Considerações de segurança

Este artigo discute as considerações de segurança do Secure Mail e configurações específicas que você pode habilitar para ajudar a aumentar a segurança dos dados.

Suporte à proteção de direitos de e-mail Microsoft IRM e AIP

O Secure Mail para Android e iOS dão suporte a mensagens protegidas com o Gerenciamento de Direitos de Informação (IRM) da Microsoft e a solução de Proteção de Informações do Azure (AIP). Esse suporte está sujeito à política de IRM configurada no Citrix Endpoint Management.

Esse recurso permite que as organizações que usam o IRM apliquem proteção ao conteúdo de mensagens. O recurso também permite que os usuários de dispositivos móveis sejam capazes de criar e consumir conteúdo protegido por direitos. Como padrão, o suporte a IRM é Desativado. Para ativar o suporte a IRM, defina a política de Gerenciamento de Direitos de Informação como Ativada.

Para habilitar o Gerenciamento de Direitos de Informação no Secure Mail

  1. Faça logon no Endpoint Management e navegue até Configurar > Aplicativos e clique em Adicionar.
  2. Na tela Adicionar aplicativo, clique em MDX.
  3. Na tela Informações do aplicativo, insira os detalhes do aplicativo e clique em Avançar.
  4. Com base no sistema operacional do seu dispositivo, selecione e carregue o arquivo .mdx.
  5. Ative o Gerenciamento de Direitos de Informação em Configurações do aplicativo. Ativar o Gerenciamento de Direitos de Informação

Nota:

Ative o Gerenciamento de Direitos de Informação para iOS e Android.

Quando você recebe um email protegido por direitos

Quando os usuários recebem um email com conteúdo protegido, eles veem a seguinte tela: Restrições de IRM do Secure Mail

Para ver detalhes sobre os direitos que o usuário tem, toque em Detalhes. Detalhes do IRM do Secure Mail

Quando você redige um email protegido por direitos

Quando os usuários redigem um email, eles podem definir perfis de restrição para habilitar a proteção de email.

Para definir restrições ao seu email:

  1. Faça login no Secure Mail e toque no ícone Redigir.
  2. Na tela de redação, toque no ícone Restrição de email.

    Redação de email no Secure Mail

  3. Na tela Perfis de restrição, toque nas restrições que deseja aplicar ao email e, em seguida, clique de volta.

    Perfil de restrição do Secure Mail

    As restrições aplicadas aparecem abaixo do campo de assunto.

    Restrições aplicadas ao Secure Mail

Algumas organizações podem exigir respeito estrito à política de IRM. Usuários com acesso ao Secure Mail podem tentar ignorar a política de IRM adulterando o Secure Mail, o sistema operacional, ou até mesmo a plataforma de hardware.

Embora o Endpoint Management possa detectar determinados ataques, pense nas seguintes medidas preventivas para aumentar a segurança:

  • Revice as orientações de segurança fornecidas pelo fornecedor do dispositivo.
  • Configure os dispositivos de acordo, usando os recursos do Endpoint Management ou outros.
  • Forneça orientação para seus usuários para o uso apropriado dos recursos de IRM, incluindo o Secure Mail.
  • Implante software de segurança adicional para resistir a esse tipo de ataque.

Classificações de segurança de email

O Secure Mail para iOS e Android oferece suporte à marcação de classificação de emails, o que possibilita que os usuários especifiquem segurança (SEC) e marcadores de limitação de disseminação (DLM) ao enviar emails. As marcações SEC são Protected, Confidential e Secret. As DLM são Sensitive, Legal ou Personal. Ao redigir um email, o usuário de Secure Mail pode selecionar uma marcação para indicar o nível de classificação de email, conforme mostrado nas imagens a seguir.

Link de classificação de Segurança no Secure Mail

Lista de classificação de Segurança no Secure Mail

Os destinatários podem exibir a marcação de classificação no assunto do email. Por exemplo:

  • Assunto: Planeamento [SEC = PROTECTED, DLM = Sensitive]
  • Assunto: Planeamento [DLM = Sensitive]
  • Assunto: Planeamento [SEC = UNCLASSIFIED]

Os cabeçalhos de email contêm marcações de classificação como uma extensão de cabeçalho de mensagem de Internet, mostradas em negrito como neste exemplo:

Data: Sex, 01 de maio de 2015 12:34:50 +530

Assunto: Planeamento [SEC = PROTECTED, DLM = Sensitive]

Prioridade: normal

X-prioridade: normal X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

De: operations@example.com

Para: Team <mylist@example.com>

MIME-Version: 1.0 Content-Type: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

O Secure Mail somente exibe as marcações de classificação. O aplicativo não executa nenhuma ação com base nessas marcações.

Quando um usuário responde ou encaminha um email com marcações de classificação, os valores SEC e DLM padrão passam para as marcações do email original. O usuário pode escolher uma marcação diferente. O Secure Mail não valida essas alterações em relação ao email original.

Você pode configurar as marcações de classificação através das seguintes políticas de MDX.

  • Classificação de email: Se o valor for Ativado, o Secure Mail dará suporte a marcações de classificação de email para SEC e DLM. As marcações de classificação aparecem em cabeçalhos de email como valores “X-Protective-Marking”. Lembre-se de configurar as políticas de classificação de email correspondentes. O valor padrão é Desativado.

  • Espaço de nome de classificação de email: Especifica o espaço de nome de classificação que é necessário no cabeçalho do email pelo padrão de classificação usado. Por exemplo, o espaço de nome “gov.au” aparece no cabeçalho como “NS=gov.au”. O valor padrão é vazio.

