Funzionalità di crittografia di Microsoft 365 per la conformità del governo australiano con PSPF
Questo articolo offre una panoramica delle funzionalità di crittografia di Microsoft 365 rilevanti per le organizzazioni governative australiane. Il suo scopo è quello di aiutare le organizzazioni governative ad aumentare la maturità della sicurezza dei dati rispettando al tempo stesso i requisiti descritti in Protective Security Policy Framework (PSPF) e Information Security Manual (ISM).
La crittografia è una parte importante della strategia di protezione dei file e protezione delle informazioni ed è un requisito del criterio PSPF (Protective Security Policy Framework) 8 Allegato A.
I servizi di Microsoft 365 forniscono la crittografia per i dati inattivi e in transito. Per altre informazioni, vedere Crittografia e funzionamento in Microsoft 365.
Le funzionalità di crittografia inerenti alla piattaforma Microsoft 365, ad esempio la crittografia BitLocker e TLS , devono essere considerate rilevanti per i requisiti di crittografia del governo australiano. Oltre a queste funzionalità innate, sono disponibili altre funzionalità di crittografia facoltative che possono essere applicate agli elementi per garantire che solo gli utenti autorizzati possano accedervi. Rilevanti per l'allineamento PSPF sono:
- Transport Layer Security (TLS)
- Azure Rights Management
- Crittografia dei messaggi di Microsoft Purview
La crittografia è semplice da applicare all'interno di un'organizzazione. La condivisione di crittografati con organizzazioni esterne richiede una considerazione aggiuntiva, illustrata in questa guida, per garantire l'allineamento nel contesto dei requisiti del governo australiano e del PSPF.
Requisiti di crittografia del governo australiano
Requisiti di crittografia, trasmissione e accesso descritti in dettaglio nell'allegato A dei criteri PSPF 8.
La crittografia in generale è rilevante per i requisiti di trasmissione, ma diversi tipi di crittografia sono rilevanti anche per l'accesso e la necessità di sapere, ad esempio Azure Rights Management. Azure Rights Management conferma l'autorizzazione per accedere agli elementi al momento dell'accesso. Azure Rights Management garantisce che le informazioni esfiltrate o distribuite in modo inappropriato non siano accessibili a persone non autorizzate. Di seguito è riportato un estratto dei requisiti PSPF pertinenti.
| Classificazione | Requisiti |
|---|---|
| UFFICIALE1 | È consigliabile crittografare tutte le informazioni comunicate tramite l'infrastruttura di rete pubblica. Il principio della necessità di sapere è consigliato per le informazioni UFFICIALI. Non sono previsti requisiti di autorizzazione di sicurezza per l'accesso alle informazioni UFFICIALI. |
| OFFICIAL: Sensitive | Encrypt OFFICIAL: informazioni riservate trasferite tramite l'infrastruttura di rete pubblica o attraverso spazi non protetti (incluse le aree di sicurezza della zona 1), a meno che il rischio di sicurezza residuo di non farlo sia stato riconosciuto e accettato dall'entità. Il principio della necessità di sapere si applica a tutte le informazioni ufficiali: sensibili. Non sono previsti requisiti di sicurezza per l'accesso a OFFICIAL: Informazioni sensibili. |
| PROTETTO | Crittografare le informazioni PROTETTE per tutte le comunicazioni che non si verificano in una rete PROTETTA (o in una rete con classificazione superiore). Il principio della necessità di sapere si applica a tutte le informazioni PROTETTE. L'accesso continuo alle informazioni PROTETTE richiede un'autorizzazione di sicurezza di base o superiore. |
Consiglio
1 Le funzionalità di crittografia facoltative di Microsoft 365, come Azure Rights Management, interessano sia gli utenti interni che gli utenti esterni che ricevono elementi dall'organizzazione. Quando si pianifica l'uso di strumenti avanzati come Azure Rights Managment, è consigliabile usare un approccio a fasi, con funzionalità di crittografia facoltative applicate inizialmente agli elementi con sensibilità superiore. Le organizzazioni devono prendere in considerazione casi d'uso interni ed esterni quando si decide come seguire l'approccio consigliato PSPF per crittografare le informazioni UFFICIALI. Questa decisione deve essere attentamente valutata in termini di rischio; bilanciamento del rischio di intercettazione del contenuto per gli elementi di riservatezza relativamente bassi rispetto all'impatto dell'organizzazione degli elementi non inviati o inaccessibili da un destinatario.
