보안 고려 사항

이 문서에서는 Secure Mail 보안 고려 사항과 데이터 보안 개선을 위해 사용할 수 있는 특정 설정에 대해 설명합니다.

Microsoft IRM 및 AIP 전자 메일 권한 보호 지원

Android 및 iOS용 Secure Mail은 Microsoft IRM(정보 권한 관리) 및 AIP(Azure Information Protection) 솔루션으로 보호되는 메시지를 지원합니다. 이 지원은 Citrix Endpoint Management에 구성된 IRM 정책에 따라 제공됩니다.

IRM을 사용하는 조직에서는 이 기능을 사용하여 메시징 콘텐츠에 보호를 적용할 수 있습니다. 또한 모바일 장치 사용자는 기능을 사용하여 권한으로 보호되는 콘텐츠를 만들고 사용할 수 있습니다. 기본적으로 IRM 지원은 꺼짐으로 설정되어 있습니다. IRM 지원을 사용하도록 설정하려면 IRM(정보 권한 관리) 정책을 켜짐으로 설정합니다.

Secure Mail에서 정보 권한 관리를 사용하려면

  1. Endpoint Management에 로그온하고 구성 > 으로 이동한 다음 추가를 클릭합니다.
  2. 앱 추가 화면에서 MDX를 클릭합니다.
  3. 앱 정보 화면에서 앱 세부 정보를 입력하고 다음을 클릭합니다.
  4. 장치 OS 에 따라 .mdx 파일을 선택하고 업로드합니다.
  5. 앱 설정에서 정보 권한 관리를 사용하도록 설정합니다. 정보 권한 관리 사용

참고:

iOS와 Android 둘 모두에서 정보 권한 관리를 사용하도록 설정합니다.

권한으로 보호되는 전자 메일을 수신하는 경우

보호되는 콘텐츠가 포함된 메일을 수신하면 다음 화면이 표시됩니다. Secure Mail IRM Restrictions(Secure Mail IRM 제한 사항)

사용자에게 부여될 수 있는 권한에 대한 세부 정보를 보려면 세부 정보를 누릅니다. Secure Mail IRM 세부 정보

권한으로 보호된 전자 메일을 작성하는 경우

사용자는 메일을 작성할 때 제한 프로필을 설정하여 전자 메일 보호를 사용하도록 설정할 수 있습니다.

전자 메일에 대한 제한을 설정하려면:

  1. Secure Mail에 로그인하고 작성 아이콘을 누릅니다.
  2. 작성 화면에서 Email Restriction(전자 메일 제한) 아이콘을 누릅니다.

    Secure Mail 전자 메일 작성

  3. 제한 프로필 화면에서 전자 메일에 적용할 제한을 누르고 뒤로를 클릭합니다.

    Secure Mail 제한 프로필

    적용된 제한이 제목 필드 아래에 나타납니다.

    Secure Mail 적용된 제한

일부 조직에서는 IRM 정책을 엄격히 준수할 것을 요구할 수 있습니다. Secure Mail에 액세스하는 사용자가 Secure Mail, 운영 체제 또는 하드웨어 플랫폼을 변조하여 IRM 정책을 우회하려고 시도할 수 있습니다.

Endpoint Management가 특정 공격을 탐지할 수는 있지만, 보안 향상을 위해 다음과 같은 예방 조치를 고려하십시오.

  • 장치 공급업체가 제공하는 보안 지침을 검토합니다.
  • Endpoint Management 기능 또는 다른 기능을 사용하여 지침에 따라 장치를 구성합니다.
  • Secure Mail 등에 대해 IRM 기능을 적절히 사용할 수 있도록 사용자에게 지침을 제공합니다.
  • 이러한 유형의 공격에 대항하기 위해 추가적인 타사 보안 소프트웨어를 배포합니다.

전자 메일 보안 분류

iOS 및 Android용 Secure Mail은 전자 메일 분류 표시를 지원하여 사용자가 전자 메일을 보낼 때 SEC(보안) 및 DLM(Dissemination Limiting Marker)을 지정할 수 있게 합니다. SEC 표시에는 Protected, Confidential 및 Secret이 포함됩니다. DLM에는 Sensitive, Legal 또는 Personal이 포함됩니다. 전자 메일을 작성할 때 Secure Mail 사용자는 다음 이미지와 같이 표시를 선택하여 전자 메일의 분류 수준을 나타낼 수 있습니다.

Secure Mail에서의 보안 분류 링크

Secure Mail에서의 보안 분류 목록

받는 사람은 전자 메일 제목에서 분류 표시를 볼 수 있습니다. 예:

  • 제목: Planning [SEC = PROTECTED, DLM = Sensitive]
  • 제목: Planning [DLM = Sensitive]
  • 제목: Planning [SEC = UNCLASSIFIED]

전자 메일 헤더에는 Internet Message Header Extension으로서 분류 표시가 포함되며, 이 예에서는 분류 표시가 굵은 텍스트 표시되어 있습니다.

