Richiesta di crittografia TLS per la trasmissione di messaggi di posta elettronica sensibili per la conformità del governo australiano con PSPF
Questo articolo fornisce indicazioni per le organizzazioni governative australiane sull'uso di Transport Layer Security (TLS) per proteggere le informazioni classificate per la sicurezza. Lo scopo è aiutare le organizzazioni governative a comprendere i requisiti di crittografia e come è possibile configurare Microsoft 365 per supportare questa operazione. I consigli in questo articolo sono stati scritti per allinearsi al meglio ai requisiti descritti nel Criterio 8 di Protective Security Policy Framework (PSPF): Informazioni riservate e classificate e Manuale sulla sicurezza delle informazioni (ISM).
TLS è un tipo di crittografia che può essere usato per garantire che i dati non possano essere intercettati durante la trasmissione. Per impostazione predefinita, Exchange Online usa sempre TLS opportunistico. TLS opportunistico significa che Exchange Online tenta sempre di crittografare le connessioni con la versione più sicura di TLS, quindi fa la sua strada verso il basso l'elenco di crittografie TLS fino a trovare una su cui entrambe le parti possono concordare. È importante sottolineare che TLS viene applicato al server di posta elettronica e si applica a tutti i messaggi di posta elettronica inviati dal server, anziché a livello di utente o client. Per altre informazioni su TLS in Microsoft 365, vedere come Exchange Online usa TLS per proteggere le connessioni di posta elettronica.
L'impostazione predefinita di TLS in Exchange Online soddisfa i requisiti ISM (Information Security Manual).
| Requisito | Dettagli |
|---|---|
| ISM-0572 (giugno 2024) | La crittografia TLS opportunistica è abilitata nei server di posta elettronica che effettuano connessioni di posta elettronica in ingresso o in uscita tramite l'infrastruttura di rete pubblica. |
La configurazione opportunistica di TLS è illustrata anche in Blueprint for Secure Cloud di ASD.
Mantenere la crittografia della posta elettronica facoltativa per informazioni altamente sensibili aumenta i rischi di perdita di informazioni. Un ambiente compromesso o gestito in modo non corretto all'interno di un cluster di organizzazioni partner governative o esterne potrebbe portare all'invio di informazioni sensibili attraverso Internet pubblico in testo normale. TLS opportunistico garantisce che i messaggi vengano crittografati al massimo livello possibile in modo che il ricevitore previsto sia in grado di ricevere le informazioni, come previsto. Le organizzazioni governative hanno una topologia di trasporto che usa connettori che richiedono TLS per la trasmissione di tutti gli elementi tra organizzazioni governative.
Queste configurazioni consentono di garantire che tutte le comunicazioni basate sulla posta elettronica tra un elenco fisso di organizzazioni siano crittografate. Tuttavia, non consente di richiedere la crittografia TLS per i destinatari esterni all'elenco predefinito delle organizzazioni. Si consideri, ad esempio, una società con contratto, ad esempio un avvocato, che richiede l'invio di informazioni sensibili. L'esterno dell'elenco fisso di domini che richiedono TLS potrebbe comportare l'invio di elementi in modo non sicuro.
Il report Exchange Online messaggi in uscita fornisce report sulla percentuale di messaggi di posta elettronica inviati con e senza crittografia TLS. Per altre informazioni sui report dei messaggi in uscita, vedere report sui messaggi in Exchange Online.
Le organizzazioni con una bassa percentuale di messaggi di posta elettronica non crittografati potrebbero prendere in considerazione un approccio TLS forzato per tutta la posta in uscita. Questa configurazione può impedire che la posta elettronica senza distinzione raggiunga la destinazione prevista quando un messaggio di posta elettronica viene inviato all'esterno dell'elenco predefinito di domini (ad esempio, messaggi di posta elettronica NON UFFICIALI). Per allinearsi al criterio PSPF (Protective Security Policy Framework) Policy 8 Allegato A (riepilogato nei requisiti di crittografia) è necessaria la crittografia per la trasmissione della posta elettronica 'OFFICIAL: Sensitive' e 'PROTECTED'. TLS è necessario a questi livelli.
Nota
Per molte organizzazioni governative, in particolare le agenzie basate sui servizi, la maggior parte delle loro informazioni rientra nella categoria OFFICIAL e la richiesta di TLS per questo volume di posta elettronica può avere un impatto significativo sulle aziende con individui e organizzazioni che non hanno TLS. Un approccio basato sui rischi, temperato alle esigenze aziendali, è consigliato per TLS forzato a questo livello rispetto a TLS opportunistico.
Per richiedere la crittografia TLS per la posta elettronica con maggiore sensibilità, è possibile usare una regola del flusso di posta online di Exchange. Questa regola controlla le intestazioni x degli elementi inviati. Quando gli elementi vengono identificati come con determinate etichette di riservatezza applicate, applica un'azione che richiede la crittografia TLS per la trasmissione dell'elemento.
Per costruire queste regole del flusso di posta, è necessario comprendere come vengono applicate le etichette alla posta elettronica. Quando viene applicata un'etichetta, può essere visualizzata nelle intestazioni x del messaggio di posta elettronica. L'intestazione contenente le informazioni sull'etichetta è denominata msip_labels e include un ID etichetta, che corrisponde all'etichetta applicata a un elemento.
Le regole del flusso di posta possono controllare l'intestazione msip_labels per verificare se le etichette pertinenti vengono applicate tramite l'ID etichetta o il GUID.
Per ottenere l'etichetta Globally Unique Identifiers (GUID) per un ambiente , è possibile usare PowerShell per la sicurezza e la conformità . Il comando necessario per visualizzare le etichette di un ambiente e i GUID associati è:
Get-label | select displayname,guid
Il comando di PowerShell restituisce un elenco di etichette di riservatezza insieme ai RELATIVI GUID delle etichette.
Nota
I GUID delle etichette sono specifici di un singolo tenant di Microsoft 365. Due tenant con la stessa denominazione dell'etichetta non condivideranno lo stesso GUID.
Una volta ottenuti, questi nomi di etichetta e GUID devono essere registrati in modo da poterli usare per la configurazione della regola del flusso di posta di Exchange.
Gli amministratori devono usare Exchange Online Amministrazione Center per creare regole che cercano l'intestazionemsip_labels. È possibile usare una singola regola del flusso di posta per verificare la presenza di più GUID di etichetta. Assicurarsi di includere Enabled=True dopo il GUID dell'etichetta durante la creazione della regola. L'esempio seguente verifica la presenza di sei varianti di etichette PROTECTED (inclusi marcatori di gestione delle informazioni e avvertenze) all'interno di un ambiente.
Regola del flusso di posta di esempio per la richiesta di TLS
Questa regola del flusso di posta ha lo scopo di impedire che i messaggi di posta elettronica riservati o classificati per la sicurezza vengano trasmessi tramite Internet senza crittografia TLS.
| Nome regola | Applica la regola se | Eseguire le operazioni seguenti |
|---|---|---|
| Richiedi TLS per la posta elettronica PROTETTA | Applicare questa regola se il destinatario è interno/esterno: - All'esterno dell'organizzazione E Intestazioni del messaggio... Includere una delle parole seguenti: Intestazione: msip_labels Parole: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
- Modificare la sicurezza dei messaggi - Richiedi crittografia TLS |
Nota
Prima di implementare tali regole, considerare anche la strategia per il monitoraggio dell'impatto delle regole e degli elementi di azione ritardati o bloccati a causa dell'organizzazione ricevente che non supporta TLS.