Proteção de dados no Amazon WorkMail

O modelo de responsabilidade compartilhada daAWS se aplica à proteção de dados no Amazon WorkMail. Conforme descrito nesse modelo, a AWS é responsável por proteger a infraestrutura global que executa toda a Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as Data Privacy FAQ. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Shared Responsibility Model and RGPD no Blog de segurança da AWS.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

Use uma autenticação multifator (MFA) com cada conta.
Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
Configure os logs de API e atividade do usuário com AWS CloudTrail. Para obter informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte Working with CloudTrail trails no Guia do usuário do AWS CloudTrail.
Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3.

É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo Nome. Isso vale também para quando você trabalha com o Amazon WorkMail ou outros Serviços da AWS usando console, API, AWS CLI ou os SDKs da AWS. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.

Como o Amazon WorkMail usa o AWS KMS

O Amazon WorkMail criptografa de forma transparente todas as mensagens nas caixas de correio de todas as organizações do Amazon WorkMail antes que as mensagens sejam gravadas em disco, descriptografando-as de forma transparente quando são acessadas pelos usuários. Você não pode desabilitar a criptografia. Para proteger as chaves de criptografia que protegem as mensagens, o Amazon WorkMail está integrado ao AWS Key Management Service (AWS KMS).

O Amazon WorkMail também fornece uma opção para permitir que os usuários enviem e-mails assinados ou criptografados. Este recurso de criptografia não usa o AWS KMS. Para obter mais informações, consulte Habilitar e-mails assinados ou criptografados.

Tópicos

Criptografia do Amazon WorkMail
Autorizar o uso da CMK
Contexto de criptografia do Amazon WorkMail
Monitorar a interação do Amazon WorkMail com o AWS KMS

Criptografia do Amazon WorkMail

No Amazon WorkMail, cada organização pode ter várias caixas de correio, uma para cada usuário na organização. Todas as mensagens, incluindo e-mail, calendário e itens são armazenados na caixa de correio do usuário.

Para proteger o conteúdo das caixas de correio em suas organizações do Amazon WorkMail, o Amazon WorkMail criptografa todas as mensagens de correio antes que elas sejam gravadas em disco. Nenhuma informação fornecidas pelo cliente é armazenada em texto simples.

Cada mensagem é criptografada em uma chave de criptografia dos dados exclusiva. A chave da mensagem é protegida por uma chave de caixa de correio, que é uma chave exclusiva usada apenas para essa caixa de correio. A chave de correio é criptografada sob uma chave mestra do AWS KMS cliente (CMK) para a organização que nunca deixa AWS KMS não criptografada. O diagrama a seguir mostra a relação das mensagens criptografadas, chaves de mensagem criptografada, a chave de caixa de correio criptografada e a CMK para a organização no AWS KMS.

Criptografar suas caixas de correio do Amazon WorkMail

Definir uma chave CMK da organização

Quando você cria uma organização do Amazon WorkMail, é possível selecionar uma chave mestre do cliente AWS KMS (CMK) da organização. Essa CMK protege todas as chaves de correio nessa organização.

Você pode selecionar a Chave CMK padrão gerenciada pela AWS no Amazon WorkMail ou selecionar uma Chave CMK atual gerenciada pelo cliente que você possui e gerencia. Para obter mais informações, consulte Chaves mestres do cliente (CMKs) no Guia do desenvolvedor do AWS Key Management Service. Você pode selecionar a mesma Chave CMK ou uma Chave CMK diferente para cada uma das organizações, mas não pode alterar a Chave CMK depois de selecionada.

Importante

O Amazon WorkMail é compatível apenas com Chaves CMK simétricas. Não é possível usar uma Chave CMK assimétrica. Para obter ajuda para determinar se uma Chave CMK é simétrica ou assimétrica, consulte Identificar Chaves CMK simétricas e assimétricas no AWS Key Management ServiceGuia do desenvolvedor do .

