Considerações de segurança

Este artigo discute as considerações de segurança do Secure Mail e configurações específicas que você pode habilitar para ajudar a aumentar a segurança dos dados.

Suporte a IRM da Microsoft

O Secure Mail para Android e iOS dão suporte a mensagens protegidas com o Gerenciamento de Direitos de Informação (IRM) da Microsoft, condicionado à política de IRM configurada.

Este recurso permite que as organizações usem IRM para aplicar a proteção persistente de conteúdo de mensagens e permite aos usuários de dispositivos móveis a capacidade de criar e consumir o conteúdo protegido por IRM. Como padrão, o suporte a IRM é Desativado. Para ativar o suporte a IRM, defina a política de Gerenciamento de Direitos de Informação como Ativada.

O Secure Mail oferece suporte para os seguintes atributos de modelo:

Importante:

Os anexos não estão incluídos no suporte a IRM.

Atributo Etiqueta no Secure Mail Descrição
ContentExpiryDate Sem expiração ou a data de vencimento Permite que você limpar o corpo da mensagem e os anexos da mensagem de email quando a ContentExpiryDate tiver passado. Além disso, o Secure Mail fornece a capacidade para buscar o conteúdo do servidor.
EditAllowed Editar conteúdo Especifica se o usuário pode modificar a mensagem de email quando encaminha, responde ou responde a todos a mensagem.
ExportAllowed   Especifica se o usuário pode remover a proteção do IRM na mensagem de email.
ExtractAllowed Copiar conteúdo Especifica se o usuário pode copiar o conteúdo das mensagens de email.
ForwardAllowed Encaminhar Especifica se o usuário pode encaminhar a mensagem de email.
ModifyRecipientsAllowed Modificar destinatários Especifica se o usuário pode modificar a lista de destinatários quando encaminha ou responder à mensagem de email.
ProgrammaticAccessAllowed Enviar a outros aplicativos Especifica se o conteúdo da mensagem de email podem ser acessados por meio de programação por aplicativos de terceiros.
ReplyAllAllowed Responder a Todos Especifica se o usuário pode responder a todos os destinatários da mensagem de email original.
ReplyAllowed Responder Especifica se o usuário tem permissão para responder à mensagem de email.

Os usuários veem a seguinte tela de restrições.

Tela de restrições do Secure Mail IRM

Algumas organizações podem exigir respeito estrito à política de IRM. Usuários com acesso ao Secure Mail podem tentar ignorar a política de IRM adulterando o Secure Mail, o sistema operacional, ou até mesmo a plataforma de hardware.

Embora o Endpoint Management possa detectar determinados ataques, pense nas seguintes medidas preventivas para aumentar a segurança:

  • Revice as orientações de segurança fornecidas pelo fornecedor do dispositivo.
  • Configure os dispositivos de acordo, usando os recursos do Endpoint Management ou outros.
  • Forneça orientação para seus usuários para o uso apropriado dos recursos de IRM, incluindo o Secure Mail.
  • Implante software de segurança adicional para resistir a esse tipo de ataque.

Classificações de segurança de email

O Secure Mail para iOS e Android oferece suporte à marcação de classificação de emails, o que possibilita que os usuários especifiquem segurança (SEC) e marcadores de limitação de disseminação (DLM) ao enviar emails. As marcações SEC são Protected, Confidential e Secret. As DLM são Sensitive, Legal ou Personal. Ao redigir um email, o usuário de Secure Mail pode selecionar uma marcação para indicar o nível de classificação de email, conforme mostrado nas imagens a seguir.

Link de classificação de Segurança no Secure Mail

Lista de classificação de Segurança no Secure Mail

Os destinatários podem exibir a marcação de classificação no assunto do email. Por exemplo:

  • Assunto: Planejamento [SEC = PROTECTED, DLM = Sensitive]
  • Assunto: Planejamento [DLM = Sensitive]
  • Assunto: Planejamento [SEC = UNCLASSIFIED]

Os cabeçalhos de email contêm marcações de classificação como uma extensão de cabeçalho de mensagem de Internet, mostradas em negrito como neste exemplo:

Data: Sex, 01 de maio de 2015 12:34:50 +530

Assunto: Planejamento [SEC = PROTECTED, DLM = Sensitive]

Prioridade: normal

X-prioridade: normal X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

De: operations@example.com

Para: Team <mylist@example.com>

MIME-Version: 1.0 Content-Type: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

O Secure Mail somente exibe as marcações de classificação. O aplicativo não executa nenhuma ação com base nessas marcações.

Quando um usuário responde ou encaminha um email com marcações de classificação, os valores SEC e DLM passam para os valores do email original. O usuário pode escolher uma marcação diferente. O Secure Mail não valida essas alterações em relação ao email original.

Você pode configurar as marcações de classificação através das seguintes políticas de MDX.

  • Classificação de email: Se o valor for Ativado, o Secure Mail dará suporte a marcações de classificação de email para SEC e DLM. As marcações de classificação aparecem em cabeçalhos de email como valores “X-Protective-Marking”. Lembre-se de configurar as políticas de classificação de email correspondentes. O valor padrão é Desativado.

  • Espaço de nome de classificação de email: Especifica o espaço de nome de classificação que é necessário no cabeçalho do email pelo padrão de classificação usado. Por exemplo, o espaço de nome “gov.au” aparece no cabeçalho como “NS=gov.au”. O valor padrão é vazio.

