Encriptação de etiquetas de confidencialidade para conformidade do Governo Australiano com PSPF
Este artigo fornece orientações para organizações do Governo Australiano sobre a utilização da encriptação de etiquetas de confidencialidade. A sua intenção é ajudar as organizações do Governo australiano a fortalecerem as suas abordagens em relação à segurança dos dados. As recomendações neste guia alinham-se de perto com os requisitos descritos no PSPF (Protection Security Policy Framework) e no Manual de Segurança de Informações (ISM).
O Microsoft Purview fornece a opção de encriptar itens com uma etiqueta de confidencialidade aplicada através do Azure Rights Management. O Azure Rights Management é utilizado para confirmar a autenticação e a autorização. Para que um utilizador aceda a um item encriptado, tem de se autenticar no serviço Microsoft 365 e ser-lhe concedida permissão para aceder ao item. O Azure Rights Management é utilizado para aplicar restrições de utilização a itens. Estas restrições impedem os utilizadores de ações como editar conteúdos, guardar itens, imprimir, copiar conteúdo ou reencaminhá-los para outros utilizadores.
Requisitos de encriptação de etiquetas
As organizações governamentais precisam de utilizar a encriptação de etiquetas de acordo com os requisitos de acesso e transmissão resumidos nos requisitos de encriptação. Estes requisitos afirmam que a encriptação é necessária para a transmissão de OFFICIAL: informações confidenciais ou PROTEGIDAs em redes públicas ou não protegidas.
Dica
As organizações que comunicam frequentemente com organizações e entidades externas na OFFICIAL e em entidades superiores podem ter de correr o risco de avaliar esta postura com base nos seus requisitos comerciais. Para obter mais informações, veja Descrição geral da encriptação.
Ativação da encriptação baseada em etiquetas para OFFICIAL: Itens confidenciais e PROTEGIDOs reforçam a capacidade da organização governamental de cumprir os requisitos de encriptação durante a transmissão e garante que os itens etiquetados são encriptados quando:
- Copiado para o armazenamento USB.
- Carregados para serviços cloud não Microsoft, incluindo serviços de armazenamento na cloud.
- Guardado em dispositivos potencialmente inseguros (por exemplo, dispositivos sem encriptação BitLocker).
- Enviado por e-mail para destinatários externos que podem violar a necessidade de saber, distribuindo ainda mais as informações.
Normalmente, as organizações governamentais australianas implementam estratégias e soluções adicionais para lidar com estes vetores de risco. Por exemplo, a utilização de unidades USB encriptadas, soluções casB (Cloud Access Security Broker) e plataformas de gestão de dispositivos. A encriptação baseada em etiquetas não se destina a substituir estas soluções. No entanto, é utilizado para complementar estas soluções ao fornecer proteção adicional contra utilização indevida acidental e utilizadores maliciosos.
Considerações sobre encriptação de etiquetas
Para obter informações sobre as considerações padrão e potenciais impactos da ativação da encriptação de etiquetas de confidencialidade, veja considerações sobre conteúdo encriptado.
Existem outras considerações mais específicas para as organizações governamentais australianas. Estas incluem alterações aos metadados do documento e requisitos relacionados com a partilha de informações.
Alterações de cocriação encriptadas
O Microsoft 365 suporta a cocriação em documentos encriptados.
A ativação da cocriação encriptada introduz alterações à forma como os metadados de etiquetas de confidencialidade são aplicados ao documento do Office e à utilização de propriedades MSIP_labels documento. Após a ativação da cocriação encriptada, os metadados em itens encriptados são movidos da localização da propriedade do documento tradicional para o xml interno de um documento. Para obter mais informações, veja Alterações de metadados para etiquetas de confidencialidade.
As organizações do Governo Australiano que aplicam regras em gateways de e-mail que marcar para classificação de anexos através das propriedades do documento têm de estar cientes das alterações de metadados para que as configurações estejam alinhadas. Os administradores do Microsoft Exchange devem:
- Leia e compreenda 2.6.3 LabelInfo versus Propriedades personalizadas do documento.
- Avalie as organizações Prevenção de Perda de Dados (DLP), regra de fluxo de correio ou sintaxe de regras de transporte em gateways de e-mail não Microsoft para potenciais problemas.
