Proteggere le comunicazioni e-mail è essenziale per la fiducia digitale, ma scegliere il metodo di crittografia appropriato può essere complicato. Questo articolo esamina due standard di crittografia e-mail: Microsoft Purview Message Encryption e Secure/Multipurpose Internet Mail Extensions (S/MIME).
Entrambi gli standard proteggono i contenuti delle email, ma differiscono nell’architettura di crittografia, nella gestione delle chiavi e nell’esperienza utente. Comprendere queste differenze aiuta i team IT a determinare l’approccio migliore per proteggere i vari livelli di dati sensibili.
Microsoft Purview Message Encryption è un servizio basato su cloud basato su Azure Rights Management (Azure RMS). Integra la crittografia con criteri di identità e autorizzazione.
MS Purview pone l’accento sul controllo degli accessi. Quando un’e-mail soddisfa criteri specifici, ad esempio la selezione di “Crittografia” da parte di un utente o l’attivazione di una regola del flusso di posta, il servizio protegge il messaggio utilizzando chiavi di Azure specifiche del tenant. I mittenti possono anche applicare criteri di gestione dei diritti, tra cui “Non inoltrare” o “Solo crittografia”.
MS Purview è utile perché è facile da usare. Gli utenti interni possono utilizzarlo senza problemi e i destinatari esterni ricevono i messaggi tramite un portale web sicuro o verificando la propria identità con servizi come Google o Microsoft. Poiché le chiavi di crittografia sono gestite dal tenant o da Microsoft, MS Purview non offre una vera crittografia end-to-end. Il fornitore di servizi può comunque decrittografare tecnicamente i contenuti, se necessario per l’elaborazione.
Una delle principali preoccupazioni per le aziende è che Microsoft ha sede negli Stati Uniti. Le agenzie governative statunitensi possono richiedere l’accesso alle chiavi di crittografia in base a leggi come il Patriot Act. Se le autorità ottenessero queste chiavi, gli utenti potrebbero perdere l’accesso alle proprie email crittografate.
Il CLOUD Act statunitense impone a Microsoft di seguire le disposizioni valide del governo statunitense per i dati dei clienti, anche se i dati sono archiviati al di fuori degli Stati Uniti o se i clienti utilizzano BYOK. Ciò significa che Microsoft potrebbe dover fornire contenuti decrittografati, se possibile, poiché ha comunque accesso ai servizi anche quando i clienti utilizzano le proprie chiavi. I critici sottolineano che il BYOK protegge dai furti da parte degli inquilini, ma non impedisce le citazioni in giudizio. Per una migliore protezione, i clienti dovrebbero utilizzare Hold Your Own Key (HYOK) o scegliere provider non statunitensi, sebbene HYOK possa limitare alcune funzionalità.
Sebbene alcune organizzazioni possano considerarlo un vantaggio, può rappresentare un problema per coloro che desiderano il pieno controllo delle proprie chiavi di crittografia. Considerati gli attuali problemi geopolitici, questo rischio potrebbe compromettere seriamente le operazioni aziendali.
S/MIME è uno standard aperto basato su un’infrastruttura a chiave pubblica (PKI). A differenza dell’approccio basato su tenant di MS Purview, S/MIME utilizza coppie di chiavi pubbliche e private univoche per ciascun utente.
Questo standard fornisce due proprietà di sicurezza critiche:
La scelta tra MS Purview e S/MIME dipende dalla priorità data al controllo centralizzato o alla garanzia crittografica.
Per utilizzare MS Purview, è necessario un piano Microsoft 365 idoneo, ad esempio:
Questi piani includono Azure Rights Management, che il tenant può abilitare. Non è richiesto alcun software aggiuntivo per i dispositivi degli utenti. Gli utenti interni accedono alla posta elettronica crittografata direttamente in Outlook, mentre i destinatari esterni utilizzano un portale web sicuro.
Per gli abbonamenti di livello inferiore, come Exchange Online Piano 1/2, Microsoft 365 Business Basic/Standard o Office 365 F1/E1/F3, è necessario acquistare un componente aggiuntivo, come Azure Information Protection Piano 1 o il componente aggiuntivo Microsoft Purview Message Encryption, per abilitare questa funzionalità.
