Capacidades de encriptação do Microsoft 365 para conformidade do Governo Australiano com o PSPF
Este artigo fornece uma descrição geral das capacidades de encriptação do Microsoft 365 relevantes para as organizações do Governo Australiano. O seu objetivo é ajudar as organizações governamentais a aumentar a sua maturidade de segurança de dados ao mesmo tempo que cumprem os requisitos descritos no Framework de Políticas de Segurança De Proteção (PSPF) e no Manual de Segurança da Informação (ISM).
A encriptação é uma parte importante da sua estratégia de proteção de ficheiros e proteção de informações e é um requisito do Anexo A da Política 8 do Protective Security Policy Framework (PSPF ).
Os serviços do Microsoft 365 fornecem encriptação para dados inativos e em trânsito. Para obter mais informações, consulte encriptação e como funciona no Microsoft 365.
As capacidades de encriptação inerentes à plataforma do Microsoft 365, como a encriptação BitLocker e TLS , devem ser consideradas relevantes para os requisitos de encriptação do Governo australiano. Além destas capacidades inativas, existem outras funcionalidades de encriptação opcionais que podem ser aplicadas aos itens para garantir que apenas os utilizadores autorizados podem obter acesso às mesmas. Relevantes para o alinhamento PSPF são:
- Transport Layer Security (TLS)
- Azure Rights Management
- Criptografia de Mensagem do Microsoft Purview
A encriptação é simples de aplicar dentro de uma organização. A partilha de encriptação com organizações externas requer consideração adicional, que este guia abrange, para garantir o alinhamento no contexto dos requisitos do Governo australiano e do PSPF.
Requisitos de encriptação do governo australiano
Requisitos de encriptação, transmissão e acesso detalhados no Anexo A da Política PSPF 8.
A encriptação em geral é relevante para os requisitos de transmissão, mas diferentes tipos de encriptação também são relevantes para o acesso e a necessidade de saber, por exemplo, o Azure Rights Management. O Azure Rights Management confirma a permissão para aceder a itens no momento do acesso. O Azure Rights Management garante que as informações exfiltradas ou distribuídas de forma inadequada não são acedidas por pessoas não autorizadas. Segue-se um excerto de requisitos PSPF relevantes.
| Classificação | Requisitos |
|---|---|
| OFICIAL1 | Recomenda-se que todas as informações comunicadas através da infraestrutura de rede pública estejam encriptadas. O princípio de necessidade de saber é recomendado para informações OFICIAIS. Não existem requisitos de autorização de segurança para acesso a informações OFICIAIS. |
| OFICIAL: Sensível | Encriptar OFICIAL: informações confidenciais transferidas através da infraestrutura de rede pública ou através de espaços não seguros (incluindo áreas de segurança da Zona 1), a menos que o risco residual de segurança de não o fazer tenha sido reconhecido e aceite pela entidade. O princípio de necessidade de saber aplica-se a todas as informações OFICIAIS: Confidenciais. Não existem requisitos de autorização de segurança para acesso a OFFICIAL: Informações confidenciais. |
| PROTEGIDO | Encriptar informações PROTEGIDAs para qualquer comunicação que não esteja numa rede PROTEGIDA (ou rede de classificação superior). O princípio de necessidade de saber aplica-se a todas as informações PROTEGIDAs. O acesso contínuo a informações PROTEGIDAs requer uma autorização de segurança de Linha de Base ou superior. |
Dica
1As capacidades de encriptação opcionais do Microsoft 365, como o Azure Rights Management, afetam os utilizadores internos e os utilizadores externos que recebem itens da sua organização. Ao planear utilizar ferramentas avançadas, como o Azure Rights Managment, recomenda-se uma abordagem faseada, com capacidades de encriptação opcionais aplicadas inicialmente a itens de maior confidencialidade. As organizações devem considerar casos de utilização de utilizadores internos e externos ao decidir como seguir a abordagem recomendada do PSPF para encriptar informações OFICIAIS. Esta decisão deve ser cuidadosamente avaliada pelo risco; equilibrar o risco de intercepção de conteúdo para itens de confidencialidade relativamente baixos face ao impacto organizacional de itens não enviados ou inacessíveis por um destinatário.