Date: Fri, 01 May 2015 12:34:50 +530

제목: Planning [SEC = PROTECTED, DLM = Sensitive]

Priority: normal

X-Priority: normal X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

From: operations@example.com

받는 사람 : 팀 <mylist@example.com>

MIME-Version: 1.0 Content-Type: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

Secure Mail은 분류 표시를 표시하기만 합니다. 이 앱은 이러한 표시에 기반하여 조치를 취하지는 않습니다.

분류 표시가 있는 전자 메일에 대해 사용자가 회신하거나 해당 전자 메일을 사용자가 전달하는 경우, SEC 및 DLM 값은 원본 전자 메일의 표시로 기본 설정됩니다. 사용자는 다른 표시를 선택할 수 있습니다. Secure Mail은 이러한 변경 사항이 원본 전자 메일과 비교하여 유효한지 여부를 검사하지 않습니다.

전자 메일 분류 표시는 다음 MDX 정책을 통해 구성합니다.

  • 전자 메일 분류: 켜짐인 경우, Secure Mail은 SEC 및 DLM을 사용할 수 있도록 전자 메일 분류 표시를 지원합니다. 분류 표시는 전자 메일 헤더에서 “X-Protective-Marking” 값으로 나타납니다. 관련 전자 메일 분류 정책을 구성해야 합니다. 기본값은 꺼짐입니다.

  • 전자 메일 분류 네임스페이스: 사용되는 분류 표준에 따라 전자 메일 헤더에 필요한 분류 네임스페이스를 지정합니다. 예를 들어 네임스페이스 “gov.au”는 헤더에서 “NS=gov.au”로 표시됩니다. 기본값은 비어 있습니다.

  • 전자 메일 분류 버전: 사용되는 분류 표준에 따라 전자 메일 헤더에 필요한 분류 버전을 지정합니다. 예를 들어 버전 “2012.3”은 헤더에서 “VER=2012.3”으로 나타납니다. 기본값은 비어 있습니다.

  • 기본 전자 메일 분류: 사용자가 표시를 선택하지 않을 경우 Secure Mail이 전자 메일에 적용할 보호 표시를 지정합니다. 전자 메일 분류 표시 정책 목록에 이 값이 있어야 합니다. 기본값은 UNOFFICIAL입니다.

  • 전자 메일 분류 표시: 사용자에게 제공할 분류 표시를 지정합니다. 이 목록이 비어 있으면 Secure Mail이 보호 표시 목록을 포함하지 않습니다. 표시 목록에는 세미콜론으로 구분된 값 쌍이 들어 있습니다. 각 쌍에는 Secure Mail에 나타나는 목록 값과 Secure Mail의 전자 메일 제목 및 헤더에 추가되는 텍스트인 표시 값이 포함되어 있습니다. 예를 들어, 표시 쌍이 “UNOFFICIAL,SEC=UNOFFICIAL;”인 경우 목록 값은 “UNOFFICIAL”이고 표시 값은 “SEC=UNOFFICIAL”입니다.

기본값은 분류 표시 목록이며 수정할 수 있습니다. 다음 표시가 Secure Mail과 함께 제공됩니다.

  • UNOFFICIAL,SEC=UNOFFICIAL
  • UNCLASSIFIED, SEC = UNCLASSIFIED
  • For Official Use Only,DLM=For-Official-Use-Only
  • Sensitive,DLM=Sensitive
  • Sensitive:Legal,DLM=Sensitive:Legal
  • Sensitive:Personal,DLM=Sensitive:Personal
  • PROTECTED,SEC=PROTECTED
  • PROTECTED+Sensitive,SEC=PROTECTED
  • PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
  • PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
  • PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
  • CONFIDENTIAL,SEC=CONFIDENTIAL
  • CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
  • CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
  • CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
  • CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
  • SECRET,SEC=SECRET
  • SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
  • SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
  • SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
  • SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
  • TOP-SECRET,SEC=TOP-SECRET
  • TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
  • TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
  • TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
  • TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet

iOS 데이터 보호

ASD(Australian Signals Directorate) 데이터 보호 요구 사항을 충족해야 하는 기업은 Secure Mail 및 Secure Web에 iOS 데이터 보호 사용 정책을 사용할 수 있습니다. 기본적으로 이 정책은 꺼짐으로 설정되어 있습니다.