Le organizzazioni senza MS Purview o il componente aggiuntivo Azure Information Protection Plan 1 non possono inviare e-mail crittografate con questa funzionalità. Gli utenti non vedranno l’opzione “Crittografa” in Outlook o OWA e le regole del flusso di posta non applicheranno la crittografia.
Gli utenti interni possono comunque ricevere e visualizzare le email crittografate con MS Purview da mittenti esterni in Outlook. La decrittazione dipende dal tenant RMS del mittente e dall’autenticazione del destinatario.
Per utilizzare S/MIME, è necessario quanto segue:
Il certificato di ogni utente deve essere installato nel proprio client di posta elettronica, come Outlook, o tramite un plugin. Gli utenti possono scegliere quando crittografare o firmare i messaggi o impostare la crittografia come predefinita. I destinatari devono utilizzare un client di posta elettronica compatibile con S/MIME e disporre di un proprio certificato per decrittografare i messaggi. Non viene utilizzato alcun portale web.
Poiché l’automazione è ormai essenziale per gestire la continua riduzione dei periodi di validità di SSL/TLS, è anche fondamentale per sfruttare appieno i vantaggi in termini di sicurezza di S/MIME senza ulteriori oneri amministrativi.
KeyTalk CKMS (Certificate and Key Management System) trasforma S/MIME da un’attività ad alta manutenzione in una soluzione scalabile e automatizzata. KeyTalk elimina le tradizionali sfide di S/MIME automatizzando l’intero ciclo di vita del certificato, inclusi emissione, rinnovo e revoca.
KeyTalk CKMS affronta le sfide tecnologiche e operative spesso associate all’adozione di S/MIME, semplificando l’implementazione e l’automazione di un’architettura S/MIME completa in qualsiasi organizzazione.
Per le organizzazioni che richiedono un’identità altamente sicura e una crittografia end-to-end effettiva, S/MIME rimane lo standard di riferimento. Adottando soluzioni di gestione automatizzate, i team IT possono implementare questi rigorosi standard di sicurezza evitando le insidie operative della gestione manuale dei certificati.
Questo articolo del blog ha esaminato Microsoft Purview Message Encryption e Secure/Multipurpose Internet Mail Extensions (S/MIME) per la crittografia delle email. Entrambi proteggono i contenuti delle email, ma utilizzano tecnologie, metodi di crittografia, autenticazione e modelli di attendibilità diversi. Variano anche nel modo in cui vengono percepiti dagli utenti, nella facilità di configurazione e nella loro efficacia nelle diverse organizzazioni.
MS Purview si basa su Azure Rights Management (Azure RMS), semplificandone la configurazione e l’utilizzo con Microsoft 365. Tuttavia, non offre la crittografia end-to-end completa, poiché Microsoft può comunque accedere ai messaggi. Alla luce di eventuali sviluppi geopolitici, questa soluzione dovrebbe essere attentamente riconsiderata, poiché le agenzie governative potrebbero avere accesso a qualsiasi informazione e-mail sensibile e quindi influire sulle operazioni aziendali.
S/MIME utilizza un’infrastruttura a chiave pubblica (PKI) per fornire una crittografia più efficace e firme digitali, ma è più difficile da gestire e sia il mittente che il destinatario devono utilizzare certificati.
di KeyTalk semplifica l’utilizzo di S/MIME automatizzando la gestione dei certificati, semplificando l’installazione e la configurazione, supportando i destinatari esterni e contribuendo a migliorare la sicurezza e la conformità.
——-
Hai domande su questo articolo o su come KeyTalk CKMS ti aiuta a semplificare la gestione e l’automazione dei certificati digitali? Il nostro team di supporto è disponibile 24 ore su 24, 7 giorni su 7 per assisterti e guidarti nell’implementazione di un’architettura PKI completamente automatizzata, contattandoci via e-mail o tramite la nostra pagina dei contatti .
Il team KeyTalk
