Exigir encriptação TLS para transmissão de e-mail confidencial para conformidade do Governo Australiano com o PSPF
Este artigo fornece orientações para organizações governamentais australianas sobre a utilização do Transport Layer Security (TLS) para ajudar a proteger informações classificadas de segurança. O seu objetivo é ajudar as organizações governamentais a compreender os seus requisitos de encriptação, bem como a forma como o Microsoft 365 pode ser configurado para o ajudar. Os conselhos neste artigo foram escritos para melhor se alinharem com os requisitos descritos na Política 8 do Framework de Política de Segurança De Proteção (PSPF): informações confidenciais e classificadas e no Manual de Segurança de Informações (ISM).
O TLS é um tipo de encriptação que pode ser utilizado para garantir que os dados não podem ser intercetados durante a transmissão. Por padrão, o Exchange Online sempre usa o TLS oportunista. TLS oportunista significa Exchange Online tenta sempre encriptar as ligações com a versão mais segura do TLS primeiro e, em seguida, trabalha até à lista de cifras TLS até encontrar uma em que ambas as partes possam concordar. Importante, o TLS é aplicado no servidor de e-mail e aplica-se a todos os e-mails enviados a partir do servidor, em vez de ao nível do utilizador ou do cliente. Para obter mais informações sobre o TLS no Microsoft 365, veja como o Exchange Online utiliza o TLS para proteger as ligações de e-mail..
A predefinição do TLS no Exchange Online cumpre os requisitos do Manual de Segurança de Informações (ISM).
| Requisito | Detalhe |
|---|---|
| ISM-0572 (junho de 2024) | A encriptação TLS oportunista está ativada em servidores de e-mail que fazem ligações de e-mail recebidas ou enviadas através da infraestrutura de rede pública. |
A configuração oportunista do TLS também é abordada no Esquema do ASD para a Cloud Segura.
Manter a encriptação de e-mail opcional para informações altamente confidenciais aumenta os riscos de perda de informações. Um ambiente comprometido ou mal gerido num cluster de organizações governamentais ou de parceiros externos pode levar ao envio de informações confidenciais através da Internet pública em texto simples. O TLS oportunista garante que as mensagens são encriptadas ao mais alto nível possível, de modo a que o recetor pretendido possa receber as informações, conforme pretendido. As organizações governamentais têm uma topologia de transporte que utiliza conectores que exigem TLS para transmissão de todos os itens entre organizações governamentais.
Estas configurações ajudam a garantir que todas as comunicações baseadas em e-mail entre uma lista fixa de organizações são encriptadas. No entanto, não permite que a encriptação TLS seja necessária para destinatários fora da lista predefinida de organizações. Por exemplo, considere uma empresa contratada, como um advogado, que exige que lhes sejam enviadas informações confidenciais. Estar fora da lista fixa de domínios que necessitam de TLS pode levar a que os itens sejam enviados de forma insegura.
O Exchange Online Relatório de Mensagens de Saída fornece relatórios sobre a percentagem de e-mails enviados com e sem encriptação TLS. Para obter mais informações sobre os relatórios de mensagens de saída, consulte relatórios de mensagens no Exchange Online.
As organizações com uma percentagem baixa de e-mails não encriptados podem considerar uma abordagem TLS forçada para todos os e-mails enviados. Esta configuração pode impedir que o e-mail sem sentido atinja o destino pretendido quando um e-mail é enviado fora da lista fixa de domínios (por exemplo, e-mails NÃO OFICIAIS). Para alinhar com a Política PSPF (Protective Security Policy Framework) A encriptação do Anexo A (resumida nos requisitos de encriptação) é necessária para a transmissão de e-mail "OFICIAL: Confidencial" e "PROTEGIDO". O TLS é necessário nestes níveis.
Observação
Para muitas organizações governamentais, nomeadamente as agências baseadas em serviços, a maior parte das suas informações enquadra-se na categoria OFICIAL e a necessidade de TLS para este volume de e-mails pode ter impactos significativos nas empresas com indivíduos e organizações que não têm TLS. Recomenda-se uma abordagem baseada no risco, moderada à necessidade empresarial, para o TLS forçado a este nível versus TLS oportunista.
Para exigir a encriptação TLS para um e-mail de confidencialidade superior, pode ser utilizada uma regra de fluxo de correio online do Exchange. Esta regra inspeciona os cabeçalhos x dos itens que estão a ser enviados. Quando os itens são identificados como tendo determinadas etiquetas de confidencialidade aplicadas, aplica uma ação, que requer encriptação TLS para transmissão do item.
Para criar estas regras de fluxo de correio, temos de compreender como as etiquetas são aplicadas ao e-mail. Quando uma etiqueta é aplicada, pode ser vista nos cabeçalhos x do e-mail. O cabeçalho que contém informações de etiqueta tem o nome msip_labels e inclui um ID de etiqueta, que corresponde à etiqueta aplicada a um item.
As regras de fluxo de correio podem marcar o msip_labels cabeçalho para ver se as etiquetas relevantes são aplicadas através do respetivo ID de etiqueta ou GUID.
Para obter a etiqueta Identificadores Exclusivos Globalmente (GUIDs) para um ambiente, pode ser utilizado o PowerShell de segurança e conformidade . O comando necessário para ver as etiquetas de um ambiente e os GUIDs associados é:
Get-label | select displayname,guid
O comando do PowerShell devolve uma lista de etiquetas de confidencialidade juntamente com os GUIDs de etiqueta.
Observação
Os GUIDs de etiqueta são específicos apenas para um único inquilino do Microsoft 365. Dois inquilinos com a mesma nomenclatura de etiqueta não partilharão o mesmo GUID.
Depois de obtidos, estes nomes de etiquetas e GUIDs devem ser registados para que possa utilizá-los para a configuração da regra de fluxo de correio do Exchange.
Os administradores têm de utilizar o Centro de Exchange Online Administração para criar regras que procurem o msip_labels cabeçalho. Uma única regra de fluxo de correio pode ser utilizada para marcar para vários GUIDs de etiqueta. Certifique-se de que inclui Enabled=True a seguir ao GUID da etiqueta ao criar a regra. O exemplo seguinte verifica as seis variações de etiquetas PROTECTED (incluindo Marcadores de Gestão de Informações e Ressalvas) num ambiente.
Regra de fluxo de correio de exemplo para exigir TLS
Esta regra de fluxo de correio destina-se a impedir a transmissão de e-mails confidenciais ou confidenciais de segurança através da Internet sem encriptação TLS.
| Nome da Regra | Aplicar esta regra se | Efetue o seguinte procedimento |
|---|---|---|
| Exigir TLS para e-mail PROTEGIDO | Aplique esta regra se o destinatário for interno/externo: - Fora da organização AND Os cabeçalhos da mensagem... Inclua qualquer uma destas palavras: Cabeçalho: msip_labels Palavras: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
- Modificar a segurança da mensagem - Exigir encriptação TLS |
Observação
Antes de implementar essas regras, considere também a sua estratégia de monitorização do impacto das regras e dos itens de ação que estão atrasados ou bloqueados devido ao facto de a organização recetiva não suportar o TLS.