이 문서에서는 오스트레일리아 정부 조직과 관련된 Microsoft 365 암호화 기능에 대한 개요를 제공합니다. 그 목적은 정부 조직이 PSPF(보호 보안 정책 프레임워크) 및 ISM(정보 보안 매뉴얼)에 설명된 요구 사항을 준수하면서 데이터 보안 완성도를 높일 수 있도록 돕는 것입니다.
암호화는 정보 보호 전략의 중요한 부분이며 데이터가 적절하게 보호되도록 하기 위해 이해해야 합니다. Microsoft 365는 여러 암호화 계층을 사용합니다. 이러한 중 일부는 Microsoft 데이터 센터의 BitLocker 암호화 및 클라이언트와 서버 간의 통신을 위한 SSL/TLS 암호화와 같은 타고난 것입니다. 관리자가 다른 암호화 기능을 사용하도록 설정하여 보호를 추가로 확장할 수 있습니다.
오스트레일리아 정부 암호화 요구 사항
PSPF에는 전송 중 정보 암호화에 대한 요구 사항이 포함됩니다. 이러한 요구 사항은 PSPF(보호 보안 정책 프레임워크)의 섹션 9.3에서 찾을 수 있습니다. 이러한 요구 사항의 하위 집합은 다음과 같습니다.
| 분류 | 요구 사항 |
|---|---|
| 보호 | PROTECTED(이상) 네트워크를 사용하고, 그렇지 않으면 암호화가 필요합니다. |
| 공식: 중요 | 공식: 중요한(또는 그 이상) 네트워크를 사용합니다. 공용 네트워크 인프라를 통해 또는 보안되지 않은 공간을 통해 전송되는 경우 암호화합니다. |
| 관 | 암호화는 특히 공용 네트워크 인프라를 통해 전달되는 정보에 권장됩니다. |
Microsoft 365 서비스는 기본적으로 Microsoft 365 플랫폼과 Microsoft 365와 엔드포인트 간에 전송 중인 미사용 데이터에 대한 암호화를 제공합니다. 이러한 기본 구성은 암호화 블록 체인 모드(AES256-CBC)에서 256비트 키 길이가 있는 AES(Advanced Encryption Standard)를 사용합니다. 이러한 기능은 다음 ISM 요구 사항에 부합합니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| ISM 보안 제어: ISM-1769(ISM 2025년 3월) | 암호화에 AES를 사용하는 경우 AES-128, AES-192 또는 AES-256이 사용되며, 바람직하게는 AES-256입니다. |
Microsoft 365에서 사용하는 암호화에 대한 자세한 내용은 암호화를 참조 하세요.
암호화 기능 확장
오스트레일리아 정부 조직에서 Microsoft 365의 기본 암호화 기능을 확장하는 데 사용할 수 있는 선택적 방법은 다음과 같습니다.
- 보안 분류 전자 메일에 TLS(전송 계층 보안) 적용
- 파일 및 전자 메일에 Azure Rights Management 암호화 적용
- Microsoft Purview 메시지 암호화 사용하여 전자 메일 암호화
다음 표에서는 이 가이드의 관련 섹션에 대한 링크와 함께 Microsoft 365의 타고난 암호화 기능을 확장하는 선택적 방법에 대해 설명합니다.
| 요구 사항 범주 | 달성 방법 |
|---|---|
| 전송 중 암호화 | TLS 암호화는 전송 중뿐만 아니라 클라이언트 디바이스와 Microsoft 365 서비스 간의 상호 작용 중에 Microsoft 365의 파일 및 이메일에 적용됩니다. 그러나 전자 메일 전송의 경우 TLS는 기회적이며 적용되지 않습니다. 보낸 사람과 받는 사람 전자 메일 플랫폼이 모두 TLS를 지원하는 경우 전자 메일이 안전하게 전송됩니다. 받는 사람 전자 메일 서비스가 TLS를 지원하지 않는 경우 메일을 암호화되지 않은 형식으로 전송하여 콘텐츠 가로채기의 위험이 높아질 수 있습니다. 보안 분류 전자 메일에 TLS 암호화를 적용하여 수신 서버가 TLS 암호화를 지원하지 않는 상황에서 보안 분류 항목이 전송되지 않도록 Exchange를 구성할 수 있습니다. - 민감도 레이블 암호화 는 파일과 전자 메일 모두에 적용되도록 구성할 수 있습니다. 항목이 암호화되면 전송 중에 암호화가 적용되어 전송 암호화 요구 사항이 충족되도록 합니다. - PME(Microsoft Purview 메시지 암호화)를 사용하면 전송 중에 전자 메일 및 첨부 파일에 암호화를 적용하는 규칙을 만들 수 있습니다. 이 암호화는 Microsoft 365 환경 간의 전자 메일에 원활하게 적용되며 받는 사람을 사용자 지정 브랜드 암호화 포털로 안내하여 비 Microsoft 전자 메일 플랫폼에 대한 보호를 확장할 수 있습니다. |
| 알아야 할 사항 확인 |
민감도 레이블 암호화 를 사용하면 암호화된 정보에 액세스할 수 있는 사용자 또는 그룹을 구성할 수 있습니다. 이를 통해 권한 없는 사용자 액세스를 차단하여 알아야 할 사항을 더 잘 제어할 수 있습니다. 레이블 암호화를 사용하면 인쇄를 제한하는 기능을 포함하여 항목에 대한 사용 권한을 적용할 수 있으므로 정보에 대한 액세스를 제한할 수 있습니다. - Microsoft Purview 메시지 암호화 지정된 받는 사람만 암호화된 전자 메일 및 해당 첨부 파일을 열 수 있도록 합니다. |
| 보안 허가 확인 | 민감도 레이블 암호화 를 사용하면 암호화된 항목에 보안 그룹에 액세스하는 기능을 연결할 수 있습니다. 이러한 그룹은 적절한 보안 허가를 받은 사용자만 포함하도록 수동 또는 동적으로 구성할 수 있습니다. 이 방법은 허가가 평가된 게스트가 권한 있는 사용자 그룹에 포함될 수 있으므로 게스트 사용자에게도 확장될 수 있습니다. |
이 섹션의 나머지 문서에서는 TLS 암호화 및 민감도 레이블 암호화 를 통해 이러한 기능의 구현을 자세히 살펴볼 것입니다.