Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona información general sobre las funcionalidades de cifrado de Microsoft 365 pertinentes para las organizaciones gubernamentales australianas. Su propósito es ayudar a las organizaciones gubernamentales a aumentar la madurez de la seguridad de los datos a la vez que se adhieren a los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
El cifrado es una parte importante de la estrategia de protección de la información y debe entenderse para asegurarse de que los datos están protegidos adecuadamente. Microsoft 365 emplea varias capas de cifrado. Algunas de ellas son innatas, como el cifrado de BitLocker en centros de datos de Microsoft y el cifrado SSL/TLS para las comunicaciones entre el cliente y los servidores. Los administradores pueden habilitar otras funcionalidades de cifrado para ampliar aún más la protección.
Requisitos de cifrado del Gobierno de Australia
PSPF incluye requisitos para el cifrado de información durante la transmisión. Estos requisitos se pueden encontrar en la sección 9.3 del Marco de directivas de seguridad de protección (PSPF). Un subconjunto de estos requisitos son:
| Clasificación | Requisitos |
|---|---|
| PROTEGIDO | Use la red PROTEGIDA (o superior), de lo contrario, se requiere cifrado. |
| OFFICIAL: Confidencial | Use OFFICIAL: red confidencial (o superior). Cifre si se transfiere a través de la infraestructura de red pública o a través de espacios no seguros. |
| OFICIAL | Cifrado recomendado, especialmente para la información que se comunica a través de la infraestructura de red pública. |
Los servicios de Microsoft 365 proporcionan cifrado de datos en reposo en plataformas de Microsoft 365 y en tránsito entre Microsoft 365 y puntos de conexión de forma predeterminada. Estas configuraciones predeterminadas usan Standard de cifrado avanzado (AES) con una longitud de clave de 256 bits en el modo de encadenamiento de bloques de cifrado (AES256-CBC). Estas funcionalidades se alinean con el siguiente requisito de ISM:
| Requisito | Detalles |
|---|---|
| Control de seguridad ISM: ISM-1769 (ISM de marzo de 2025) | Cuando se usa AES para el cifrado, se usa AES-128, AES-192 o AES-256, preferiblemente AES-256. |
Para obtener más información sobre la criptografía usada por Microsoft 365, consulte Cifrado.
Ampliación de las funcionalidades de cifrado
Los métodos opcionales que las organizaciones gubernamentales australianas pueden usar para ampliar las funcionalidades de cifrado predeterminadas de Microsoft 365 incluyen:
- Aplicación de la seguridad de la capa de transporte (TLS) para el correo electrónico clasificado de seguridad
- Aplicación del cifrado de Azure Rights Management a archivos y correo electrónico
- Cifrado de correo electrónico con Cifrado de mensajes de Microsoft Purview
En la tabla siguiente se describen los métodos opcionales para ampliar las funcionalidades de cifrado innatas de Microsoft 365, junto con vínculos a las secciones pertinentes de esta guía:
| Categoría de requisitos | Método para lograr |
|---|---|
| Cifrado durante la transmisión | El cifrado TLS se aplica a archivos y correos electrónicos en Microsoft 365 durante la transmisión, así como durante las interacciones entre los dispositivos cliente y los servicios de Microsoft 365. Sin embargo, para la transmisión de correo electrónico, TLS es oportunista y no se aplica. Si las plataformas de correo electrónico de remitente y destinatario admiten TLS, el correo electrónico se transfiere de forma segura. Si un servicio de correos electrónicos de destinatario no admite TLS, es posible que el correo electrónico se envíe sin cifrar, lo que da lugar a un mayor riesgo de interceptación de contenido. Al aplicar el cifrado TLS para el correo electrónico clasificado de seguridad , podemos configurar Exchange para garantizar que los elementos clasificados de seguridad no se envían en situaciones en las que los servidores receptores no admiten el cifrado TLS. - El cifrado de etiquetas de confidencialidad se puede configurar para que se aplique tanto a archivos como a correos electrónicos. Una vez cifrados los elementos, el cifrado se establece durante la transmisión, lo que garantiza que se cumplen los requisitos de cifrado de transmisión. - Cifrado de mensajes de Microsoft Purview (PME) permite la creación de reglas para aplicar el cifrado al correo electrónico y los datos adjuntos durante la transmisión. Este cifrado es perfecto para el correo electrónico entre entornos de Microsoft 365 y nos permite ampliar la protección a plataformas de correo electrónico que no son de Microsoft dirigiendo a los destinatarios a un portal de cifrado personalizado de marca. |
| Garantizar la necesidad de conocer |
El cifrado de etiquetas de confidencialidad permite la configuración de usuarios o grupos que tienen la capacidad de acceder a información cifrada. Esto nos permite controlar mejor la necesidad de saber bloqueando el acceso de usuarios no autorizados. El cifrado de etiquetas también permite la aplicación de permisos a los elementos, incluida la capacidad de restringir la impresión, lo que permite restringir el acceso a la información. - Cifrado de mensajes de Microsoft Purview garantiza que solo los destinatarios especificados tengan la capacidad de abrir correos electrónicos cifrados y sus datos adjuntos. |
| Garantizar la eliminación de seguridad | El cifrado de etiquetas de confidencialidad nos permite asociar la capacidad de acceder a elementos cifrados con grupos de seguridad. Estos grupos se pueden configurar, ya sea de forma manual o dinámica, para contener solo a los usuarios con las autorizaciones de seguridad adecuadas. Este enfoque también se puede ampliar a los usuarios invitados, ya que los invitados que han evaluado sus autorizaciones podrían incluirse en un grupo de usuarios autorizados. |
Los artículos restantes de esta sección cifrado TLS y cifrado de etiquetas de confidencialidad explorarán aún más la implementación de estas funcionalidades.