Para localizar a CMK para a sua organização, use a entrada de log do AWS CloudTrail que registra chamadas para o AWS KMS.

Uma chave de criptografia exclusiva para cada caixa de correio

Quando você cria uma caixa de correio, o Amazon WorkMail gera uma chave de criptografia simétrica Advanced Encryption Standard (AES) de 256 bits exclusiva para essa caixa de correio, conhecida como chave de caixa de correio, fora do AWS KMS. O Amazon WorkMail usa essa chave de caixa de correio para proteger as chaves de criptografia de cada mensagem na caixa de correio.

Para proteger a chave de caixa de correio, o Amazon WorkMail chama o AWS KMS para criptografá-la no CMK da organização. Ele armazena a chave de caixa de correio criptografada nos metadados da caixa de correio.

nota

O Amazon WorkMail usa uma chave de criptografia de caixa de correio simétrica para proteger chaves de mensagens. Anteriormente, o Amazon WorkMail protegia cada caixa de correio com um par de chaves assimétricas. Ele usava a chave pública para criptografar cada chave de mensagem e a chave privada para descriptografá-la. A chave de caixa correio privada era protegida pela CMK para a organização. As caixas de correio mais antigas podem usar um par de chaves de caixa de correio assimétricas. Essa alteração não afeta a segurança da caixa de correio ou suas mensagens.

Criptografar de cada mensagem

Quando uma mensagem é adicionada à caixa de correio, o Amazon WorkMail gera uma chave de criptografia simétrica AES de 256 bits exclusiva para a mensagem fora do AWS KMS. Ele usa essa chave de mensagem para criptografar a mensagem. O Amazon WorkMail criptografa a chave de mensagem na chave de caixa de correio e armazena a chave de mensagem criptografada com a mensagem. Ele criptografa a chave de caixa de correio na CMK para a organização.

Criar uma caixa de correio

Quando o Amazon WorkMail cria uma caixa de correio, ele usa o processo a seguir para preparar a caixa de correio para armazenar mensagens criptografadas.

O Amazon WorkMail gera uma chave de criptografia simétrica AES de 256 bits exclusiva para a caixa de correio fora do AWS KMS.
O Amazon WorkMail chama a operação do AWS KMS Encrypt. Ele repassa na chave de caixa de correio e o identificador da chave mestra do cliente (CMK) para a organização. O AWS KMS retorna um texto cifrado da chave de caixa de correio criptografada na CMK.
O Amazon WorkMail armazena a chave de caixa de correio criptografada com a chave de metadados.

Criptografar uma mensagem de caixa de correio

Para criptografar uma mensagem, o Amazon WorkMail usa o processo a seguir.

O Amazon WorkMail gera uma chave simétrica exclusiva do AES de 256 bits para a mensagem. Ele usa a chave de dados de texto simples e o algoritmo AES (Advanced Encryption Standard) para criptografar a mensagem fora do AWS KMS.
Para proteger a chave de mensagem na chave de caixa de correio, o Amazon WorkMail precisa descriptografar a chave de caixa de correio, que é sempre armazenada de forma criptografada.

O Amazon WorkMail chama a operação Decrypt do AWS KMS e a transmite na chave de caixa de correio criptografada. O AWS KMS usa a chave CMK da organização para descriptografar a chave de caixa de correio e retorna a chave de caixa de correio de texto simples ao Amazon WorkMail.
O Amazon WorkMail usa a chave de dados em texto simples e o algoritmo AES (Advanced Encryption Standard) para criptografar a chave de mensagem fora do AWS KMS.
O Amazon WorkMail armazena a chave de mensagem criptografada nos metadados da mensagem criptografada e, portanto, ela fica disponível para descriptografar essa mensagem.

Descriptografar uma mensagem de caixa de correio

Para descriptografar uma mensagem, o Amazon WorkMail usa o processo a seguir.

