보안 고려 사항

이 문서에서는 Secure Mail 보안 고려 사항과 데이터 보안 개선을 위해 사용할 수 있는 특정 설정에 대해 설명합니다.

Microsoft IRM 지원

Android 및 iOS용 Secure Mail은 Microsoft IRM(정보 권한 관리)으로 보호되는 메시지를 구성된 IRM 정책에 따라 지원합니다.

조직에서는 이 기능을 통해 IRM을 사용하여 메시징 콘텐츠에 대한 지속적인 보호를 적용하고 모바일 장치 사용자가 IRM으로 보호되는 콘텐츠를 만들고 소비할 수 있게 합니다. 기본적으로 IRM 지원은 꺼짐으로 설정되어 있습니다. IRM 지원을 사용하도록 설정하려면 IRM(정보 권한 관리) 정책을 켜짐으로 설정합니다.

Secure Mail은 다음과 같은 템플릿 특성을 지원합니다.

중요:

첨부 파일은 IRM 지원에 포함되지 않습니다.

특성 Secure Mail에서의 레이블 설명
ContentExpiryDate 만료 없음 또는 만료 날짜 ContentExpiryDate가 지난 경우 전자 메일 메시지의 본문 및 첨부 파일을 삭제할 수 있습니다. 또한 Secure Mail은 서버로부터 콘텐츠를 다시 가져올 수 있게 합니다.
EditAllowed 콘텐츠 편집 사용자가 메시지를 전달하거나 회신하거나 전체 회신할 때 전자 메일 메시지를 수정할 수 있는지 여부를 지정합니다.
ExportAllowed   사용자가 전자 메일 메시지에 대한 IRM 보호를 제거할 수 있는지 여부를 지정합니다.
ExtractAllowed 콘텐츠 복사 사용자가 전자 메일 메시지로부터 콘텐츠를 복사할 수 있는지 여부를 지정합니다.
ForwardAllowed 전달 사용자가 전자 메일 메시지를 전달할 수 있는지 여부를 지정합니다.
ModifyRecipientsAllowed 받는 사람 수정 사용자가 전자 메일 메시지를 전달하거나 회신할 때 받는 사람 목록을 수정할 수 있는지 여부를 지정합니다.
ProgrammaticAccessAllowed 다른 앱으로 보내기 타사 응용 프로그램이 프로그래밍 방식으로 전자 메일 메시지의 콘텐츠에 액세스할 수 있는지 여부를 지정합니다.
ReplyAllAllowed 전체 회신 사용자가 원본 전자 메일 메시지의 모든 받는 사람에게 회신할 수 있는지 여부를 지정합니다.
ReplyAllowed 회신 사용자가 전자 메일 메시지에 회신할 수 있는지 여부를 지정합니다.

사용자에게 다음과 같은 제한 화면이 표시됩니다.

Secure Mail IRM 제한 화면

일부 조직에서는 IRM 정책을 엄격히 준수할 것을 요구할 수 있습니다. Secure Mail에 액세스하는 사용자가 Secure Mail, 운영 체제 또는 하드웨어 플랫폼을 변조하여 IRM 정책을 우회하려고 시도할 수 있습니다.

Endpoint Management가 특정 공격을 탐지할 수는 있지만, 보안 향상을 위해 다음과 같은 예방 조치를 고려할 수도 있습니다.

  • 장치 공급업체가 제공하는 보안 지침을 검토합니다.
  • Endpoint Management 기능 또는 다른 기능을 사용하여 지침에 따라 장치를 구성합니다.
  • Secure Mail 등에 대해 IRM 기능을 적절히 사용할 수 있도록 사용자에게 지침을 제공합니다.
  • 이러한 유형의 공격에 대항하기 위해 추가적인 타사 보안 소프트웨어를 배포합니다.

전자 메일 보안 분류

iOS 및 Android용 Secure Mail은 전자 메일 분류 표시를 지원하여 사용자가 전자 메일을 보낼 때 SEC(보안) 및 DLM(Dissemination Limiting Marker)을 지정할 수 있게 합니다. SEC 표시에는 Protected, Confidential 및 Secret이 포함됩니다. DLM에는 Sensitive, Legal 또는 Personal이 포함됩니다. 전자 메일을 작성할 때 Secure Mail 사용자는 다음 이미지와 같이 표시를 선택하여 전자 메일의 분류 수준을 나타낼 수 있습니다.

