Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece orientações para organizações do Governo Australiano sobre a utilização da encriptação de etiquetas de confidencialidade. A sua intenção é ajudar as organizações do Governo australiano a fortalecerem as suas abordagens em relação à segurança dos dados. As recomendações neste guia alinham-se de perto com os requisitos descritos no PSPF (Protection Security Policy Framework) e no Manual de Segurança de Informações (ISM).
O Microsoft Purview fornece a opção de encriptar itens com uma etiqueta de confidencialidade aplicada através do Azure Rights Management. O Azure Rights Management é utilizado para confirmar a autenticação do utilizador e a autorização para acesso ao conteúdo. Para que um utilizador aceda a um item encriptado, tem de se autenticar no serviço Microsoft 365 e ser-lhe concedida permissão para aceder ao item. O Azure Rights Management é utilizado para aplicar restrições de utilização a itens. Estas restrições podem impedir os utilizadores de ações como editar conteúdos, guardar itens, imprimir, copiar conteúdo ou reencaminhá-los para outros utilizadores.
Cenários relevantes para a encriptação de etiquetas
As organizações governamentais devem utilizar a encriptação de etiquetas de acordo com o acesso e os requisitos de transmissão resumidos na descrição geral da encriptação. Estes requisitos afirmam que a encriptação é necessária para a transmissão de OFFICIAL: informações confidenciais ou PROTEGIDAs em redes públicas ou não protegidas. Embora as capacidades inativas do Microsoft 365, como a encriptação TLS para comunicações entre o cliente e os servidores , ajudem a cumprir estes requisitos, existem determinados cenários em que a utilização da encriptação do Azure Rights Management pode reforçar a proteção.
Exemplos de cenários em que a ativação da encriptação do Azure Rights Management baseada em etiquetas pode reforçar os controlos incluem situações em que os itens classificados de segurança são:
- Copiado para o armazenamento USB.
- Carregados para serviços cloud não Microsoft, incluindo serviços de armazenamento na cloud.
- Guardado em dispositivos potencialmente inseguros (por exemplo, dispositivos sem encriptação BitLocker).
- Enviado por e-mail para destinatários externos que podem violar a necessidade de saber, distribuindo ainda mais as informações.
Normalmente, as organizações governamentais australianas implementam estratégias e soluções adicionais para lidar com estes vetores de risco. Por exemplo, a utilização de unidades USB encriptadas, soluções casB (Cloud Access Security Broker) e plataformas de gestão de dispositivos. A encriptação baseada em etiquetas não se destina a substituir estas soluções. No entanto, é utilizado para complementar estas soluções ao fornecer proteção adicional contra utilização indevida acidental e utilizadores maliciosos.
Considerações sobre encriptação de etiquetas
A encriptação do Azure Rights Management não é um requisito difícil para a implementação do Microsoft Purview ou para a proteção de informações nos serviços do Microsoft 365. No entanto, a encriptação baseada em etiquetas é considerada um dos métodos mais eficazes para garantir que os dados provenientes ou residentes em ambientes do Microsoft 365 estão protegidos contra acesso não autorizado, especialmente depois de sair da organização.
Para obter informações sobre as considerações padrão e potenciais impactos da ativação da encriptação de etiquetas de confidencialidade, veja considerações sobre conteúdo encriptado.
Existem outras considerações mais específicas para as organizações governamentais australianas. Estas incluem alterações aos metadados do documento e requisitos relacionados com a partilha de informações.
Alterações de cocriação encriptadas
O Microsoft 365 suporta a cocriação em documentos encriptados.
A ativação da cocriação encriptada introduz alterações à forma como os metadados de etiquetas de confidencialidade são aplicados ao documento do Office e à utilização de propriedades MSIP_labels documento. Após a ativação da cocriação encriptada, os metadados em itens encriptados são movidos da localização da propriedade do documento tradicional para o xml interno de um documento. Para obter mais informações, veja Alterações de metadados para etiquetas de confidencialidade.
As organizações do Governo Australiano que aplicam regras em gateways de e-mail que marcar para a classificação de anexos através das propriedades do documento têm de estar cientes das alterações de metadados para que as suas configurações estejam alinhadas. Os administradores do Microsoft Exchange devem:
- Leia e compreenda 2.6.3 LabelInfo versus Propriedades personalizadas do documento.