Um exemplo do motivo pelo qual isto é importante é um fluxo de correio ou regra de transporte que verifica a existência de anexos PROTEGIDOs através do GUID de etiqueta numa propriedade de documento não funciona corretamente quando os metadados do documento são movidos da propriedade do documento para a localização LabelInfo.
Como alternativas à abordagem baseada na propriedade do documento:
-
ClassificationContentMarkingHeaderTexteClassificationContentMarkingFooterTextas propriedades do documento são utilizadas. Estas propriedades são apresentadas após a ativação de cocriação encriptada e são preenchidas com o texto de marcação visual aplicado aos documentos do Office. - Os métodos de fluxo de correio são transitados para uma abordagem baseada em DLP mais recente, na qual as etiquetas de confidencialidade podem ser consultadas nativamente como parte de uma política DLP.
Acesso de utilizador externo a itens encriptados
As organizações governamentais australianas que utilizam encriptação baseada em etiquetas estão a fazê-lo de acordo com o Protective Security Policy Framework (PSPF).
| Requisito | Detalhe |
|---|---|
| PSPF Policy 9 Requirement 1 - Formalized agreements for sharing information and resources (Requisito 1 da Política PSPF 9 – Contratos formalizados para partilha de informações e recursos) | Ao divulgar informações ou recursos classificados de segurança a uma pessoa ou organização fora da administração pública, as entidades têm de ter em vigor um contrato ou disposição, como um contrato ou uma ação, que regule a forma como as informações são utilizadas e protegidas. |
Para garantir que apenas os utilizadores de organizações externas autorizadas podem aceder a itens encriptados, podem ser utilizadas as seguintes abordagens:
- Listas de domínios externos aprovados são adicionados às permissões do Azure Rights Management, semelhantes às abordagens DLP descritas para impedir a distribuição de e-mail de informações classificadas a organizações não autorizadas.
- Grupos que contêm contas de convidado são utilizadas para conceder permissões apenas a um conjunto autorizado de utilizadores de domínios externos aprovados. Esta abordagem é semelhante a permitir a distribuição de e-mail de informações classificadas a convidados autorizados.
Dica
Alinhar a abordagem da sua organização para DLP com a de encriptação de etiquetas para informações classificadas simplifica a administração. O resultado é uma abordagem robusta e consistente ao processamento de informações classificadas em que apenas os utilizadores autorizados podem receber informações classificadas e ter acesso às mesmas.
Ativar a encriptação de etiquetas
Para obter informações sobre os pré-requisitos e os passos necessários para ativar a encriptação de etiquetas de confidencialidade, veja Restringir o acesso ao conteúdo através de etiquetas de confidencialidade para aplicar encriptação.
As seguintes configurações de encriptação de etiquetas têm especial relevância para os requisitos do governo australiano e são abordadas em detalhe.
Atribuir permissões agora
Atribuir Permissões Agora fornece um controlo consistente do acesso a itens etiquetados em todo um ambiente. Através desta configuração, quando uma etiqueta com definições de encriptação é aplicada a um item, a encriptação do conteúdo é acionada imediatamente.
Quando a opção atribuir permissões agora estiver selecionada, os administradores têm de configurar as permissões a aplicar aos itens etiquetados. As opções disponíveis são:
Todos os utilizadores e grupos na sua organização: esta opção adiciona permissão a todos os utilizadores no ambiente, excluindo as contas de convidado. Este é um bom ponto introdutório para as organizações que pretendem restringir o acesso a itens etiquetados apenas a utilizadores internos.
Esta é uma boa opção para as organizações que pretendem encriptar as informações "OFICIAL: Confidencial" e garantir que podem ser abertas por toda a organização.
Qualquer utilizador autenticado: esta opção permite o acesso a qualquer utilizador autenticado no Microsoft 365 através de uma conta como o Microsoft 365, um fornecedor de redes sociais federado ou um endereço de e-mail externo, que está registado como uma Conta Microsoft (MSA). Esta opção garante que os itens são enviados e armazenados em formato encriptado, mas é o mais aberto em termos de acesso aos itens. Esta opção não é adequada em termos de garantir o alinhamento do PSPF e do necessário no Governo australiano.