Secure Mail에서의 보안 분류 링크

Secure Mail에서의 보안 분류 목록

받는 사람은 전자 메일 제목에서 분류 표시를 볼 수 있습니다. 예:

  • Subject: Planning [SEC = PROTECTED, DLM = Sensitive]
  • Subject: Planning [DLM = Sensitive]
  • Subject: Planning [SEC = UNCLASSIFIED]

전자 메일 헤더에는 Internet Message Header Extension으로서 분류 표시가 포함되며, 이 예에서는 분류 표시가 굵게 표시되어 있습니다.

Date: Fri, 01 May 2015 12:34:50 +530

제목 : 계획 [SEC = PROTECTED, DLM = Sensitive]

Priority: normal

X-Priority: normal X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

From: operations@example.com

받는 사람 : 팀 <mylist@example.com>

MIME-Version: 1.0 Content-Type: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

Secure Mail은 분류 표시를 표시하기만 합니다. 이 앱은 이러한 표시에 기반하여 조치를 취하지는 않습니다.

분류 표시가 있는 전자 메일에 대해 사용자가 회신하거나 해당 전자 메일을 사용자가 전달하는 경우, SEC 및 DLM 값은 원본 전자 메일의 값으로 기본 설정됩니다. 사용자는 다른 표시를 선택할 수 있습니다. Secure Mail은 이러한 변경 사항이 원본 전자 메일과 비교하여 유효한지 여부를 검사하지 않습니다.

전자 메일 분류 표시는 다음 MDX 정책을 통해 구성합니다.

  • 전자 메일 분류: 켜짐인 경우, Secure Mail은 SEC 및 DLM을 사용할 수 있도록 전자 메일 분류 표시를 지원합니다. 분류 표시는 전자 메일 헤더에서 “X-Protective-Marking” 값으로 나타납니다. 관련 전자 메일 분류 정책을 구성해야 합니다. 기본값은 꺼짐입니다.

  • 전자 메일 분류 네임스페이스: 사용되는 분류 표준에 따라 전자 메일 헤더에 필요한 분류 네임스페이스를 지정합니다. 예를 들어 네임스페이스 “gov.au”는 헤더에서 “NS=gov.au”로 표시됩니다. 기본값은 비어 있습니다.

  • 전자 메일 분류 버전: 사용되는 분류 표준에 따라 전자 메일 헤더에 필요한 분류 버전을 지정합니다. 예를 들어 버전 “2012.3”은 헤더에서 “VER=2012.3”으로 나타납니다. 기본값은 비어 있습니다.

  • 기본 전자 메일 분류: 사용자가 표시를 선택하지 않을 경우 Secure Mail이 전자 메일에 적용할 보호 표시를 지정합니다. 전자 메일 분류 표시 정책 목록에 이 값이 있어야 합니다. 기본값은 UNOFFICIAL입니다.

  • 전자 메일 분류 표시: 사용자에게 제공할 분류 표시를 지정합니다. 이 목록이 비어 있으면 Secure Mail이 보호 표시 목록을 포함하지 않습니다. 표시 목록에는 세미콜론으로 구분된 값 쌍이 들어 있습니다. 각 쌍에는 Secure Mail에 나타나는 목록 값과 Secure Mail의 전자 메일 제목 및 헤더에 추가되는 텍스트인 표시 값이 포함되어 있습니다. 예를 들어 표시 쌍 “UNOFFICIAL,SEC=UNOFFICIAL;”인 경우 목록 값은 “UNOFFICIAL”이고 표시 값은 “SEC=UNOFFICIAL”입니다.

기본값은 분류 표시 목록이며 수정할 수 있습니다. 다음 표시가 Secure Mail과 함께 제공됩니다.