- Avalie as organizações Prevenção de Perda de Dados (DLP), regra de fluxo de correio ou sintaxe de regras de transporte em gateways de e-mail não Microsoft para potenciais problemas.
Um exemplo do motivo pelo qual isto é importante é um fluxo de correio ou regra de transporte que verifica a existência de anexos PROTEGIDOs através do GUID de etiqueta numa propriedade de documento não funciona corretamente quando os metadados do documento são movidos da propriedade do documento para a localização LabelInfo.
Como alternativas à abordagem baseada na propriedade do documento:
-
ClassificationContentMarkingHeaderTexteClassificationContentMarkingFooterTextas propriedades do documento são utilizadas. Estas propriedades são apresentadas após a ativação de cocriação encriptada e são preenchidas com o texto de marcação visual aplicado aos documentos do Office. - Os métodos de fluxo de correio são transitados para uma abordagem baseada em DLP mais recente, na qual as etiquetas de confidencialidade podem ser consultadas nativamente como parte de uma política DLP.
Acesso de utilizador externo a itens encriptados
No Governo australiano, os requisitos de colaboração e distribuição de informações variam consoante o tipo de organização. Algumas organizações trabalham em grande parte isoladamente, o que torna a configuração de encriptação simples. Outros têm requisitos para partilhar continuamente informações confidenciais com outras organizações e precisam de planear em conformidade.
As organizações governamentais australianas que utilizam encriptação baseada em etiquetas devem utilizar esta capacidade para garantir o alinhamento com o PSPF 2024 Requisito 77 e 133:
| Requisito | Detalhe |
|---|---|
| PSPF 2024 - 12. Partilha de Informações - Requisito 77 | Um contrato ou disposição, como um contrato ou uma ação, que estabelece o processamento de requisitos e proteções, está em vigor antes de as informações ou recursos classificados de segurança serem divulgados ou partilhados com uma pessoa ou organização fora do governo. |
| PSPF 2024 - 17. Acesso aos Recursos – Requisito 133 | O pessoal que necessita de acesso a informações ressalvadas cumpre todos os requisitos de autorização e adequação impostos pela autoridade de controlo do originador e da ressalva. |
Para garantir que apenas os utilizadores de organizações externas autorizadas podem aceder a itens encriptados, podem ser utilizadas as seguintes abordagens:
- Listas de domínios externos aprovados podem ser adicionados às permissões do Azure Rights Management, semelhantes às abordagens DLP descritas na prevenção da distribuição de e-mail de informações classificadas a organizações não autorizadas.
- Os grupos que contêm contas de convidado podem ser utilizados para conceder permissões apenas a um conjunto autorizado de utilizadores de domínios externos aprovados. Esta abordagem é semelhante a permitir a distribuição de e-mail de informações classificadas a convidados autorizados.
Dica
Alinhar a abordagem da sua organização para DLP com a de encriptação de etiquetas para informações classificadas simplifica a administração. O resultado é uma abordagem robusta e consistente ao processamento de informações classificadas em que apenas os utilizadores autorizados podem receber informações classificadas e ter acesso às mesmas.
Ativar a encriptação de etiquetas
Para obter informações sobre os pré-requisitos e os passos necessários para ativar a encriptação de etiquetas de confidencialidade, veja Restringir o acesso ao conteúdo através de etiquetas de confidencialidade para aplicar encriptação.
As seguintes configurações de encriptação de etiquetas têm especial relevância para os requisitos do governo australiano e são abordadas em detalhe.
Atribuir permissões agora
Atribuir Permissões Agora fornece um controlo consistente do acesso a itens etiquetados em todo um ambiente. Através desta configuração, quando uma etiqueta com definições de encriptação é aplicada a um item, a encriptação do conteúdo é acionada imediatamente.
Quando a opção atribuir permissões agora estiver selecionada, os administradores têm de configurar as permissões a aplicar aos itens etiquetados. As opções disponíveis são:
Todos os utilizadores e grupos na sua organização: esta opção adiciona permissão a todos os utilizadores no ambiente, excluindo as contas de convidado. Este é um bom ponto introdutório para as organizações que pretendem restringir o acesso a itens etiquetados apenas a utilizadores internos.
