자세한 내용은 Exchange Online TLS를 사용하여 전자 메일 연결을 보호하는 방법을 참조하세요.
Exchange Online TLS의 기본 설정은 ISM(정보 보안 설명서) 요구 사항을 충족합니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| ISM-0572(2024년 6월) | 기회 TLS 암호화는 공용 네트워크 인프라를 통해 들어오거나 나가는 전자 메일 연결을 만드는 전자 메일 서버에서 사용하도록 설정됩니다. |
기회적 TLS 구성은 ASD의 보안 클라우드 청사진에서도 설명합니다.
매우 중요한 정보에 대해 전자 메일 암호화를 선택 사항으로 유지하면 정보 손실 위험이 높아질 수 있습니다. 정부 또는 외부 파트너 조직의 클러스터 내에서 손상되거나 제대로 관리되지 않는 환경으로 인해 일반 텍스트로 공용 인터넷을 통해 중요한 정보가 전송될 수 있습니다. 기회적 TLS는 의도한 수신자가 의도한 대로 정보를 수신할 수 있도록 메시지가 가능한 한 높은 수준으로 암호화되도록 합니다. 정부 조직에는 정부 조직 간에 모든 항목을 전송하기 위해 TLS가 필요한 커넥터를 사용하는 전송 토폴로지가 있습니다.
이러한 구성은 고정된 조직 목록 간의 모든 전자 메일 기반 통신이 암호화되도록 하는 데 도움이 됩니다. 그러나 미리 정의된 조직 목록 외부의 받는 사람에게는 TLS 암호화가 필요하지 않습니다. 예를 들어 중요한 정보를 전송해야 하는 변호사와 같은 계약된 회사를 고려해 보세요. TLS가 필요한 고정된 도메인 목록 밖에 있으면 항목이 안전하지 않게 전송될 수 있습니다.
Exchange Online 아웃바운드 메시지 보고서는 TLS 암호화와 함께 전송되는 전자 메일의 비율에 대한 보고를 제공합니다. 아웃바운드 메시지 보고서에 대한 자세한 내용은 Exchange Online 메시지 보고서를 참조하세요.
암호화되지 않은 전자 메일의 비율이 낮은 조직은 보내는 모든 메일에 대해 강제 TLS 접근 방식을 고려할 수 있습니다. 이 구성은 전자 메일이 고정된 도메인 목록(예: 비공식 전자 메일) 외부로 전송될 때 의도한 대상에 도달하지 못하도록 방지할 수 있습니다. PSPF(보호 보안 정책 프레임워크) 정책 8 부록 A( 암호화 요구 사항에 요약됨)와 일치하려면 'OFFICIAL: Sensitive' 및 'PROTECTED' 전자 메일을 전송하려면 암호화가 필요합니다. 이러한 수준에서는 TLS가 필요합니다.
참고
많은 정부 조직, 특히 서비스 기반 기관의 경우 대부분의 정보는 공식 범주에 속하며 이 전자 메일 볼륨에 TLS를 요구하는 것은 TLS가 없는 개인 및 조직과의 비즈니스에 상당한 영향을 미칠 수 있습니다. 비즈니스 요구 사항에 따라 강화된 위험 기반 접근 방식은 이 수준의 강제 TLS와 기회적 TLS에 권장됩니다.
더 높은 민감도 전자 메일에 TLS 암호화를 요구하려면 Exchange 온라인 메일 흐름 규칙을 사용할 수 있습니다. 이 규칙은 전송되는 항목의 x 헤더를 검사합니다. 항목이 특정 민감도 레이블을 적용한 것으로 식별되는 경우 항목을 전송하기 위해 TLS 암호화가 필요한 작업을 적용합니다.
이러한 메일 흐름 규칙을 구성하려면 메일에 레이블을 적용하는 방법을 이해해야 합니다. 레이블이 적용되면 전자 메일의 x-헤더에서 볼 수 있습니다. 레이블 정보가 포함된 헤더의 이름은 항목 msip_labels 에 적용된 레이블에 해당하는 레이블 ID를 포함합니다.
메일 흐름 규칙은 헤더를 msip_labels 검사 레이블 ID 또는 GUID를 통해 관련 레이블이 적용되는지 확인할 수 있습니다.
환경, 보안 및 규정 준수 PowerShell 에 대한 GUID(Globally Unique Identifiers) 레이블을 가져오기 위해 사용할 수 있습니다. 환경의 레이블 및 관련 GUID를 보는 데 필요한 명령은 다음과 같습니다.
Get-label | select displayname,guid
PowerShell 명령은 레이블 GUID와 함께 민감도 레이블 목록을 반환합니다.
참고
레이블 GUID는 단일 Microsoft 365 테넌트 전용입니다. 레이블 이름이 같은 두 테넌트는 동일한 GUID를 공유하지 않습니다.
가져온 레이블 이름 및 GUID는 Exchange 메일 흐름 규칙 구성에 사용할 수 있도록 기록해야 합니다.
관리자는 Exchange Online 관리 센터를 사용하여 헤더를 찾는 msip_labels 규칙을 만들어야 합니다. 단일 메일 흐름 규칙을 사용하여 여러 레이블 GUID에 대한 검사 수 있습니다. 규칙을 만들 때 레이블 GUID 다음에 포함 Enabled=True 해야 합니다. 다음 예제에서는 환경 내에서 PROTECTED 레이블의 6가지 변형(정보 관리 표식 및 주의 사항 포함)을 확인합니다.
TLS를 요구하기 위한 메일 흐름 규칙 예제
이 메일 흐름 규칙은 보안 분류 또는 중요한 전자 메일이 TLS 암호화 없이 인터넷을 통해 전송되지 않도록 하기 위한 것입니다.
| 규칙 이름 | 다음의 경우 이 규칙을 적용합니다. | 다음을 수행합니다. |
|---|---|---|
| PROTECTED 전자 메일에 TLS 필요 | 받는 사람이 내부/외부인 경우 이 규칙을 적용합니다. - organization 외부 AND 메시지 헤더... 다음 단어 중 일부를 포함합니다. 머리글: msip_labels 가사: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
- 메시지 보안 수정 - TLS 암호화 필요 |
참고
또한 이러한 규칙을 구현하기 전에 TLS를 지원하지 않는 수신 organization 인해 지연되거나 차단된 규칙 영향 및 작업 항목을 모니터링하기 위한 전략을 고려합니다.