Considerações de segurança
Este artigo discute as considerações de segurança do Secure Mail e configurações específicas que você pode habilitar para ajudar a aumentar a segurança dos dados.
Suporte à proteção de direitos de e-mail Microsoft IRM e AIP
O Secure Mail para Android e iOS dão suporte a mensagens protegidas com o Gerenciamento de Direitos de Informação (IRM) da Microsoft e a solução de Proteção de Informações do Azure (AIP). Esse suporte está sujeito à política de IRM configurada no Citrix Endpoint Management.
Esse recurso permite que as organizações que usam o IRM apliquem proteção ao conteúdo de mensagens. O recurso também permite que os usuários de dispositivos móveis sejam capazes de criar e consumir conteúdo protegido por direitos. Como padrão, o suporte a IRM é Desativado. Para ativar o suporte a IRM, defina a política de Gerenciamento de Direitos de Informação como Ativada.
Para habilitar o Gerenciamento de Direitos de Informação no Secure Mail
- Faça logon no Endpoint Management e navegue até Configurar > Aplicativos e clique em Adicionar.
- Na tela Adicionar aplicativo, clique em MDX.
- Na tela Informações do aplicativo, insira os detalhes do aplicativo e clique em Avançar.
- Com base no sistema operacional do seu dispositivo, selecione e carregue o arquivo .mdx.
- Ative o Gerenciamento de Direitos de Informação em Configurações do aplicativo.
Nota:
Ative o Gerenciamento de Direitos de Informação para iOS e Android.
Quando você recebe um email protegido por direitos
Quando os usuários recebem um email com conteúdo protegido, eles veem a seguinte tela:
Para ver detalhes sobre os direitos que o usuário tem, toque em Detalhes.
Quando você redige um email protegido por direitos
Quando os usuários redigem um email, eles podem definir perfis de restrição para habilitar a proteção de email.
Para definir restrições ao seu email:
- Faça login no Secure Mail e toque no ícone Redigir.
-
Na tela de redação, toque no ícone Restrição de email.
-
Na tela Perfis de restrição, toque nas restrições que deseja aplicar ao email e, em seguida, clique de volta.
As restrições aplicadas aparecem abaixo do campo de assunto.
Algumas organizações podem exigir respeito estrito à política de IRM. Usuários com acesso ao Secure Mail podem tentar ignorar a política de IRM adulterando o Secure Mail, o sistema operacional, ou até mesmo a plataforma de hardware.
Embora o Endpoint Management possa detectar determinados ataques, pense nas seguintes medidas preventivas para aumentar a segurança:
- Revice as orientações de segurança fornecidas pelo fornecedor do dispositivo.
- Configure os dispositivos de acordo, usando os recursos do Endpoint Management ou outros.
- Forneça orientação para seus usuários para o uso apropriado dos recursos de IRM, incluindo o Secure Mail.
- Implante software de segurança adicional para resistir a esse tipo de ataque.
Classificações de segurança de email
O Secure Mail para iOS e Android oferece suporte à marcação de classificação de emails, o que possibilita que os usuários especifiquem segurança (SEC) e marcadores de limitação de disseminação (DLM) ao enviar emails. As marcações SEC são Protected, Confidential e Secret. As DLM são Sensitive, Legal ou Personal. Ao redigir um email, o usuário de Secure Mail pode selecionar uma marcação para indicar o nível de classificação de email, conforme mostrado nas imagens a seguir.
Os destinatários podem exibir a marcação de classificação no assunto do email. Por exemplo:
- Assunto: Planejamento [SEC = PROTECTED, DLM = Sensitive]
- Assunto: Planejamento [DLM = Sensitive]
- Assunto: Planejamento [SEC = UNCLASSIFIED]
Os cabeçalhos de email contêm marcações de classificação como uma extensão de cabeçalho de mensagem de Internet, mostradas em negrito como neste exemplo:
Data: Sex, 01 de maio de 2015 12:34:50 +530
Assunto: Planejamento [SEC = PROTECTED, DLM = Sensitive]
Prioridade: normal
X-prioridade: normal X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com
De: operations@example.com
Para: Team <mylist@example.com>
MIME-Version: 1.0 Content-Type: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"
O Secure Mail somente exibe as marcações de classificação. O aplicativo não executa nenhuma ação com base nessas marcações.
