Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas sobre el uso de Seguridad de la capa de transporte (TLS) para ayudar a proteger la información clasificada de seguridad. Su propósito es ayudar a las organizaciones gubernamentales a comprender sus requisitos de cifrado y cómo se puede configurar Microsoft 365 para satisfacerlos. Las instrucciones de este artículo se han escrito para adaptarse mejor a los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
Seguridad de la capa de transporte (TLS) es un tipo de cifrado que, en este contexto, se usa para proteger el correo electrónico durante la transmisión. TLS se aplica en el servidor de correo y se aplica a todos los correos electrónicos enviados desde el servidor, en lugar de en el nivel de usuario o cliente. Para obtener más información sobre TLS en Microsoft 365, vea cómo Exchange Online usa TLS para proteger las conexiones de correo electrónico.
TLS es oportunista, lo que significa que Exchange Online siempre intenta cifrar las conexiones con la versión más segura de TLS primero y, a continuación, funciona hacia abajo en la lista de cifrados TLS hasta que encuentra una en la que tanto el remitente como el destinatario están de acuerdo. TLS oportunista garantiza que los mensajes se cifran al máximo nivel posible para la transmisión de correo electrónico.
De forma predeterminada, Exchange Online tiene tls oportunista habilitado, que cumple con el siguiente requisito del Manual de seguridad de la información (ISM):
| Requisito | Detalles |
|---|---|
| ISM-0572 (marzo de 2025) | El cifrado TLS oportunista está habilitado en los servidores de correo electrónico que realizan conexiones de correo electrónico entrantes o salientes a través de la infraestructura de red pública. |
La configuración de TLS oportunista también se describe en plano técnico de ASD para la nube segura.
Riesgo de correo electrónico sin cifrar
Una desventaja de la naturaleza oportunista de TLS es que no es obligatorio. Si un servidor de correo electrónico receptor no tiene TLS habilitado, el correo electrónico se puede enviar sin cifrado TLS, lo que da lugar a una mayor probabilidad de que el contenido de texto sin formato se intercepte e interprete. Esto no es un defecto del producto, sino más bien un síntoma de la evolución de la seguridad del correo electrónico. Es probable que la obligación de cifrado TLS para toda la transmisión de correo electrónico genere un correo electrónico perdido o bloqueado para el pequeño porcentaje de servicios de correo electrónico que aún no son compatibles con TLS.
Para ayudar a evaluar el riesgo de cifrado TLS opcional, los administradores de correo electrónico deben revisar periódicamente el informe de mensajes salientes de Exchange Online, que proporcionará un resumen del porcentaje de correos electrónicos que se envían con y sin cifrado TLS. Para obtener más información, vea informes de mensajes en Exchange Online.
Mantener el cifrado de correo electrónico opcional para información confidencial o clasificada de seguridad aumenta el riesgo de pérdida de información. Debemos tener en cuenta este riesgo junto con los requisitos de transmisión de la sección 9.3 del Marco de directivas de seguridad de protección (PSPF):
| Clasificación | Requisitos |
|---|---|
| PROTEGIDO | Use la red PROTEGIDA (o superior), de lo contrario, se requiere cifrado. |
| OFFICIAL: Confidencial | Use OFFICIAL: red confidencial (o superior). Cifre si se transfiere a través de la infraestructura de red pública o a través de espacios no seguros. |
| OFICIAL | Cifrado recomendado, especialmente para la información que se comunica a través de la infraestructura de red pública. |
Las organizaciones gubernamentales deben considerar métodos para mitigar los riesgos asociados a TLS oportunista. Las estrategias pueden incluir:
- El uso de un enfoque TLS forzado para todo el correo saliente. Esto garantiza el cifrado TLS independientemente de la etiqueta de confidencialidad aplicada o del contenido del elemento, pero a un costo potencial de no entrega para algunos elementos. Para obtener más información sobre este enfoque, consulte Configuración de TLS forzado para Exchange Online en Office 365.
- El uso de un conjunto de conectores asociados que requieren TLS para la comunicación entre una lista predefinida de organizaciones. Este método protege las comunicaciones entre organizaciones fijas, pero no proporciona cifrado TLS obligatorio cuando se envía información a destinatarios fuera de la lista de organizaciones. Para obtener más información sobre este enfoque, consulte Configuración de conectores para un flujo de correo seguro con una organización asociada en Exchange Online.