  • UNOFFICIAL,SEC=UNOFFICIAL
  • UNCLASSIFIED, SEC = UNCLASSIFIED
  • For Official Use Only,DLM=For-Official-Use-Only
  • Sensitive,DLM=Sensitive
  • Sensitive:Legal,DLM=Sensitive:Legal
  • Sensitive:Personal,DLM=Sensitive:Personal
  • PROTECTED,SEC=PROTECTED
  • PROTECTED+Sensitive,SEC=PROTECTED
  • PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
  • PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
  • PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
  • CONFIDENTIAL,SEC=CONFIDENTIAL
  • CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
  • CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
  • CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
  • CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
  • SECRET,SEC=SECRET
  • SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
  • SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
  • SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
  • SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
  • TOP-SECRET,SEC=TOP-SECRET
  • TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
  • TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
  • TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
  • TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet

iOS 데이터 보호

ASD(Australian Signals Directorate) 데이터 보호 요구 사항을 충족해야 하는 기업은 Secure Mail 및 Secure Web에 iOS 데이터 보호 사용 정책을 사용할 수 있습니다. 기본적으로 이 정책은 꺼짐으로 설정되어 있습니다.

Secure Web에서 iOS 데이터 보호 사용켜짐으로 설정되어 있으면 Secure Web은 샌드박스의 모든 파일에 대해 클래스 A 보호 수준을 사용하게 됩니다. Secure Mail 데이터 보호에 대한 자세한 내용은 Australian Signals Directorate 데이터 보호를 참조하십시오. 이 정책이 사용되도록 설정한 경우 최고 수준의 데이터 보호 클래스가 사용되므로 최소 데이터 보호 클래스 정책을 함께 지정할 필요는 없습니다.

iOS 데이터 보호 사용 정책을 변경하려면

  1. Endpoint Management 콘솔을 사용하여 Secure Web 및 Secure Mail MDX 파일을 Endpoint Management로 로드합니다. 새 앱의 경우 구성 > 앱 > 추가로 이동한 후 MDX를 클릭합니다. 업그레이드는 MDX 또는 엔터프라이즈 앱 업그레이드를 참조하십시오.

  2. Secure Mail의 경우, 설정으로 이동하고 iOS 데이터 보호 사용 정책을 찾은 후 켜짐으로 설정합니다. 이전 운영 체제 버전을 실행하는 장치는 이 정책을 사용하도록 설정하여도 영향을 받지 않습니다.

  3. Secure Web의 경우, 설정으로 이동하고 iOS 데이터 보호 사용 정책을 찾은 후 켜짐으로 설정합니다. 이전 운영 체제 버전을 실행하는 장치는 이 정책을 사용하도록 설정하여도 영향을 받지 않습니다.

  4. 앱 정책을 평소대로 구성하고 설정을 저장하여 앱을 Endpoint Management 앱 스토어에 배포합니다.

Australian Signals Directorate 데이터 보호

Secure Mail은 ASD 컴퓨터 보안 요구 사항을 충족해야 하는 기업을 위해 Australian Signals Directorate 데이터 보호를 지원합니다. 기본적으로 iOS 데이터 보호 사용 정책은 꺼짐으로 설정되고 Secure Mail은 Class C 데이터 보호를 제공하거나 프로비전 프로필에 설정된 데이터 보호를 사용합니다.

이 정책이 켜짐인 경우, Secure Mail은 앱 샌드박스에서 파일을 생성하거나 열 때 보호 수준을 지정합니다. Secure Mail은 다음에 대해 Class A 데이터 보호를 설정합니다.

  • 보낼 편지함 항목
  • 카메라 또는 카메라 롤의 사진
  • 다른 앱에서 붙여 넣은 이미지
  • 다운로드한 첨부 파일

Secure Mail은 다음에 대해 Class B 데이터 보호를 설정합니다.

  • 저장된 메일
  • 일정 항목
  • 연락처
  • ActiveSync 정책 파일

Class B 보호는 잠긴 장치가 동기화될 수 있게 하고 다운로드 시작 후에 장치가 잠긴 경우에도 다운로드가 완료될 수 있게 합니다.

데이터 보호를 사용하도록 설정된 상태에서는 파일을 열 수 없으므로 장치가 잠겨 있으면 대기열에 있는 보낼 편지함 항목이 보내지지 않습니다. 또한 장치가 잠겨 있을 때 장치에서 Secure Mail을 종료했다가 재시작하면 장치가 잠금 해제되고 Secure Mail이 시작될 때까지는 Secure Mail이 동기화될 수 없습니다.

이 정책이 사용되도록 설정하는 경우, Class C 데이터 보호가 적용되는 로그 파일이 생성되지 않도록 해야 할 때에만 Secure Mail이 사용되도록 설정하는 것이 좋습니다.