O Amazon WorkMail chama a operação Decrypt do AWS KMS e a transmite na chave de caixa de correio criptografada. O AWS KMS usa a chave CMK da organização para descriptografar a chave de caixa de correio e retorna a chave de caixa de correio de texto simples ao Amazon WorkMail.
O Amazon WorkMail usa a chave de dados em texto simples e o algoritmo AES (Advanced Encryption Standard) para descriptografar a chave de mensagem criptografada fora do AWS KMS.
O Amazon WorkMail usa a chave de mensagem em texto simples para descriptografar a mensagem criptografada.

Armazenar chaves de caixa de correio em cache

Para melhorar a performance e minimizar as chamadas para o AWS KMS, o Amazon WorkMail armazena em cache cada chave de caixa de correio de texto simples para cada cliente localmente por até um minuto. No final do período de cache, a chave de caixa de correio é removida. Se a chave de caixa de correio para esse cliente for necessária durante o período de cache, o Amazon WorkMail pode obtê-la do cache em vez de chamar o AWS KMS. A chave de caixa de correio está protegida no cache e nunca é gravada em disco em texto simples.

Autorizar o uso da CMK

Quando o Amazon WorkMail usa uma chave mestre do cliente (CMK) nas operações de criptografia, ele age em nome do administrador da caixa de correio.

Para usar a chave mestra de cliente (CMK) do AWS KMS para um segredo em seu nome, o administrador deve ter as seguintes permissões. Você pode especificar essas permissões necessárias em uma política do IAM ou uma política de chaves.

kms:Encrypt
kms:Decrypt
kms:CreateGrant

Para permitir que a chave CMK seja usada apenas para solicitações provenientes do Amazon WorkMail, você pode usar a chave de condição kms:ViaService com o valor workmail.<region>.amazonaws.com.

Também é possível usar as chaves ou valores no contexto de criptografia como condição para usar a CMK em operações criptográficas. Por exemplo, você pode usar um operador de condição de string em um documento do IAM ou de uma política de chaves, ou usar uma restrição de concessão em uma concessão.

Política de chaves para o CMK gerenciado pela AWS

A política de chave da chave CMK gerenciada pela AWS do Amazon WorkMail concede aos usuários permissão para usar a chave KMS em operações específicas apenas quando o Amazon WorkMail faz a solicitação em nome do usuário. A política de chaves não permite que nenhum usuário use a CMK diretamente.

Essa política de chaves, como as políticas de todas as chaves gerenciadas pela AWS, é estabelecida pelo serviço. Não é possível alterar a política de chave, mas é possível visualizá-la a qualquer momento. Para obter mais detalhes, consulte Visualização de uma política de chave no Guia do desenvolvedor do AWS Key Management Service.

As declarações de política na política de chaves têm os seguintes efeitos:

Permita que usuários na conta e região usem a chave CMK em operações de criptografia e na criação de concessões, mas apenas quando a solicitação provém do Amazon WorkMail em seu nome. A chave de condição kms:ViaService impõe essa restrição.
Permite que a conta da AWS crie políticas do IAM, permitindo que os usuários visualizem as propriedades da chave CMK e revoguem concessões.

Confira a seguir uma política de chave de um exemplo de chave CMK gerenciada pela AWS no Amazon WorkMail.

Usar concessões para autorizar o Amazon WorkMail

Além de políticas de chave, o Amazon WorkMail usa concessões para adicionar permissões à chave CMK em cada organização. Para visualizar as concessões na CMK em sua conta, use a operação ListGrants.

O Amazon WorkMail usa concessões para adicionar as seguintes permissões à chave CMK da organização.

Adicione a permissão kms:Encrypt para permitir que o Amazon WorkMail criptografe a chave de caixa de correio.
Adicione a permissão kms:Decrypt para permitir que o Amazon WorkMail use a chave CMK para descriptografar a chave de caixa de correio. O Amazon WorkMail requer essa permissão em uma concessão porque a solicitação para ler mensagens de caixa de correio usa o contexto de segurança do usuário que está lendo a mensagem. A solicitação não usa as credenciais da conta da AWS. O Amazon WorkMail cria essa concessão quando você seleciona uma chave CMK para a organização.