Importante
Qualquer utilizador autenticado não é uma boa opção para organizações do Governo Australiano para a aplicação a itens classificados de segurança devido à natureza aberta das permissões aplicadas.
Adicionar utilizadores ou grupos: esta opção permite especificar utilizadores individuais (por exemplo, utilizadores organizacionais individuais ou convidados). Permite que as permissões sejam alocadas a grupos.
Existem várias utilizações desta opção para organizações governamentais. Por exemplo:
- Esta opção é utilizada para garantir a necessidade de saber ao limitar o acesso ao conteúdo etiquetado a um subconjunto de utilizadores internos que cumprem um requisito. Por exemplo, os utilizadores autorizados com desalfandegamento de linha de base são agrupados num grupo de utilizadores protegidos , que dá permissões para conteúdo PROTEGIDO. Os utilizadores fora do grupo são impedidos de aceder a quaisquer itens PROTEGIDOS.
- Para organizações com elevado controlo de colaboração externa (conforme abordado num elevado controlo de colaboração externa), é criado um grupo dinâmico que contém todas as contas de convidado. Pode ser concedida a este grupo permissões para itens encriptados, permitindo que os itens sejam distribuídos externamente com risco reduzido de acesso por entidades fora do grupo. Essa configuração também tem de estar alinhada com os controlos DLP discutidos para permitir a distribuição de e-mail de informações classificadas a convidados autorizados.
- Para organizações com um controlo de colaboração externa relativamente baixo (conforme abordado no baixo controlo de colaboração externa), é mantido um grupo de segurança que contém convidados autorizados para acesso a conteúdo encriptado.
- Para as organizações que pretendem fornecer acesso de convidado a conteúdos sem tornar o conteúdo de uma etiqueta acessível a todo um domínio, é criado um grupo dinâmico para conceder acesso a convidados de uma organização, por exemplo, "Convidados departacionais". Esta abordagem é abordada para permitir a distribuição de e-mail de informações classificadas a convidados autorizados.
Adicionar domínios ou endereços de e-mail específicos Esta opção permite que sejam concedidos permissões aos endereços de e-mail individuais de utilizadores externos, que podem ou não ser convidados. Também pode ser utilizado para conceder permissão a um domínio inteiro. Por exemplo, Contoso.com. As organizações que tenham requisitos complexos de colaboração e distribuição de informações ou que precisem de distribuir AS INFORMAÇÕES OFICIAIS: Confidenciais ou PROTEGIDAs a outras organizações governamentais podem considerar adicionar uma lista dos domínios de todas as organizações aos quais estão a distribuir essas informações. Essa lista deve estar alinhada com os domínios com os quais a sua organização formalizou contratos para partilha de informações e recursos, conforme definido na Política PSPF 9 Requisito 1.
São adicionados vários conjuntos de permissões à configuração de uma etiqueta para alcançar o resultado pretendido. Por exemplo, todos os utilizadores e grupos podem ser utilizados em combinação com um conjunto de grupos dinâmicos que contém convidados de outras organizações e uma lista de domínios de departamento autorizados com os quais a sua organização colabora regularmente.
Atribuir permissões a utilizadores, grupos ou domínios
Para cada utilizador, grupo de utilizadores ou domínio ao qual é concedido acesso, também têm de ser selecionadas permissões específicas. Estas permissões são agrupadas em conjuntos típicos, como Coproprietário, Cocriador ou Revisor. Também é possível definir conjuntos personalizados de permissões.
As permissões de encriptação são granulares, pelo que as organizações precisam de concluir as suas próprias avaliações de risco e análise de negócio para determinar a abordagem mais válida. Segue-se uma abordagem de exemplo.
| Categoria de Utilizador | Contains | Permissões |
|---|---|---|
| Todos os utilizadores e grupos | Todos os utilizadores internos | Co-Owner (Concede todas as permissões) |
| Convidados de outros departamentos com requisitos de colaboração | Grupos do Microsoft 365 dinâmico: - Convidados do Departamento 1 - Convidados do Departamento 2 - Convidados do Departamento 3 |
Co-Author (Restringe as permissões de edição, exportação e alteração de conteúdo) |
| Convidados limpos de organizações parceiras | Grupos de segurança: - Convidados do Parceiro 1 - Convidados do Parceiro 2 - Convidados do Parceiro 3 |
Revisor (Restringe as permissões de impressão, cópia e extração, exportação e alteração de conteúdo) |
Permitir que os utilizadores decidam
Uma abordagem à encriptação é permitir que os utilizadores escolham as permissões a aplicar quando selecionam uma etiqueta.
