호주 정부의 이메일 전송을 위한 TLS 암호화 요구

이 문서에서는 보안 기밀 정보를 보호하기 위해 TLS(전송 계층 보안)를 사용하는 호주 정부 조직에 대한 지침을 제공합니다. 그 목적은 정부 조직이 암호화 요구 사항과 이를 충족하도록 Microsoft 365를 구성하는 방법을 이해할 수 있도록 돕는 것입니다. 이 문서의 지침은 PSPF(보호 보안 정책 프레임워크) 및 ISM(정보 보안 설명서)에 설명된 요구 사항에 가장 잘 부합하도록 작성되었습니다.

TLS(전송 계층 보안)는 이 컨텍스트 내에서 전송 중에 전자 메일을 보호하는 데 사용되는 암호화 유형입니다. TLS는 메일 서버에 적용되며 사용자 또는 클라이언트 수준이 아닌 서버에서 보낸 모든 전자 메일에 적용됩니다. Microsoft 365의 TLS에 대한 자세한 내용은 Exchange Online TLS를 사용하여 전자 메일 연결을 보호하는 방법을 참조하세요.

TLS는 기회적입니다. 즉, Exchange Online 항상 가장 안전한 버전의 TLS를 사용하여 연결을 먼저 암호화한 다음, 보낸 사람과 받는 사람이 모두 동의하는 암호를 찾을 때까지 TLS 암호화 목록 아래로 작동합니다. 기회적 TLS를 통해 전자 메일 전송을 위해 메시지가 가장 높은 수준으로 암호화됩니다.

기본적으로 Exchange Online 다음 ISM(정보 보안 설명서) 요구 사항을 충족하는 TLS 기회적 사용을 사용합니다.

기회적 TLS 구성은 ASD의 보안 클라우드 청사진에서도 설명합니다.

암호화되지 않은 전자 메일의 위험

TLS의 기회적 특성의 단점은 필수가 아니라는 것입니다. 받는 전자 메일 서버에 TLS를 사용하도록 설정하지 않은 경우 TLS 암호화 없이 전자 메일을 보낼 수 있으므로 일반 텍스트 콘텐츠가 가로채고 해석될 가능성이 높아집니다. 이것은 제품 결함이 아니라 이메일 보안의 진화의 증상입니다. 모든 전자 메일 전송에 대한 TLS 암호화를 의무화하면 아직 TLS를 사용할 수 없는 소수의 전자 메일 서비스에 대해 전자 메일이 손실되거나 차단될 수 있습니다.

선택적 TLS 암호화의 위험을 평가하기 위해 전자 메일 관리자는 정기적으로 Exchange Online 아웃바운드 메시지 보고서를 검토해야 합니다. 이 보고서는 TLS 암호화와 함께 전송되는 전자 메일의 비율에 대한 요약을 제공합니다. 자세한 내용은 Exchange Online 메시지 보고서를 참조하세요.

중요한 정보 또는 보안 기밀 정보에 대해 전자 메일 암호화를 선택 사항으로 유지하면 정보 손실 위험이 높아질 수 있습니다. PSPF(보호 보안 정책 프레임워크) 섹션 9.3의 전송 요구 사항과 함께 이 위험을 고려해야 합니다.

정부 조직은 기회 TLS와 관련된 위험을 완화하는 방법을 고려해야 합니다. 전략에는 다음이 포함될 수 있습니다.

• 보내는 모든 메일에 대해 강제 TLS 접근 방식을 사용합니다. 이렇게 하면 적용된 민감도 레이블 또는 항목 콘텐츠에 관계없이 TLS 암호화가 보장되지만 일부 항목의 경우 배달되지 않을 수 있습니다. 이 방법에 대한 자세한 내용은 Office 365 Exchange Online 강제 TLS를 설정하는 방법을 참조하세요.
• 미리 정의된 조직 목록 간의 통신을 위해 TLS가 필요한 파트너 커넥터 집합을 사용합니다. 이 방법은 고정 조직 간의 통신을 보호하지만 조직 목록 외부의 받는 사람에게 정보를 보낼 때 필수 TLS 암호화를 제공하지는 않습니다. 이 방법에 대한 자세한 내용은 Exchange Online 파트너 organization 사용하여 보안 메일 흐름을 위한 커넥터 설정을 참조하세요.
• 보안 분류 전자 메일에 TLS가 필요한 Exchange Online 전송 구성의 사용. 이 방법은 모든 보안 분류 항목이 PSPF 암호화 요구 사항에 따라 전송되도록 파트너 커넥터 집합을 보완할 수 있습니다.