A tabela seguinte descreve o requisito e o método para alcançar o requisito.
| Categoria de requisitos | Método de obtenção |
|---|---|
| Encriptação durante a transmissão |
- A Encriptação TLS cumpre os requisitos de transmissão ao encriptar ficheiros e e-mails durante a transmissão, bem como interações entre o dispositivo cliente e os serviços do Microsoft 365. - A encriptação de etiquetas de confidencialidade aplica-se a ficheiros e e-mails. Quando os itens são encriptados, são encriptados durante a transmissão, continuando a cumprir os requisitos de encriptação PSPF. - Criptografia de Mensagens do Microsoft Purview cria as regras para aplicar a encriptação ao e-mail e aos anexos durante a transmissão. |
| Garantir a necessidade de saber |
-
A encriptação da etiqueta de confidencialidade garante a necessidade de saber ao permitir que apenas os utilizadores autenticados a quem sejam concedidas permissões aos itens possam abri-los. - Criptografia de Mensagens do Microsoft Purview garante que apenas os destinatários especificados têm a capacidade de abrir e-mails encriptados e os respetivos anexos. |
| Garantir autorização de segurança | - A encriptação de etiquetas de confidencialidade garante que os utilizadores têm permissões adequadas ao permitir que apenas os utilizadores com permissões abram itens encriptados. |
Considerações sobre encriptação do Governo Australiano
No Governo australiano, os requisitos de colaboração e distribuição de informações variam consoante o tipo de organização. Algumas organizações trabalham em grande parte isoladamente, o que torna a configuração de encriptação simples. Outros têm requisitos para partilhar continuamente informações confidenciais com outras organizações e precisam de planear em conformidade.
Os requisitos de transmissão encriptados são cumpridos através de redes PROTEGIDAs. Para o e-mail, a utilização da configuração TLS baseada em etiquetas, conforme abordado em Exigir encriptação TLS para transmissão de e-mail confidencial , é vantajosa. Em alternativa, os conectores de parceiros seguros podem ser configurados, conforme discutido em configurar conectores para fluxo de correio seguro com uma organização parceira no Exchange Online.
Os controlos de encriptação que se aplicam durante a transmissão não protegem itens individuais, como a utilização de uma USB. As organizações governamentais implementam outros controlos para mitigar esses riscos, que podem variar consoante o dispositivo. Por exemplo, desativar as portas USB no UEFI é simples com um portátil Microsoft Surface. Outras opções para dispositivos não Microsoft utilizados são colar portas USB e software de gestão de dispositivos que impõe a utilização de unidades USB encriptadas. A encriptação baseada em etiquetas oferece uma alternativa a alguns destes controlos e, além disso, protege os itens de acesso não autorizado se forem exfiltrados.
Para ajudar a navegar nas opções, este guia aborda as opções de encriptação em conformidade com as seguintes categorias de organização:
Organizações com requisitos de colaboração e distribuição de informações simples
As organizações com requisitos simples de partilha de informações confidenciais beneficiam bastante da encriptação baseada em etiquetas e das organizações que precisam de cumprir os requisitos mais básicos de transmissão e acesso. Estas organizações:
- Tem de garantir que as respetivas permissões de encriptação atendem aos convidados ou organizações com os quais estão a colaborar ou a enviar informações encriptadas e
- Obtenha a garantia de que apenas as pessoas adicionadas às suas permissões de encriptação podem aceder a itens encriptados, ajudando a garantir que os princípios de necessidade de saber são cumpridos.
Dica
As organizações governamentais estatais são mais propensas a enquadrar-se nesta categoria, uma vez que os seus cenários de partilha de informações são mais simples do que os do governo federal.
Organizações com requisitos complexos de colaboração e distribuição de informações
Normalmente, as organizações com requisitos complexos incluem departamentos maiores que partilham grandes volumes de informações com outras organizações. É provável que estes tipos de organizações já tenham estabelecido processos para cumprir os requisitos de encriptação, incluindo o acesso a redes protegidas para comunicação entre departamentos. Estas organizações:
- Tire partido da encriptação de etiquetas do Microsoft 365 com base na cloud, especialmente em situações em que os itens são exfiltrados como encriptação garante que apenas os utilizadores autorizados podem aceder a itens independentemente do local onde residem.
- Deve considerar uma configuração de encriptação mais aberta, incluindo a utilização de listas de domínios governamentais nas suas permissões de encriptação para garantir que os utilizadores de outros departamentos podem aceder aos itens que lhes são enviados.
- Tem de testar se a encriptação do Microsoft 365 não interfere com os controlos existentes, incluindo qualquer utilização atual de conectores para encaminhar Exchange Online e-mail gerado de volta para os serviços no local para que possa ser enviado através de redes protegidas.
Observação
A encriptação do Azure Rights Management não é um requisito difícil para a implementação do Microsoft Purview ou para a proteção de informações nos serviços do Microsoft 365. No entanto, a encriptação baseada em etiquetas é considerada um dos métodos mais eficazes para garantir que os dados provenientes ou residentes em ambientes do Microsoft 365 estão protegidos contra acesso não autorizado, especialmente depois de sair da organização.