Esta é uma boa opção para as organizações que pretendem encriptar as informações "OFICIAL: Confidencial" e garantir que podem ser abertas por toda a organização. Tenha em atenção que a encriptação é apenas uma camada de proteção que pode ser complementada com DLP para ajudar a garantir a necessidade de saber.
Qualquer utilizador autenticado: esta opção permite o acesso a qualquer utilizador autenticado no Microsoft 365 através de uma conta como o Microsoft 365, um fornecedor de redes sociais federado ou um endereço de e-mail externo, que está registado como uma Conta Microsoft (MSA). Esta opção garante que os itens são enviados e armazenados em formato encriptado, mas é o mais aberto em termos de acesso aos itens. Esta opção não é adequada em termos de garantir o alinhamento do PSPF e do necessário no Governo australiano.
Importante
Qualquer utilizador autenticado não é uma boa opção para organizações do Governo Australiano para a aplicação a itens classificados de segurança devido à natureza aberta das permissões aplicadas.
Adicionar utilizadores ou grupos: esta opção permite especificar utilizadores individuais (por exemplo, utilizadores organizacionais individuais ou convidados). Permite que as permissões sejam alocadas a grupos.
Existem várias utilizações desta opção para organizações governamentais. Por exemplo:
- Esta opção é utilizada para garantir a necessidade de saber ao limitar o acesso ao conteúdo etiquetado a um subconjunto de utilizadores internos que cumprem um requisito. Por exemplo, os utilizadores autorizados com desalfandegamento de linha de base são agrupados num grupo de utilizadores protegidos , que dá permissões para conteúdo PROTEGIDO. Os utilizadores fora do grupo são impedidos de aceder a quaisquer itens PROTEGIDOS.
- Para organizações com elevado controlo de colaboração externa (conforme abordado num elevado controlo de colaboração externa), pode ser criado um grupo dinâmico que contém todas as contas de convidado. Pode ser concedida a este grupo permissões para itens encriptados, permitindo que os itens sejam distribuídos externamente com risco reduzido de acesso por entidades fora do grupo. Essa configuração também tem de estar alinhada com os controlos DLP discutidos para permitir a distribuição de e-mail de informações classificadas a convidados autorizados.
- Para organizações com um controlo de colaboração externa relativamente baixo (conforme abordado no baixo controlo de colaboração externa), um grupo de segurança pode ser mantido com convidados autorizados para acesso a conteúdo encriptado.
- Para as organizações que pretendem fornecer acesso de convidado a conteúdos sem tornar os conteúdos de uma etiqueta acessíveis a todo um domínio, pode ser criado um grupo dinâmico para conceder acesso a convidados de uma organização, por exemplo, "Convidados departacionais". Esta abordagem é abordada para permitir a distribuição de e-mail de informações classificadas a convidados autorizados.
Adicionar domínios ou endereços de e-mail específicos Esta opção permite que sejam concedidos permissões aos endereços de e-mail individuais de utilizadores externos, que podem ou não ser convidados. Também pode ser utilizado para conceder permissão a um domínio inteiro. Por exemplo, Contoso.com. As organizações que tenham requisitos complexos de colaboração e distribuição de informações ou que precisem de distribuir AS INFORMAÇÕES OFICIAIS: Confidenciais ou PROTEGIDAs a outras organizações governamentais podem considerar adicionar uma lista dos domínios de todas as organizações aos quais estão a distribuir essas informações. Essa lista deve estar alinhada com os domínios com os quais a sua organização formalizou contratos para partilha de informações e recursos, conforme definido na Política PSPF 2024 Requisito 77.
Vários conjuntos de permissões podem ser adicionados à configuração de uma etiqueta para alcançar o resultado pretendido. Por exemplo, todos os utilizadores e grupos podem ser utilizados em combinação com um conjunto de grupos dinâmicos que contém convidados de outras organizações e uma lista de domínios de departamento autorizados com os quais a sua organização colabora regularmente.
