Microsoft 365 加密功能,以符合澳大利亞政府與 PSPF 的規範
本文提供與澳大利亞政府組織相關的Microsoft 365 加密功能概觀。 其目的是協助政府組織提高其數據安全性成熟度,同時遵循保護 安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中 所述的需求。
加密是檔案保護和資訊保護策略的重要部分,也是保護 安全策略架構 (PSPF) 原則 8 附錄 A 的需求。
Microsoft 365 服務提供待用和傳輸中數據的加密。 如需詳細資訊,請參閱 加密及其在 Microsoft 365 中的運作方式。
Microsoft 365 平臺固有的加密功能,例如 BitLocker 和 TLS 加密,應視為與澳大利亞政府加密需求相關。 除了這些先天功能之外,還有其他選擇性加密功能可以套用至專案,以確保只有授權的使用者可以存取這些功能。 與 PSPF 對齊相關的是:
加密可直接套用至組織內。 與外部組織共用加密需要額外的考慮,本指南涵蓋這一點,以確保在澳洲政府與 PSPF 需求的內容中保持一致。
澳大利亞政府加密需求
PSPF 原則 8 附錄 A 中詳述的加密、傳輸和存取需求。
加密一般與傳輸需求相關,但不同類型的加密也與存取權和需要知道相關,例如 Azure Rights Management。 Azure Rights Management 會在存取時確認存取項目的許可權。 Azure Rights Management 可確保未經授權的人員不會存取不當外洩或散發的資訊。 以下是相關 PSPF 需求的摘錄。
| 分類 | 需求 |
|---|---|
| 官方1 | 建議加密透過公用網路基礎結構通訊的任何資訊。 建議針對 OFFICIAL 資訊使用「需要知道」原則。 存取 OFFICIAL 資訊沒有安全性許可需求。 |
| OFFICIAL:敏感性 | 加密 OFFICIAL:透過公用網路基礎結構或透過不安全空間傳輸的敏感性資訊 (包括區域 1 安全性區域) ,除非實體已辨識並接受未這麼做的剩餘安全性風險。 需要知道的原則適用於所有 OFFICIAL:敏感性資訊。 存取 OFFICIAL:敏感性資訊沒有安全性許可需求。 |
| 保護 | 針對未透過 PROTECTED 網路 (或較高分類) 網路的任何通訊,加密 PROTECTED 資訊。 需要知道的原則適用於所有 PROTECTED 資訊。 持續存取 PROTECTED 資訊需要基準安全性許可或更高許可權。 |
提示
1選擇性Microsoft 365 加密功能,例如 Azure Rights Management,會影響從組織接收專案的內部使用者和外部使用者。 規劃使用 Azure Rights Managment 等進階工具時,建議使用暫存方法,一開始會將選擇性加密功能套用至較高敏感度專案。 當決定如何遵循 PSPF 建議的方法來加密 OFFICIAL 資訊時,組織應該考慮內部和外部使用者使用案例。 此決策應謹慎評估風險;平衡相對低敏感度專案的內容攔截風險,以及收件者無法傳送或無法存取專案的組織影響。
下表描述達成需求的需求和方法。
| 需求類別 | 達成目標的方法 |
|---|---|
| 傳輸期間加密 |
-
TLS 加密 符合傳輸需求,方法是在傳輸期間加密檔案和電子郵件,以及用戶端裝置與Microsoft 365 服務之間的互動。 - 敏感度標籤加密 同時適用於檔案和電子郵件。 當專案加密時,它們會在傳輸期間加密,繼續符合 PSPF 加密需求。 - Microsoft Purview 郵件加密 會建立規則,以在傳輸期間將加密套用至電子郵件和附件。 |
| 確定需要知道 |
-
敏感度標籤加密 可確保需要知道,方法是只允許獲授與項目許可權的已驗證使用者開啟它們。 - Microsoft Purview 郵件加密 確保只有指定的收件者能夠開啟加密的電子郵件及其附件。 |
| 確保安全性許可 | - 敏感度標籤加密 可確保使用者有適當的許可,方法是只允許有權開啟加密項目的使用者。 |
澳大利亞政府加密考慮
在澳洲政府內,共同作業和資訊發佈需求會根據組織類型而有所不同。 有些組織主要在隔離中工作,讓加密設定變得簡單明瞭。 其他組織則需要持續與其他組織共用敏感性資訊,而且需要據以規劃。
透過 PROTECTED 網路符合加密傳輸需求。 針對電子郵件,如 敏感性電子郵件傳輸需要 TLS 加密 中所述,使用以標籤為基礎的 TLS 設定會有所説明。 或者,也可以設定安全的合作夥伴連接器,如在 Exchange Online 中設定與合作夥伴組織的安全郵件流程連接器中所述。
傳輸期間套用的加密控制件不會保護個別專案,例如使用 USB。 政府組織會實作其他控制措施來降低這類風險,這可能會因裝置而異。 例如,使用 Microsoft Surface 膝上型電腦來停用 UEFI 中的 USB 埠很簡單。 使用非Microsoft裝置的其他選項包括裝入 USB 埠,以及強制使用加密 USB 磁碟驅動器的裝置管理軟體。 卷標型加密提供其中一些控件的替代方案,此外,如果項目曾經遭到外洩,也會保護專案免於未經授權的存取。
為了協助瀏覽選項,本指南會討論與下列組織類別一起的加密選項:
具有簡單資訊共同作業和散發需求的組織
具有直接共用敏感性資訊需求的組織,可從以標籤為基礎的加密以及需要符合最基本傳輸和存取需求的組織中獲益。 這些組織:
- 需要確保其加密許可權能滿足其與來賓或組織共同作業或傳送加密資訊給的來賓或組織,以及
- 取得保證,只有新增至其加密許可權的專案可以存取加密的專案,協助確保符合需要知道的原則。
提示
州政府組織較容易屬於此類別,因為其信息共用案例比聯邦政府更簡單。
具有複雜資訊共同作業和散發需求的組織
具有複雜需求的組織通常包含與其他組織共用大量資訊的大型部門。 這些類型的組織可能已經建立符合加密需求的程式,包括存取受保護的網路以進行部門間通訊。 這些組織:
- 受益於雲端式Microsoft 365 標籤加密,特別是在專案以加密方式外泄的情況下,可確保只有授權的使用者可以存取專案,而不論其所在位置為何。
- 請考慮更開放的加密設定,包括在其加密許可權中使用政府網域清單,以確保來自其他部門的使用者可以存取傳送給他們的專案。
- 需要測試Microsoft 365 加密不會干擾現有的控件,包括任何目前使用連接器將 Exchange Online 產生的電子郵件路由傳回內部部署服務,以便透過受保護的網路傳送。
注意事項
Azure Rights Management 加密不是部署 Microsoft Purview 或保護 Microsoft 365 服務中資訊的硬性需求。 不過,標籤加密被視為最有效的方法之一,可確保源自或位於Microsoft 365 環境的數據受到保護,免於未經授權的存取,尤其是在離開組織之後。