Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece orientações para organizações governamentais australianas sobre a utilização do Transport Layer Security (TLS) para ajudar a proteger informações classificadas de segurança. O seu objetivo é ajudar as organizações governamentais a compreender os seus requisitos de encriptação e como o Microsoft 365 pode ser configurado para os cumprir. As orientações neste artigo foram escritas para melhor se alinharem com os requisitos descritos no Framework de Políticas de Segurança De Proteção (PSPF) e no Manual de Segurança de Informações (ISM).
Transport Layer Security (TLS) é um tipo de encriptação que, neste contexto, é utilizada para proteger o e-mail durante a transmissão. O TLS é aplicado no servidor de e-mail e aplica-se a todos os e-mails enviados a partir do servidor, em vez de ao nível do utilizador ou do cliente. Para obter mais informações sobre o TLS no Microsoft 365, veja como o Exchange Online utiliza o TLS para proteger as ligações de e-mail..
O TLS é oportunista, o que significa que Exchange Online tenta sempre encriptar as ligações com a versão mais segura do TLS primeiro e, em seguida, segue a lista de cifras TLS até encontrar uma que tanto o remetente como o destinatário concordam. O TLS oportunista garante que as mensagens são encriptadas ao mais alto nível possível para a transmissão de e-mail.
Por predefinição, Exchange Online tem o TLS oportunista ativado, o que cumpre o seguinte requisito do Manual de Segurança de Informações (ISM):
| Requisito | Detalhe |
|---|---|
| ISM-0572 (março de 2025) | A encriptação TLS oportunista está ativada em servidores de e-mail que fazem ligações de e-mail recebidas ou enviadas através da infraestrutura de rede pública. |
A configuração oportunista do TLS também é abordada no Esquema do ASD para a Cloud Segura.
Risco de e-mail não encriptado
Uma desvantagem da natureza oportunista do TLS é que não é obrigatório. Se um servidor de e-mail de receção não tiver o TLS ativado, o e-mail pode ser enviado sem encriptação TLS, o que resulta numa maior probabilidade de o conteúdo de texto simples ser intercetado e interpretado. Não se trata de uma falha de produto, mas sim de um sintoma da evolução da segurança do e-mail. É provável que a autorização da encriptação TLS para toda a transmissão de e-mail resulte em e-mails perdidos ou bloqueados para a pequena percentagem de serviços de e-mail que ainda não têm capacidade para TLS.
Para ajudar a avaliar o risco de encriptação TLS opcional, os administradores de e-mail devem rever regularmente o relatório de mensagens de saída online do Exchange, que fornecerá um resumo da percentagem de e-mails enviados com e sem encriptação TLS. Para obter mais informações, veja relatórios de mensagens no Exchange Online..
Manter a encriptação de e-mail opcional para informações confidenciais ou confidenciais aumenta o risco de perda de informações. Devemos considerar este risco juntamente com os requisitos de transmissão da secção 9.3 do Framework de Políticas de Segurança Protetora (PSPF):
| Classificação | Requisitos |
|---|---|
| PROTEGIDO | Utilize a rede PROTECTED (ou superior), caso contrário, é necessária encriptação. |
| OFICIAL: Sensível | Utilize OFICIAL: rede sensível (ou superior). Encriptar se for transferido através da infraestrutura de rede pública ou através de espaços não seguros. |
| OFICIAL | Encriptação recomendada, especialmente para informações comunicadas através da infraestrutura de rede pública. |
As organizações governamentais devem considerar métodos para mitigar os riscos associados ao TLS oportunista. As estratégias podem incluir:
- A utilização de uma abordagem TLS forçada para todos os e-mails enviados. Isto garante a encriptação TLS, independentemente da etiqueta de confidencialidade aplicada ou do conteúdo do item, mas com um custo potencial de não vida para alguns itens. Para obter mais informações sobre esta abordagem, veja Como configurar o TLS forçado para Exchange Online no Office 365.
- A utilização de um conjunto de conectores de parceiros que requerem TLS para comunicação entre uma lista predefinida de organizações. Este método protege as comunicações entre organizações fixas, mas não fornece encriptação TLS obrigatória quando as informações são enviadas para destinatários fora da lista de organizações. Para obter mais informações sobre esta abordagem, consulte Configurar conectores para um fluxo de correio seguro com uma organização parceira no Exchange Online.