  • Versão de classificação de email: Especifica a versão de classificação que é necessária no cabeçalho do email pelo padrão de classificação usado. Por exemplo, a versão “2012.3” aparece no cabeçalho como “VER=2012.3”. O valor padrão é vazio.

  • Classificação padrão de email: Especifica a marcação protetora que o Secure Mail aplica a um email se um usuário não escolher uma marcação. Esse valor deve estar na lista para a política Marcações de classificação de email. O valor padrão é UNOFFICIAL.

  • Marcações de classificação de email: Especifica as marcações de classificação que devem ser disponibilizadas aos usuários. Se a lista estiver vazia, o Secure Mail não inclui uma lista de marcações protetoras. A lista contém pares de marcações valor que são separados por ponto-e-vírgula. Cada par inclui o valor da lista que aparece no Secure Mail e o valor de marcação e é o texto acrescentado ao assunto do email e cabeçalho no Secure Mail. Por exemplo, no par de marcação “UNOFFICIAL,SEC=UNOFFICIAL;”, o valor da lista é “UNOFFICIAL” e o valor da marcação é “SEC=UNOFFICIAL”.

O valor padrão é uma lista de marcações de classificação que você pode modificar. As marcações a seguir são fornecidas com o Secure Mail.

  • UNOFFICIAL,SEC=UNOFFICIAL
  • UNCLASSIFIED,SEC=UNCLASSIFIED
  • For Official Use Only,DLM=For-Official-Use-Only
  • Sensitive,DLM=Sensitive
  • Sensitive:Legal,DLM=Sensitive:Legal
  • Sensitive:Personal,DLM=Sensitive:Personal
  • PROTECTED,SEC=PROTECTED
  • PROTECTED+Sensitive,SEC=PROTECTED
  • PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
  • PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
  • PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
  • CONFIDENTIAL,SEC=CONFIDENTIAL
  • CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
  • CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
  • CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
  • CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
  • SECRET,SEC=SECRET
  • SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
  • SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
  • SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
  • SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
  • TOP-SECRET,SEC=TOP-SECRET
  • TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
  • TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
  • TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
  • TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet

Proteção de dados de iOS

As empresas que devem cumprir os requisitos de proteção de dados da Australian Signals Directorate (ASD) podem usar as novas políticas de Ativar proteção de dados de iOS para o Secure Mail e o Secure Web. Por padrão, as políticas estão definidas como Desativado.

Quando Ativar proteção de dados do iOS estiver Ativa para o Secure Web, o Secure Web usa nível de proteção de Classe A para todos os arquivos na área restrita. Para obter detalhes sobre Secure Mail, consulte a proteção de dados da Australian Signals Directorate Data Protection. Se você habilitar esta política, será usada a classe de proteção de dados mais alta, portanto não é necessário especificar a política Classe de proteção de dados mínima.

Para alterar a política Ativar proteção de dados de iOS

  1. Use o console Endpoint Management para carregar os arquivos MDX do Secure Web e Secure Mail para o Endpoint Management: para um novo aplicativo, navegue até Configurar > Aplicativos > Adicionar e clique em MDX. Para obter uma atualização, consulte Atualizar aplicativos MDX ou empresariais.

  2. Para o Secure Mail, navegue até as configurações de Aplicativo, localize a política Ativar proteção de dados de iOS e defina-a como Ativada. Os dispositivos que usam versões anteriores do sistema operacional não são afetados quando esta política está ativada.

  3. Para o Secure Web, navegue até as configurações de Aplicativo, localize a política Ativar proteção de dados de iOS e defina-a como Ativada. Os dispositivos que usam versões anteriores do sistema operacional não são afetados quando esta política está ativada.

  4. Configure as políticas do aplicativo como faz habitualmente e salve suas configurações para implantar o aplicativo na loja de aplicativos do Endpoint Management.

Proteção de dados da Australian Signals Directorate

O Secure Mail dá suporte à proteção de dados do Australian Signals Directorate para as empresas que precisam atender aos requisitos de segurança de computador da ASD. Como padrão, a política Ativar a proteção de dados do iOS está Desativada e o Secure Mail oferece Classe C de proteção ou usa a proteção de dados definida no perfil de provisionamento.

Se a política estiver Ativada, o Secure Mail especifica o nível de proteção ao criar e abrir arquivos na área restrita do aplicativo. O Secure Mail define a proteção de dados da Classe A em:

  • Itens da caixa de saída
  • Fotos da câmera e do rolo de câmera
  • Imagens coladas de outros aplicativos
  • Anexos de arquivo baixados

O Secure Mail define a proteção de dados da Classe B em:

  • Emails armazenados
  • Itens de calendário
  • Contatos
  • Arquivos de política de ActiveSync

A proteção de Classe B permite que um dispositivo bloqueado e possibilita que os downloads sejam concluídos se um dispositivo for bloqueado depois de o download ter iniciado.

Com a proteção de dados ativada, os itens em fila na caixa de saída não são enviados quando um dispositivo está bloqueado porque os arquivos não podem ser abertos. E, se o dispositivo for fechado e reiniciar o Secure Mail quando um dispositivo está bloqueado, o Secure Mail não pode sincronizar até que o dispositivo seja desbloqueado e o Secure Mail seja iniciado.

A Citrix recomenda que, se você ativar esta política, deverá ativar o registro em log do Secure Mail somente quando necessário para evitar a criação de arquivos de log com Classe C de proteção de dados.