O comportamento dos itens etiquetados através deste método varia consoante a aplicação. Para o Outlook, as opções disponíveis são:
Não Reencaminhar: Quando esta opção está selecionada, os e-mails são encriptados. A encriptação aplica restrições de acesso para que os destinatários possam responder ao e-mail, mas as opções para reencaminhar, imprimir ou copiar informações não estão disponíveis. As permissões do Azure Rights Management são aplicadas a quaisquer documentos do Office desprotegidos anexados ao e-mail. Esta opção garante a necessidade de saber ao impedir que os destinatários de e-mail reencaminhem itens para aqueles que não foram especificados no e-mail original.
Encriptar Apenas: Esta opção encripta itens e concede aos destinatários todos os direitos de utilização, exceto guardar como, exportar e controlo total. É útil para cumprir os requisitos de transmissão encriptadas, mas não aplica restrições de acesso (o resultado são controlos necessários para saber que não são aplicados).
Estas opções proporcionam uma grande granularidade. No entanto, à medida que as permissões são aplicadas ao nível do item, estas opções podem resultar numa configuração inconsistente, uma vez que as opções selecionadas por diferentes utilizadores variam.
Ao fornecer não reencaminhar ou encriptar apenas opções para os utilizadores como sub-etiquetas, uma organização pode fornecer aos utilizadores um método de proteção da comunicação quando considerado necessário. Por exemplo:
- NÃO OFICIAL
- OFICIAL
- CONFIDENCIAL OFICIAL (Categoria)
- OFICIAL Sensível
- Apenas Destinatários Confidenciais OFICIAIS
As etiquetas com estas configurações aplicadas devem ser publicadas apenas para os utilizadores que necessitem dessas capacidades.
O Microsoft Purview é capaz de se alinhar com o PSPF com o requisito de incluir Marcadores de Gestão de Informações (MI) e Avisos e adição de subetiquetas para cumprir requisitos organizacionais específicos. Por exemplo, um grupo de utilizadores que têm de comunicar informações "OFICIAL: Privacidade Pessoal Confidencial" com utilizadores externos pode ter uma etiqueta "OFICIAL: Privacidade Pessoal Confidencial ENCRIPTAÇÃO APENAS" publicada.
Expiração do Acesso ao Conteúdo
As opções de expiração do conteúdo permitem que a permissão aceda a itens encriptados com a etiqueta aplicada para ser negada numa data ou após um período de tempo. Esta capacidade é utilizada para garantir que os itens já não estão acessíveis a partir de um momento, independentemente do local onde residem ou das permissões que lhes foram aplicadas.
Esta opção é útil para alcançar requisitos para o acesso às informações com limite de tempo, em que as organizações governamentais precisam de fornecer acesso temporário a informações ou recursos. Estas situações estão abrangidas pela Política PSPF 9:
| Requisito | Detalhe |
|---|---|
| PSPF Policy 9 Requisito 4: Acesso temporário a informações e recursos classificados | As entidades podem fornecer a uma pessoa acesso temporário a informações ou recursos classificados de segurança com base numa avaliação de risco para cada caso. Nestes casos, as entidades têm de: a. Limitar a duração do acesso a informações ou recursos classificados de segurança: i. Para o período em que um pedido de autorização de segurança está a ser processado para a pessoa específica, ou ii. Até um máximo de três meses num período de 12 meses b. Realizar verificações recomendadas de rastreio de emprego (veja a política PSPF: Elegibilidade e adequação do pessoal) c. Supervisionar todo o acesso temporário d. Para aceder a informações SECRETAS, certifique-se de que a pessoa tem uma autorização de segurança de Verificação Negativa 1 existente e e. Negar o acesso temporário a informações classificadas ressalvadas (com exceção de circunstâncias excepcionais, e apenas com a aprovação do proprietário da ressalva). |
Esta abordagem garante a necessidade de supervisão do acesso temporário e garante que o utilizador temporário só tem acesso ao que foi permitido e apenas pelo tempo necessário.