  • Versão de classificação de email: Especifica a versão de classificação que é necessária no cabeçalho do email pelo padrão de classificação usado. Por exemplo, a versão “2012.3” aparece no cabeçalho como “VER=2012.3”. O valor padrão é vazio.

  • Classificação padrão de email: Especifica a marcação protetora que o Secure Mail aplica a um email se um usuário não escolher uma marcação. Esse valor deve estar na lista para a política Marcações de classificação de email. O valor padrão é UNOFFICIAL.

  • Marcações de classificação de email: Especifica as marcações de classificação que devem ser disponibilizadas aos usuários. Se a lista estiver vazia, o Secure Mail não inclui uma lista de marcações protetoras. A lista contém pares de marcações valor que são separados por ponto-e-vírgula. Cada par inclui o valor da lista que aparece no Secure Mail e o valor de marcação e é o texto acrescentado ao assunto do email e cabeçalho no Secure Mail. Por exemplo, no par de marcação “UNOFFICIAL,SEC=UNOFFICIAL;”, o valor da lista é “UNOFFICIAL” e o valor da marcação é “SEC=UNOFFICIAL”.

O valor padrão é uma lista de marcações de classificação que você pode modificar. As marcações a seguir são fornecidas com o Secure Mail.

  • UNOFFICIAL,SEC=UNOFFICIAL
  • UNCLASSIFIED,SEC=UNCLASSIFIED
  • For Official Use Only,DLM=For-Official-Use-Only
  • Sensitive,DLM=Sensitive
  • Sensitive:Legal,DLM=Sensitive:Legal
  • Sensitive:Personal,DLM=Sensitive:Personal
  • PROTECTED,SEC=PROTECTED
  • PROTECTED+Sensitive,SEC=PROTECTED
  • PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
  • PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
  • PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
  • CONFIDENTIAL,SEC=CONFIDENTIAL
  • CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
  • CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
  • CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
  • CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
  • SECRET,SEC=SECRET
  • SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
  • SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
  • SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
  • SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
  • TOP-SECRET,SEC=TOP-SECRET
  • TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
  • TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
  • TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
  • TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet

Proteção de dados de iOS

As empresas que devem cumprir os requisitos de proteção de dados da Australian Signals Directorate (ASD) podem usar as novas políticas de Ativar proteção de dados de iOS para o Secure Mail e o Secure Web. Por padrão, as políticas estão definidas como Desativado.

Quando Ativar proteção de dados do iOS estiver Ativa para o Secure Web, o Secure Web usa nível de proteção de Classe A para todos os arquivos na área restrita. Para obter detalhes sobre a proteção de dados do Secure Mail, consulte Proteção de dados da Australian Signals Directorate. Se você habilitar esta política, será usada a classe de proteção de dados mais alta, portanto não é necessário especificar a política Classe de proteção de dados mínima.

Para alterar a política Ativar proteção de dados de iOS

  1. Use o console Endpoint Management para carregar os arquivos MDX do Secure Web e Secure Mail para o Endpoint Management: para um novo aplicativo, navegue até Configurar > Aplicativos > Adicionar e clique em MDX. Para fazer a atualização, consulte Atualizar aplicativos MDX ou empresariais.

  2. No Secure Mail, navegue até as configurações de Aplicativo, localize a política Ativar proteção de dados de iOS e defina-a como Ativada. Os dispositivos que usam versões anteriores do sistema operacional não são afetados quando esta política está ativada.

  3. No Secure Web, navegue até as configurações de Aplicativo, localize a política Ativar proteção de dados de iOS e defina-a como Ativada. Os dispositivos que usam versões anteriores do sistema operacional não são afetados quando esta política está ativada.

  4. Configure as políticas do aplicativo como faz habitualmente e salve suas configurações para implantar o aplicativo na loja de aplicativos do Endpoint Management.

Proteção de dados da Australian Signals Directorate

O Secure Mail dá suporte à proteção de dados do Australian Signals Directorate para as empresas que precisam atender aos requisitos de segurança de computador da ASD. Como padrão, a política Ativar a proteção de dados do iOS está Desativada e o Secure Mail oferece Classe C de proteção ou usa a proteção de dados definida no perfil de provisionamento.

Se a política estiver Ativada, o Secure Mail especifica o nível de proteção ao criar e abrir arquivos na área restrita do aplicativo. O Secure Mail define a proteção de dados da Classe A em:

  • Itens da caixa de saída
  • Fotos da câmera e do rolo de câmera
  • Imagens coladas de outros aplicativos
  • Anexos de arquivo baixados

O Secure Mail define a proteção de dados da Classe B em:

  • Emails armazenados
  • Itens de calendário
  • Contatos
  • Arquivos de política de ActiveSync

A proteção de Classe B permite que um dispositivo bloqueado e possibilita que os downloads sejam concluídos se um dispositivo for bloqueado depois de o download ter iniciado.

Com a proteção de dados ativada, os itens em fila na caixa de saída não são enviados quando um dispositivo está bloqueado porque os arquivos não podem ser abertos. Se o dispositivo for fechado e reiniciar o Secure Mail quando um dispositivo está bloqueado, o Secure Mail não pode sincronizar até que o dispositivo seja desbloqueado e o Secure Mail seja iniciado.

A Citrix recomenda que, se você ativar esta política, deverá ativar o registro em log do Secure Mail somente quando necessário para evitar a criação de arquivos de log com Classe C de proteção de dados.