Atribuir permissões a utilizadores, grupos ou domínios
Para cada utilizador, grupo de utilizadores ou domínio ao qual é concedido acesso, também têm de ser selecionadas permissões específicas. Estas permissões são agrupadas em conjuntos típicos, como Coproprietário, Cocriador ou Revisor. Também é possível definir conjuntos personalizados de permissões.
As permissões de encriptação são granulares, pelo que as organizações precisam de concluir as suas próprias avaliações de risco e análise de negócio para determinar a abordagem mais válida. Segue-se uma abordagem de exemplo:
| Categoria de Utilizador | Contains | Permissões |
|---|---|---|
| Todos os utilizadores e grupos | Todos os utilizadores internos | Co-Owner (Concede todas as permissões) |
| Convidados de outros departamentos com requisitos de colaboração | Grupos do Microsoft 365 dinâmico: - Convidados do Departamento 1 - Convidados do Departamento 2 - Convidados do Departamento 3 |
Co-Author (Restringe as permissões de edição, exportação e alteração de conteúdo) |
| Convidados limpos de organizações parceiras | Grupos de Segurança: - Convidados do Parceiro 1 - Convidados do Parceiro 2 - Convidados do Parceiro 3 |
Revisor (Restringe as permissões de impressão, cópia e extração, exportação e alteração de conteúdo) |
Permitir que os utilizadores decidam
Uma abordagem à encriptação é permitir que os utilizadores escolham as permissões a aplicar quando selecionam uma etiqueta.
O comportamento dos itens etiquetados através deste método varia consoante a aplicação. Para o Outlook, as opções disponíveis são:
- Não Reencaminhar: Quando esta opção está selecionada, os e-mails são encriptados. A encriptação aplica restrições de acesso para que os destinatários possam responder ao e-mail, mas as opções para reencaminhar, imprimir ou copiar informações não estão disponíveis. As permissões do Azure Rights Management são aplicadas a quaisquer documentos do Office desprotegidos anexados ao e-mail. Esta opção garante a necessidade de saber ao impedir que os destinatários de e-mail reencaminhem itens para aqueles que não foram especificados no e-mail original.
- Encriptar Apenas: Esta opção encripta itens e concede aos destinatários todos os direitos de utilização, exceto guardar como, exportar e controlo total. É útil para cumprir os requisitos de transmissão encriptadas, mas não aplica restrições de acesso (o resultado são controlos necessários para saber que não são aplicados).
Estas opções proporcionam uma grande granularidade. No entanto, à medida que as permissões são aplicadas ao nível do item, estas opções podem resultar numa configuração inconsistente, uma vez que as opções selecionadas por diferentes utilizadores variam.
Ao fornecer não reencaminhar ou encriptar apenas opções para os utilizadores como sub-etiquetas, uma organização pode fornecer aos utilizadores um método de proteção da comunicação quando considerado necessário. Por exemplo:
- NÃO OFICIAL
- OFICIAL
- CONFIDENCIAL OFICIAL (Categoria)
- OFICIAL Sensível
- Apenas Destinatários Confidenciais OFICIAIS
As etiquetas com estas configurações aplicadas devem ser publicadas apenas para os utilizadores que necessitem dessas capacidades.
O Microsoft Purview é capaz de se alinhar com o PSPF com o requisito de incluir Marcadores de Gestão de Informações (MI) e Avisos e adição de subetiquetas para cumprir requisitos organizacionais específicos. Por exemplo, um grupo de utilizadores que têm de comunicar informações "OFICIAL: Privacidade Pessoal Confidencial" com utilizadores externos pode ter uma etiqueta "OFICIAL: Privacidade Pessoal Confidencial ENCRIPTAÇÃO APENAS" publicada.
Expiração do Acesso ao Conteúdo
As opções de expiração do conteúdo permitem que a permissão aceda a itens encriptados com a etiqueta aplicada para ser negada numa data ou após um período de tempo. Esta capacidade é utilizada para garantir que os itens já não estão acessíveis a partir de um momento, independentemente do local onde residem ou das permissões que lhes foram aplicadas.