Nella tabella seguente vengono descritti il requisito e il metodo di raggiungimento del requisito.
| Categoria di requisiti | Metodo di raggiungimento |
|---|---|
| Crittografia durante la trasmissione |
-
La crittografia TLS soddisfa i requisiti di trasmissione crittografando file e messaggi di posta elettronica durante la trasmissione, nonché interazioni tra il dispositivo client e i servizi Microsoft 365. - La crittografia delle etichette di riservatezza si applica sia ai file che ai messaggi di posta elettronica. Quando gli elementi vengono crittografati, vengono crittografati durante la trasmissione, continuando a soddisfare i requisiti di crittografia PSPF. - Microsoft Purview Message Encryption crea le regole per applicare la crittografia alla posta elettronica e agli allegati durante la trasmissione. |
| Verificare la necessità di sapere |
-
La crittografia dell'etichetta di riservatezza garantisce la necessità di essere a conoscenza consentendo solo agli utenti autenticati a cui sono concesse le autorizzazioni per gli elementi di aprirli. - Microsoft Purview Message Encryption garantisce che solo i destinatari specificati abbiano la possibilità di aprire i messaggi di posta elettronica crittografati e i relativi allegati. |
| Garantire l'autorizzazione di sicurezza | - La crittografia delle etichette di riservatezza garantisce che gli utenti dispongano di autorizzazioni appropriate consentendo solo agli utenti con autorizzazioni di aprire elementi crittografati. |
Considerazioni sulla crittografia del governo australiano
All'interno del governo australiano, i requisiti di collaborazione e distribuzione delle informazioni variano a seconda del tipo di organizzazione. Alcune organizzazioni lavorano in gran parte in isolamento, rendendo semplice la configurazione della crittografia. Altri hanno requisiti per condividere continuamente informazioni sensibili con altre organizzazioni e devono pianificare di conseguenza.
I requisiti di trasmissione crittografati vengono soddisfatti tramite reti PROTETTE. Per la posta elettronica, l'uso della configurazione TLS basata su etichetta, come illustrato in Richiedere la crittografia TLS per la trasmissione di messaggi di posta elettronica sensibili , è vantaggioso. In alternativa, è possibile configurare connettori partner sicuri, come illustrato in configurare i connettori per il flusso di posta sicuro con un'organizzazione partner in Exchange Online.
I controlli di crittografia che si applicano durante la trasmissione non proteggono singoli elementi, ad esempio l'uso di un usb. Le organizzazioni governative implementano altri controlli per attenuare tali rischi, che possono variare a seconda del dispositivo. Ad esempio, la disabilitazione delle porte USB in UEFI è semplice con un portatile Microsoft Surface. Altre opzioni per i dispositivi non Microsoft usati sono l'incollaggio di porte USB e il software di gestione dei dispositivi che impone l'uso di unità USB crittografate. La crittografia basata su etichette offre un'alternativa ad alcuni di questi controlli e protegge inoltre gli elementi da accessi non autorizzati se mai esfiltrati.
Per esplorare le opzioni, questa guida illustra le opzioni di crittografia in linea con le categorie di organizzazione seguenti:
Organizzazioni con semplici requisiti di collaborazione e distribuzione delle informazioni
Le organizzazioni con requisiti semplici per la condivisione di informazioni sensibili traggono grande vantaggio dalla crittografia basata su etichette e dalle organizzazioni che devono soddisfare i requisiti di trasmissione e accesso più di base. Queste organizzazioni:
- È necessario assicurarsi che le autorizzazioni di crittografia siano destinate agli utenti guest o alle organizzazioni a cui collaborano o a cui inviano informazioni crittografate e
- Assicurarsi che solo quelli aggiunti alle autorizzazioni di crittografia possano accedere agli elementi crittografati, garantendo che siano rispettati i principi necessari.
Consiglio
Le organizzazioni governative statali sono più propense a rientrare in questa categoria perché i loro scenari di condivisione delle informazioni sono più semplici di quelli del governo federale.
Organizzazioni con requisiti complessi di collaborazione e distribuzione delle informazioni
Le organizzazioni con requisiti complessi includono in genere reparti più grandi che condividono grandi volumi di informazioni con altre organizzazioni. È probabile che questi tipi di organizzazioni dispongano già di processi stabiliti per soddisfare i requisiti di crittografia, incluso l'accesso alle reti protette per la comunicazione tra reparti. Queste organizzazioni:
- La crittografia delle etichette di Microsoft 365 basata sul cloud, in particolare nelle situazioni in cui gli elementi vengono esfiltrati come crittografia, garantisce che solo gli utenti autorizzati possano accedere agli elementi indipendentemente da dove risiedono.
- È consigliabile considerare una configurazione di crittografia più aperta, incluso l'uso di elenchi di domini per enti pubblici nelle autorizzazioni di crittografia per garantire che gli utenti di altri reparti possano accedere agli elementi inviati.
- È necessario verificare che la crittografia di Microsoft 365 non interferisca con i controlli esistenti, incluso l'uso corrente dei connettori per instradare Exchange Online posta elettronica generata ai servizi locali in modo che possa quindi essere inviata tramite reti protette.
Nota
La crittografia di Azure Rights Management non è un requisito difficile per la distribuzione di Microsoft Purview o per la protezione delle informazioni nei servizi di Microsoft 365. Tuttavia, la crittografia basata su etichetta è considerata uno dei metodi più efficaci per garantire che i dati provenienti da o che risiedono in ambienti Microsoft 365 siano protetti da accessi non autorizzati, soprattutto dopo aver lasciato l'organizzazione.