많은 정부 조직, 특히 서비스 기반 기관의 경우 대부분의 정보가 공식 범주에 속하며 이 전자 메일 볼륨에 대한 강제 TLS 접근 방식을 활용하면 TLS가 없는 개인 및 조직과의 비즈니스에 상당한 영향을 미칠 수 있습니다. 비즈니스 요구 사항을 강화한 위험 기반 접근 방식을 권장하며, 많은 조직에서 강제 TLS 접근 방식을 사용하지 못할 수 있습니다. 더 맛있는 접근 방식에는 파트너 커넥터와 전송 기반 구성의 사용이 포함될 수 있습니다.

보안 클라우드에 대한 ASD의 청사진 에는 공식: 중요 또는 보호된 전자 메일에 TLS를 요구하는 전송 규칙 구성에 대한 정보가 포함되어 있습니다. 이 구성은 다음 섹션의 몇 가지 추가 세부 정보에서 설명합니다.

보안 분류 전자 메일에 대한 TLS 의무화

특정 민감도 레이블이 적용된 전자 메일에 대해 TLS 암호화를 요구하도록 Exchange 온라인 메일 흐름 규칙을 만들 수 있습니다. 이를 위해 먼저 관련 레이블이 적용된 항목을 식별해야 합니다.

전자 메일에 민감도 레이블을 적용하면 전자 메일의 헤더에 배치되는 메타데이터 집합이 있습니다. 레이블 정보가 포함된 헤더의 이름은 지정 msip_labels 되며 항목에 적용된 레이블에 해당하는 GUID(Globally Unique Identifiers) 레이블을 포함합니다.

환경, 보안 및 규정 준수 PowerShell 에 대한 모든 레이블 GUID를 가져오기 위해 사용할 수 있습니다. 환경의 레이블 및 관련 GUID를 보려면 다음을 사용합니다.

Get-label | select displayname,guid

관심 있는 GUID는 모든 공식: 하위 레이블을 포함한 민감하고 보호된 레이블에 대한 GUID입니다.

가져온 레이블 이름 및 GUID는 Exchange 메일 흐름 규칙 구성에 사용할 수 있도록 기록해야 합니다.

메일 흐름 규칙 만들기에 대한 일반적인 지침은 Exchange Online 메일 흐름 규칙 관리를 참조하세요.

관리자는 Exchange Online 관리 센터를 사용하여 헤더를 찾는 msip_labels 메일 흐름 규칙을 만들어야 합니다. 단일 메일 흐름 규칙을 사용하여 여러 레이블 GUID에 대한 검사 수 있습니다. 규칙을 만들 때 레이블 GUID 다음에 포함 Enabled=True 해야 합니다. 다음 예제에서는 환경 내에서 PROTECTED 레이블의 6가지 변형(정보 관리 표식 및 주의 사항 포함)을 확인합니다.

메시지 보안, TLS 암호화 필요를 수정하려면 메일 흐름 규칙 작업을 설정해야 합니다.

다음 예제에서는 PROTECTED 레이블의 6가지 변형 레이블 GUID를 확인하고 레이블이 적용된 전자 메일을 전송하려면 TLS 암호화가 필요합니다.

TLS를 요구하기 위한 메일 흐름 규칙 예제

이 메일 흐름 규칙은 보안 분류 또는 중요한 전자 메일이 TLS 암호화 없이 인터넷을 통해 전송되지 않도록 하기 위한 것입니다.