Quando um usuário responde ou encaminha um email com marcações de classificação, os valores SEC e DLM padrão passam para as marcações do email original. O usuário pode escolher uma marcação diferente. O Secure Mail não valida essas alterações em relação ao email original.
Você pode configurar as marcações de classificação através das seguintes políticas de MDX.
-
Classificação de email: Se o valor for Ativado, o Secure Mail dará suporte a marcações de classificação de email para SEC e DLM. As marcações de classificação aparecem em cabeçalhos de email como valores “X-Protective-Marking”. Lembre-se de configurar as políticas de classificação de email correspondentes. O valor padrão é Desativado.
-
Espaço de nome de classificação de email: Especifica o espaço de nome de classificação que é necessário no cabeçalho do email pelo padrão de classificação usado. Por exemplo, o espaço de nome “gov.au” aparece no cabeçalho como “NS=gov.au”. O valor padrão é vazio.
-
Versão de classificação de email: Especifica a versão de classificação que é necessária no cabeçalho do email pelo padrão de classificação usado. Por exemplo, a versão “2012.3” aparece no cabeçalho como “VER=2012.3”. O valor padrão é vazio.
-
Classificação padrão de email: Especifica a marcação protetora que o Secure Mail aplica a um email se um usuário não escolher uma marcação. Esse valor deve estar na lista para a política Marcações de classificação de email. O valor padrão é UNOFFICIAL.
-
Marcações de classificação de email: Especifica as marcações de classificação que devem ser disponibilizadas aos usuários. Se a lista estiver vazia, o Secure Mail não inclui uma lista de marcações protetoras. A lista contém pares de marcações valor que são separados por ponto-e-vírgula. Cada par inclui o valor da lista que aparece no Secure Mail e o valor de marcação e é o texto acrescentado ao assunto do email e cabeçalho no Secure Mail. Por exemplo, no par de marcação “UNOFFICIAL,SEC=UNOFFICIAL;”, o valor da lista é “UNOFFICIAL” e o valor da marcação é “SEC=UNOFFICIAL”.
O valor padrão é uma lista de marcações de classificação que você pode modificar. As marcações a seguir são fornecidas com o Secure Mail.
- UNOFFICIAL,SEC=UNOFFICIAL
- UNCLASSIFIED,SEC=UNCLASSIFIED
- For Official Use Only,DLM=For-Official-Use-Only
- Sensitive,DLM=Sensitive
- Sensitive:Legal,DLM=Sensitive:Legal
- Sensitive:Personal,DLM=Sensitive:Personal
- PROTECTED,SEC=PROTECTED
- PROTECTED+Sensitive,SEC=PROTECTED
- PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
- PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
- PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
- CONFIDENTIAL,SEC=CONFIDENTIAL
- CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
- CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
- CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
- CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
- SECRET,SEC=SECRET
- SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
- SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
- SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
- SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
- TOP-SECRET,SEC=TOP-SECRET
- TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
- TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
- TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
- TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet
Proteção de dados de iOS
As empresas que devem cumprir os requisitos de proteção de dados da Australian Signals Directorate (ASD) podem usar as novas políticas de Ativar proteção de dados de iOS para o Secure Mail e o Secure Web. Por padrão, as políticas estão definidas como Desativado.
Quando Ativar proteção de dados do iOS estiver Ativa para o Secure Web, o Secure Web usa nível de proteção de Classe A para todos os arquivos na área restrita. Para obter detalhes sobre Secure Mail, consulte a proteção de dados da Australian Signals Directorate Data Protection. Se você habilitar esta política, será usada a classe de proteção de dados mais alta, portanto não é necessário especificar a política Classe de proteção de dados mínima.