A encriptação do Azure Rights Management aplicada através da etiqueta e com a configuração de expiração de acesso permite que os itens confidenciais sejam partilhados com indivíduos ou organizações sem a necessidade de criar contas completas.
Um exemplo disso é que uma organização governamental tem um conjunto de documentos de design que precisam de ser disponibilizados a uma organização fictícia do Governo, denominada Contoso. É criada e publicada uma etiqueta com o nome "CONFIDENCIAL OFICIAL – Acesso Temp da Contoso" com permissões que concedem acesso a uma lista aprovada de endereços de e-mail da Contoso. Em seguida, uma cópia dos documentos de estrutura tem esta etiqueta aplicada, que inicia um temporizador de acesso de 30 dias. Em seguida, os documentos são partilhados com a Contoso, que pode aceder aos itens nos seus próprios sistemas até que o temporizador expire e o acesso seja revogado independentemente do local onde os itens residem.
À medida que a expiração do conteúdo é aplicada a uma etiqueta e não a permissões, são necessárias etiquetas dedicadas para o conseguir. Este e outros cenários de expiração de acesso são nichos e não são aplicáveis na maioria das organizações governamentais. Este exemplo baseia-se e expande a configuração básica do PSPF Proteção de Informações do Microsoft Purview que está a ser aplicada conforme recomendado neste guia.
Acesso offline
As opções de acesso offline permitem configurar um período de tempo em que os utilizadores podem aceder a itens sem precisarem de reautenenciar ou reautorizar as permissões do Azure Rights Management. O acesso offline é útil para garantir que, por exemplo, os ficheiros offline podem ser acedidos se uma falha de rede ou serviço. Quando esta opção está configurada, os itens continuam encriptados e as respetivas permissões são colocadas em cache em dispositivos cliente.
As organizações governamentais que implementam a encriptação geralmente optam por um período de acesso offline de três a sete dias para garantir que os utilizadores são capazes de trabalhar offline e como uma medida de mitigação de desastres.
Uma avaliação de risco do acesso em cache a itens contra o impacto da usabilidade de nenhum acesso quando os utilizadores estão a trabalhar sem acesso de rede por uma organização governamental deve ser concluída ao considerar esta abordagem.
Configuração de encriptação de etiqueta de exemplo
Observação
Estes exemplos destinam-se a demonstrar a configuração da encriptação de etiquetas com controlos operacionais proporcionais ao valor das informações, que se alinha com a Política PSPF 8 Requisito 1. As organizações governamentais precisam de concluir a sua própria análise de negócio, avaliação de riscos e testes antes de permitirem tal configuração.
| Rótulo de confidencialidade | Criptografia | Permissões |
|---|---|---|
| NÃO OFICIAL | - | - |
| OFICIAL | - | - |
| CONFIDENCIAL OFICIAL (Categoria) | - | - |
| OFICIAL Sensível | Atribuir permissão agora |
Todos os utilizadores e grupos na sua organização: Co-Owner Adicione domínios ou endereços de e-mail específicos: Lista de domínios externos aprovados para acesso - Cocriar |
| PROTEGIDO (Categoria) | - | - |
| PROTEGIDO | Atribuir permissão agora |
Adicionar utilizadores ou grupos: Grupo de utilizadores protegidos - Coproprietário Grupo de convidados protegidos - Cocriar |
Criptografia de Mensagem do Microsoft Purview
Criptografia de Mensagens do Microsoft Purview é uma capacidade de encriptação do Microsoft 365 criada com base no Azure Rights Management. Tal como acontece com a encriptação do Azure Rights Management baseada em etiquetas, Criptografia de Mensagens do Microsoft Purview confirma a identidade através da autenticação e autorização através da aplicação de permissão para itens.
Para obter informações sobre Criptografia de Mensagens do Microsoft Purview, veja como funciona a encriptação de mensagens.