Secure Web에서 iOS 데이터 보호 사용켜짐으로 설정되어 있으면 Secure Web은 샌드박스의 모든 파일에 대해 클래스 A 보호 수준을 사용하게 됩니다. Secure Mail 데이터 보호에 대한 자세한 내용은 Australian Signals Directorate 데이터 보호를 참조하십시오. 이 정책이 사용되도록 설정한 경우 최고 수준의 데이터 보호 클래스가 사용되므로 최소 데이터 보호 클래스 정책을 함께 지정할 필요는 없습니다.

iOS 데이터 보호 사용 정책을 변경하려면

  1. Endpoint Management 콘솔을 사용하여 Secure Web 및 Secure Mail MDX 파일을 Endpoint Management로 로드합니다. 새 앱의 경우 구성 > 앱 > 추가로 이동한 후 MDX를 클릭합니다. 업그레이드는 MDX 또는 엔터프라이즈 앱 업그레이드를 참조하십시오.

  2. Secure Mail의 경우, 설정으로 이동하고 iOS 데이터 보호 사용 정책을 찾은 후 켜짐으로 설정합니다. 이전 운영 체제 버전을 실행하는 장치는 이 정책을 사용하도록 설정하여도 영향을 받지 않습니다.

  3. Secure Web의 경우, 설정으로 이동하고 iOS 데이터 보호 사용 정책을 찾은 후 켜짐으로 설정합니다. 이전 운영 체제 버전을 실행하는 장치는 이 정책을 사용하도록 설정하여도 영향을 받지 않습니다.

  4. 앱 정책을 평소대로 구성하고 설정을 저장하여 앱을 Endpoint Management 앱 스토어에 배포합니다.

Australian Signals Directorate 데이터 보호

Secure Mail은 ASD 컴퓨터 보안 요구 사항을 충족해야 하는 기업을 위해 Australian Signals Directorate 데이터 보호를 지원합니다. 기본적으로 iOS 데이터 보호 사용 정책은 꺼짐으로 설정되고 Secure Mail은 Class C 데이터 보호를 제공하거나 프로비전 프로필에 설정된 데이터 보호를 사용합니다.

이 정책이 켜짐인 경우, Secure Mail은 앱 샌드박스에서 파일을 생성하거나 열 때 보호 수준을 지정합니다. Secure Mail은 다음에 대해 Class A 데이터 보호를 설정합니다.

  • 보낼 편지함 항목
  • 카메라 또는 카메라 롤의 사진
  • 다른 앱에서 붙여 넣은 이미지
  • 다운로드한 첨부 파일

Secure Mail은 다음에 대해 Class B 데이터 보호를 설정합니다.

  • 저장된 메일
  • 일정 항목
  • 연락처
  • ActiveSync 정책 파일

Class B 보호는 잠긴 장치가 동기화될 수 있게 하고 다운로드 시작 후에 장치가 잠긴 경우에도 다운로드가 완료될 수 있게 합니다.

데이터 보호를 사용하도록 설정된 상태에서는 파일을 열 수 없으므로 장치가 잠겨 있으면 대기열에 있는 보낼 편지함 항목이 보내지지 않습니다. 또한 장치가 잠겨 있을 때 장치에서 Secure Mail을 종료했다가 재시작하면 장치가 잠금 해제되고 Secure Mail이 시작될 때까지는 Secure Mail이 동기화될 수 없습니다.

이 정책을 사용 설정하는 경우, Citrix에서는 Class C 데이터 보호가 적용되는 로그 파일이 생성되지 않아야 할 때에만 Secure Mail을 사용하도록 설정하기를 권장합니다.

화면 콘텐츠 가리기

Android 및 iOS용 Secure Mail은 앱이 백그라운드로 전환될 때 화면을 가리는 기능을 지원합니다. 이 기능은 사용자 개인 정보를 강화하고 민감한 데이터를 보호하며 권한 없는 액세스를 방지합니다. iOS 또는 Android 장치에서 Secure Mail에서 이 기능을 사용하도록 설정하려면 다음 섹션을 참조하십시오.

iOS 장치의 경우:

  1. 관리자 자격 증명을 사용하여 Citrix Endpoint Management 콘솔에 로그인합니다.
  2. 구성 > > MDX로 이동합니다.
  3. 플랫폼 섹션에서 iOS 옵션을 선택합니다.
  4. 앱 제한 섹션에서 화면 콘텐츠 가리기 옵션을 활성화합니다.

    iOS CEM 콘솔 화면 콘텐츠 가리기

화면 콘텐츠 가리기 옵션을 활성화하면 앱이 백그라운드로 전환될 때 Secure Mail에 회색 화면이 표시됩니다.

iOS GIF 화면 콘텐츠 가리기

Android 장치의 경우:

Secure Mail 앱 콘텐츠를 가리려면 화면 캡처를 제한하는 데 사용하는 정책 (화면 캡처 허용 정책이라고 함) 을 사용할 수 있습니다. 또한 이 정책을 사용하지 않도록 설정하면 앱이 백그라운드로 전환될 때 앱 콘텐츠가 가려집니다. 화면 캡처 허용 정책을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 Citrix Endpoint Management 설명서의 Android 설정을 참조하십시오.

보안 고려 사항