Esta opção é útil para alcançar requisitos para o acesso às informações com limite de tempo, em que as organizações governamentais precisam de fornecer acesso temporário a informações ou recursos. Estas situações estão abrangidas pela Secção 17 do PSPF 2024. Acesso aos recursos:
| Requisito | Detalhe |
|---|---|
| PSPF 2024 - 17. Acesso aos recursos – Requisito 122 | Uma avaliação de risco determina se uma pessoa tem acesso temporário a informações ou recursos classificados de segurança. |
Esta abordagem garante a necessidade de supervisão do acesso temporário e garante que o utilizador temporário só tem acesso ao que foi permitido e apenas pelo tempo necessário.
A encriptação do Azure Rights Management aplicada através da etiqueta e com a configuração de expiração de acesso permite que os itens confidenciais sejam partilhados com indivíduos ou organizações sem a necessidade de criar contas completas.
Um exemplo disso é que uma organização governamental tem um conjunto de documentos de design que precisam de ser disponibilizados a uma organização fictícia do Governo, denominada Contoso. É criada e publicada uma etiqueta com o nome "CONFIDENCIAL OFICIAL – Acesso Temp da Contoso" com permissões que concedem acesso a uma lista aprovada de endereços de e-mail da Contoso. Em seguida, uma cópia dos documentos de estrutura tem esta etiqueta aplicada, que inicia um temporizador de acesso de 30 dias. Em seguida, os documentos são partilhados com a Contoso, que pode aceder aos itens nos seus próprios sistemas até que o temporizador expire e o acesso seja revogado independentemente do local onde os itens residem.
À medida que a expiração do conteúdo é aplicada a uma etiqueta e não a permissões, são necessárias etiquetas dedicadas para o conseguir. Este e outros cenários de expiração de acesso são nichos e não são aplicáveis na maioria das organizações governamentais. Este exemplo baseia-se e expande a configuração básica do PSPF Proteção de Informações do Microsoft Purview que está a ser aplicada conforme recomendado neste guia.
Acesso offline
As opções de acesso offline permitem configurar um período de tempo em que os utilizadores podem aceder a itens sem precisarem de reautenenciar ou reautorizar as permissões do Azure Rights Management. O acesso offline é útil para garantir que, por exemplo, os ficheiros offline podem ser acedidos se uma falha de rede ou serviço. Quando esta opção está configurada, os itens continuam encriptados e as respetivas permissões são colocadas em cache em dispositivos cliente.
As organizações governamentais que implementam a encriptação geralmente optam por um período de acesso offline de três a sete dias para garantir que os utilizadores são capazes de trabalhar offline e como uma medida de mitigação de desastres.
Uma avaliação de risco do acesso em cache a itens contra o impacto da usabilidade de nenhum acesso quando os utilizadores estão a trabalhar sem acesso de rede por uma organização governamental deve ser concluída ao considerar esta abordagem.
Configuração de encriptação de etiqueta de exemplo
Observação
Estes exemplos destinam-se a demonstrar a configuração de encriptação de etiquetas com controlos operacionais proporcionais ao valor das informações, que se alinha com o PSPF 2024 Requirement 71. As organizações governamentais precisam de concluir a sua própria análise de negócio, avaliação de riscos e testes antes de permitirem tal configuração.
| Rótulo de confidencialidade | Criptografia | Permissões |
|---|---|---|
| NÃO OFICIAL | - | - |
| OFICIAL | - | - |
| CONFIDENCIAL OFICIAL (Categoria) | - | - |
| OFICIAL Sensível | Atribuir permissão agora |
Todos os utilizadores e grupos na sua organização: Co-Owner Adicione domínios ou endereços de e-mail específicos: Lista de domínios externos aprovados para acesso - Cocriar |
| PROTEGIDO (Categoria) | - | - |
| PROTEGIDO | Atribuir permissão agora |
Adicionar utilizadores ou grupos: Grupo de utilizadores protegidos - Coproprietário Grupo de convidados protegidos - Cocriar |
Observação
O esquema do ASD para a Cloud Segura recomenda configurações de encriptação de etiquetas semelhantes, que podem ser vistas na configuração Controle de Acesso para etiquetas PROTEGIDAs. Por exemplo, etiqueta de confidencialidade PROTEGIDO.