Uma das principais vantagens da Criptografia de Mensagens do Microsoft Purview é a localização das caixas de correio do remetente e do destinatário alojadas no Exchange Online, com clientes que suportam Criptografia de Mensagens do Microsoft Purview (incluindo Microsoft 365 Apps, clientes móveis e baseados na Web), o processo de encriptação, incluindo o acesso do destinatário ao e-mail recebido, é totalmente integrado. O destinatário pode receber e ver a mensagem tal como faria com qualquer e-mail não encriptado. No entanto, se o destinatário não estiver a utilizar Exchange Online e/ou um cliente de e-mail com capacidade Criptografia de Mensagens do Microsoft Purview, em vez de receber uma mensagem de e-mail completa, receberá um *wrapper que o aconselha a receber um e-mail protegido e direciona-os para um portal da Microsoft onde podem autenticar-se para acederem às informações de forma segura. Estas mensagens de wrapper são totalmente personalizáveis, pelo que podem ser modificadas de acordo com a sua organização.
A autenticação para Criptografia de Mensagens do Microsoft Purview é processada de forma diferente do Azure Rights Management baseado em etiquetas, uma vez que as permissões não precisam de ser definidas numa etiqueta. Isto permite uma maior flexibilidade em termos de quem poderá receber correspondência encriptada, o que pode ser desejável para alguns casos de utilização.
Existem três categorias de autenticação relevantes para Criptografia de Mensagens do Microsoft Purview destinatários de mensagens:
- Se os destinatários estiverem a utilizar identidades do Microsoft 365 através de Exchange Online, as credenciais e/ou tokens existentes utilizados para a sessão atual podem ser utilizados para autenticação e autorização.
- Se os destinatários estiverem a utilizar identidades externas suportadas, como as fornecidas pelo Gmail ou pelo Yahoo, terão de autenticar através destas credenciais para aceder ao e-mail do wrapper e ligar ao portal fornecido pelo Microsoft 365 para aceder à mensagem.
- Se os destinatários estiverem a utilizar uma identidade não suportada, receberão o e-mail do wrapper e poderão selecionar a ligação para aceder ao portal fornecido pelo Microsoft 365, altura em que lhes será pedido que configurem o respetivo endereço de e-mail como uma conta Microsoft (MSA). Esta conta Microsoft associará uma palavra-passe e outras informações ao endereço de e-mail do utilizador, que é utilizado para autenticação futura.
Criptografia de Mensagens do Microsoft Purview também é utilizada para garantir confidencialmente e fornecer aos destinatários a garantia de que as suas informações estão a ser tratadas de forma segura. Por exemplo, as equipas de RH podem utilizar Criptografia de Mensagens do Microsoft Purview ao discutir potenciais empregos com um candidato a emprego. Criptografia de Mensagens do Microsoft Purview é útil quando se discute assuntos financeiros sensíveis com um membro do público. As universidades e outros prestadores de educação podem utilizar Criptografia de Mensagens do Microsoft Purview quando correspondem aos estudantes relativamente a assuntos académicos.
Seguem-se casos de utilização para Criptografia de Mensagens do Microsoft Purview relevantes para as organizações do Governo Australiano:
- A aplicação de Criptografia de Mensagens do Microsoft Purview a todos os e-mails com uma etiqueta (por exemplo, CONFIDENCIAL OFICIAL), enviada para uma lista de organizações externas. Esta lista inclui outras organizações governamentais com as quais a organização formalizou contratos (de acordo com a Política 9 do PSPF, Requisito 1).
- A aplicação de Criptografia de Mensagens do Microsoft Purview a e-mails que contêm informações confidenciais (identificadas através do SIT), que estão a ser enviadas para uma lista de outras organizações não governamentais onde existe uma relação. Devido a estas organizações não necessitarem necessariamente de cumprir os requisitos de segurança do Governo australiano, a status deste ambiente é desconhecida.
Para obter mais informações sobre as capacidades Criptografia de Mensagens do Microsoft Purview e potenciais utilizações, veja Configurar Criptografia de Mensagens do Microsoft Purview
A configuração para aplicar Criptografia de Mensagens do Microsoft Purview ao e-mail pode ser aplicada através das Regras do Fluxo de Correio do Exchange. Todas as mensagens que correspondam a uma etiqueta de confidencialidade acionam uma regra, que aplica um modelo de Criptografia de Mensagens do Microsoft Purview ao e-mail. Estas regras requerem um método baseado em GUID para identificar e-mails etiquetados.