Para alterar a política Ativar proteção de dados de iOS
-
Use o console Endpoint Management para carregar os arquivos MDX do Secure Web e Secure Mail para o Endpoint Management: para um novo aplicativo, navegue até Configurar > Aplicativos > Adicionar e clique em MDX. Para obter uma atualização, consulte Atualizar aplicativos MDX ou empresariais.
-
No Secure Mail, navegue até as configurações de Aplicativo, localize a política Ativar proteção de dados de iOS e defina-a como Ativada. Os dispositivos que usam versões anteriores do sistema operacional não são afetados quando esta política está ativada.
-
No Secure Web, navegue até as configurações de Aplicativo, localize a política Ativar proteção de dados de iOS e defina-a como Ativada. Os dispositivos que usam versões anteriores do sistema operacional não são afetados quando esta política está ativada.
-
Configure as políticas do aplicativo como faz habitualmente e salve suas configurações para implantar o aplicativo na loja de aplicativos do Endpoint Management.
Proteção de dados da Australian Signals Directorate
O Secure Mail dá suporte à proteção de dados do Australian Signals Directorate para as empresas que precisam atender aos requisitos de segurança de computador da ASD. Como padrão, a política Ativar a proteção de dados do iOS está Desativada e o Secure Mail oferece Classe C de proteção ou usa a proteção de dados definida no perfil de provisionamento.
Se a política estiver Ativada, o Secure Mail especifica o nível de proteção ao criar e abrir arquivos na área restrita do aplicativo. O Secure Mail define a proteção de dados da Classe A em:
- Itens da caixa de saída
- Fotos da câmera e do rolo de câmera
- Imagens coladas de outros aplicativos
- Anexos de arquivo baixados
O Secure Mail define a proteção de dados da Classe B em:
- Emails armazenados
- Itens de calendário
- Contatos
- Arquivos de política de ActiveSync
A proteção de Classe B permite que um dispositivo bloqueado e possibilita que os downloads sejam concluídos se um dispositivo for bloqueado depois de o download ter iniciado.
Com a proteção de dados ativada, os itens em fila na caixa de saída não são enviados quando um dispositivo está bloqueado porque os arquivos não podem ser abertos. Se o dispositivo for fechado e reiniciar o Secure Mail quando um dispositivo está bloqueado, o Secure Mail não pode sincronizar até que o dispositivo seja desbloqueado e o Secure Mail seja iniciado.
A Citrix recomenda que, se você ativar esta política, deverá ativar o registro em log do Secure Mail somente quando necessário para evitar a criação de arquivos de log com Classe C de proteção de dados.
Conteúdo de tela escurecido
O Secure Mail para Android e iOS oferece suporte ao escurecimento da tela quando o aplicativo entra em segundo plano. Esse recurso aprimora a privacidade do usuário, protege dados confidenciais e impede o acesso não autorizado. Para ativar esse recurso para o Secure Mail em dispositivos iOS ou Android, consulte as seções a seguir.
Em dispositivos iOS:
- Faça logon no console Citrix Endpoint Management usando credenciais de administrador.
- Navegue até Configurar > Aplicativos > MDX.
- Selecione a opção iOS na seção Plataforma.
-
Ative a opção Conteúdo de tela escurecido na seção Restrições de aplicativo.
Depois de ativar a opção Conteúdo de tela escurecido, o Secure Mail mostra uma tela cinza quando o aplicativo fica em segundo plano.
Em dispositivos Android:
Para escurecer o conteúdo do aplicativo Secure Mail, você pode usar a política que usamos para restringir a captura de tela, conhecida como política de Permitir captura de tela. A desativação dessa política também escurece o conteúdo do aplicativo quando ele fica em segundo plano. Para obter mais informações sobre como desativar a política Permitir captura de tela, consulte as Configurações do Android na documentação do Citrix Endpoint Management.