- El uso de una Exchange Online configuraciones de transporte que requieren TLS para el correo electrónico clasificado de seguridad. Este enfoque puede complementar un conjunto de conectores asociados para garantizar que todos los elementos clasificados de seguridad se transmiten en consonancia con los requisitos de cifrado pspf.
Para muchas organizaciones gubernamentales, especialmente las agencias basadas en servicios, la mayor parte de su información pertenece a la categoría OFICIAL y el uso de un enfoque TLS forzado para este volumen de correo electrónico puede tener impactos significativos en las empresas con personas y organizaciones que no tienen TLS. Se recomienda un enfoque basado en riesgos, que se atempere a las necesidades empresariales y, para muchas organizaciones, es probable que esto impida el uso del enfoque TLS forzado. Es probable que un enfoque más aceptable incluya el uso de conectores asociados y configuraciones basadas en transporte.
El plano técnico de ASD para la nube segura incluye información sobre la configuración de la regla de transporte para requerir TLS para el correo electrónico OFICIAL: confidencial o protegido. Esta configuración se explora en algunos detalles adicionales en la sección siguiente.
Obligación de TLS para correo electrónico clasificado de seguridad
Se puede crear una regla de flujo de correo en línea de Exchange para requerir el cifrado TLS para los correos electrónicos con determinadas etiquetas de confidencialidad aplicadas. Para ello, primero tendremos que identificar los elementos con las etiquetas pertinentes aplicadas.
Cuando se aplican etiquetas de confidencialidad a un correo electrónico, hay un conjunto de metadatos que se colocan en los encabezados del correo electrónico. El encabezado que contiene información de etiqueta se denomina msip_labels e incluye una etiqueta Identificadores únicos globales (GUID), que corresponde a la etiqueta aplicada al elemento.
Para obtener todos los GUID de etiqueta para un entorno, se puede usar PowerShell de seguridad y cumplimiento . Para ver las etiquetas de un entorno y los GUID asociados, use:
Get-label | select displayname,guid
Los GUID de interés son los de cualquier etiqueta OFICIAL: Confidencial y PROTEGIDA, incluidas las subetiquetas.
Nota:
Los GUID de etiqueta son específicos de un solo inquilino de Microsoft 365. Dos inquilinos con la misma nomenclatura de etiquetas no compartirán el mismo GUID.
Una vez obtenidos, se deben registrar los nombres de etiqueta y los GUID para que pueda usarlos para la configuración de la regla de flujo de correo de Exchange.
Para obtener instrucciones genéricas sobre la creación de reglas de flujo de correo, consulte Administración de reglas de flujo de correo en Exchange Online.
Los administradores deben usar el Centro de Exchange Online Administración para crear reglas de flujo de correo que busquen el msip_labels encabezado. Se puede usar una sola regla de flujo de correo para comprobar si hay varios GUID de etiqueta. Asegúrese de incluir Enabled=True después del GUID de etiqueta al crear la regla. En el ejemplo siguiente se comprueban las seis variaciones de las etiquetas PROTEGIDAs (incluidos los marcadores de administración de la información y las advertencias) dentro de un entorno.
La acción de regla de flujo de correo debe establecerse para modificar la seguridad del mensaje, Requerir cifrado TLS.
En el ejemplo siguiente se comprueban los GUID de etiqueta de seis variaciones de una etiqueta PROTEGIDA y se requiere el cifrado TLS para la transmisión de cualquier correo electrónico con las etiquetas aplicadas.
Regla de flujo de correo de ejemplo para requerir TLS
Esta regla de flujo de correo está diseñada para evitar que el correo electrónico confidencial o clasificado de seguridad se transmita a través de Internet sin cifrado TLS.
| Nombre de la regla | Aplicar esta regla si | Haga lo siguiente: |
|---|---|---|
| Requerir TLS para correo electrónico PROTEGIDO | Aplique esta regla si el destinatario es interno o externo: - Fuera de la organización AND Encabezados de mensaje... Incluya cualquiera de estas palabras: Encabezado: msip_labels Palabras: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
- Modificación de la seguridad del mensaje - Requerir cifrado TLS |
Nota:
Antes de implementar estas reglas, tenga en cuenta también la estrategia para supervisar el impacto de las reglas y los elementos de acción que se retrasan o bloquean debido a que la organización receptora no admite TLS.