- A utilização de uma Exchange Online configurações de transporte que requerem TLS para e-mail classificado de segurança. Esta abordagem pode complementar um conjunto de conectores de parceiros para garantir que todos os itens classificados de segurança são transmitidos em conformidade com os requisitos de encriptação PSPF.
Para muitas organizações governamentais, nomeadamente as agências baseadas em serviços, a maior parte das suas informações enquadra-se na categoria OFICIAL e a utilização de uma abordagem TLS forçada para este volume de e-mails pode ter impactos significativos nas empresas com indivíduos e organizações que não têm TLS. Recomenda-se uma abordagem baseada no risco, moderada à necessidade empresarial e, para muitas organizações, é provável que isso impeça a utilização da abordagem de TLS forçada. É provável que uma abordagem mais agradável inclua a utilização de conectores parceiros e configurações baseadas no transporte.
O esquema do ASD para a cloud segura inclui informações sobre a configuração de regras de transporte para exigir O TLS para OFICIAL: E-mail confidencial ou PROTEGIDO. Esta configuração é explorada em alguns detalhes adicionais na secção seguinte.
Mandatar o TLS para e-mail classificado de segurança
Pode ser criada uma regra de fluxo de correio online do Exchange para exigir a encriptação TLS para e-mails com determinadas etiquetas de confidencialidade aplicadas. Para tal, primeiro teremos de identificar os itens com as etiquetas relevantes aplicadas.
Quando as etiquetas de confidencialidade são aplicadas a um e-mail, existe um conjunto de metadados que é colocado nos cabeçalhos do e-mail. O cabeçalho que contém informações de etiqueta tem o nome msip_labels e inclui uma etiqueta Identificadores Exclusivos Globalmente (GUIDs), que corresponde à etiqueta aplicada ao item.
Para obter todos os GUIDs de etiqueta para um ambiente , pode utilizar o PowerShell de segurança e conformidade . Para ver as etiquetas de um ambiente e os GUIDs associados, utilize:
Get-label | select displayname,guid
Os GUIDs de interesse são aqueles para qualquer OFICIAL: etiquetas confidenciais e PROTEGIDAs, incluindo sub-etiquetas.
Observação
Os GUIDs de etiqueta são específicos apenas para um único inquilino do Microsoft 365. Dois inquilinos com a mesma nomenclatura de etiqueta não partilharão o mesmo GUID.
Depois de obtidos, os nomes de etiquetas e GUIDs devem ser registados para que possa utilizá-los para a configuração da regra de fluxo de correio do Exchange.
Para obter orientações genéricas sobre a criação de regras de fluxo de correio, consulte Gerir regras de fluxo de correio no Exchange Online.
Os administradores têm de utilizar o Centro de Exchange Online Administração para criar regras de fluxo de correio que procuram o msip_labels cabeçalho. Uma única regra de fluxo de correio pode ser utilizada para marcar para vários GUIDs de etiqueta. Certifique-se de que inclui Enabled=True a seguir ao GUID da etiqueta ao criar a regra. O exemplo seguinte verifica as seis variações de etiquetas PROTECTED (incluindo Marcadores de Gestão de Informações e Ressalvas) num ambiente.
A ação da regra de fluxo de correio deve ser definida para modificar a segurança da mensagem, Exigir encriptação TLS.
O exemplo seguinte verifica a existência de GUIDs de etiqueta de seis variações de uma etiqueta PROTEGIDO e requer encriptação TLS para transmissão de qualquer e-mail com as etiquetas aplicadas.
Regra de fluxo de correio de exemplo para exigir TLS
Esta regra de fluxo de correio destina-se a impedir a transmissão de e-mails confidenciais ou confidenciais de segurança através da Internet sem encriptação TLS.
| Nome da Regra | Aplicar esta regra se | Efetue o seguinte procedimento |
|---|---|---|
| Exigir TLS para e-mail PROTEGIDO | Aplique esta regra se o destinatário for interno/externo: - Fora da organização AND Os cabeçalhos da mensagem... Inclua qualquer uma destas palavras: Cabeçalho: msip_labels Palavras: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
- Modificar a segurança da mensagem - Exigir encriptação TLS |
Observação
Antes de implementar essas regras, considere também a sua estratégia de monitorização do impacto das regras e dos itens de ação que estão atrasados ou bloqueados devido ao facto de a organização recetiva não suportar o TLS.