Para criar as concessões, o Amazon WorkMail chama CreateGrant em nome do usuário que criou a organização. A permissão para criar a concessão vem de política de chaves. Essa política permite que os usuários da conta chamem CreateGrant na chave CMK da organização quando o Amazon WorkMail faz a solicitação em nome de um usuário autorizado.

A política de chaves também permite que a conta raiz revogue a concessão na chave gerenciada pela AWS. No entanto, se você revogar a concessão, o Amazon WorkMail não poderá descriptografar os dados criptografados em suas caixas de correio.

Contexto de criptografia do Amazon WorkMail

Um contexto de criptografia é um conjunto de pares de chave-valor que contêm dados arbitrários não secretos. Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS vincula de forma criptográfica o contexto de criptografia aos dados criptografados. Para descriptografar os dados, é necessário passar o mesmo contexto de criptografia. Para obter mais informações, consulte Contexto de criptografia no Guia do desenvolvedor AWS Key Management Service.

O Amazon WorkMail usa o mesmo formato de contexto de criptografia em todas as operações de criptografia do AWS KMS. É possível usar o contexto de criptografia para identificar uma operação criptográfica em logs e registros de auditoria, como o AWS CloudTrail, e como uma condição para a autorização em políticas e concessões.

Em suas solicitações Encrypt e Decrypt para o AWS KMS, o Amazon WorkMail usa um contexto de criptografia em que a chave é aws:workmail:arn e o valor é o Amazon Resource Name (ARN) da organização.


"aws:workmail:arn":"arn:aws:workmail:region:account ID:organization/organization-ID"

Por exemplo, o seguinte contexto de criptografia inclui um exemplo de ARN da organização na região Europa (Irlanda) (eu-west-1).


"aws:workmail:arn":"arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"

Monitorar a interação do Amazon WorkMail com o AWS KMS

Você pode usar o AWS CloudTraile o Amazon CloudWatch Logs para rastrear as solicitações que o Amazon WorkMail envia ao AWS KMS em seu nome.

Encrypt

Quando você cria uma caixa de correio, o Amazon WorkMail gera uma chave de caixa de correio e chama o AWS KMS para criptografar a chave de caixa de correio. O Amazon WorkMail envia uma solicitação Encrypt ao AWS KMS com a chave de caixa de correio em texto simples e um identificador para a chave CMK da organização do Amazon WorkMail.

O evento que registra a operação Encrypt é semelhante ao evento de exemplo a seguir. O usuário é o serviço Amazon WorkMail. Os parâmetros incluem o ID da chave CMK (keyId) e o contexto de criptografia da organização do Amazon WorkMail. O Amazon WorkMail também transmite a chave de caixa de correio, mas isso não é registrado no log do CloudTrail.


{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-19T10:01:09Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        },
        "keyId": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d"
    },
    "responseElements": null,
    "requestID": "76e96b96-7e24-4faf-a2d6-08ded2eaf63c",
    "eventID": "d5a59c18-128a-4082-aa5b-729f7734626a",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "d08e60f1-097e-4a00-b7e9-10bc3872d50c"
}

Decrypt

Quando você adiciona, visualiza ou exclui uma mensagem de caixa de correio, o Amazon WorkMail pede ao AWS KMS para descriptografar a chave de caixa de correio. O Amazon WorkMail envia uma solicitação Decrypt ao AWS KMS com a chave de caixa de correio criptografada e um identificador para a chave CMK da organização do Amazon WorkMail.

O evento que registra a operação Decrypt é semelhante ao evento de exemplo a seguir. O usuário é o serviço Amazon WorkMail. Os parâmetros incluem a chave de caixa de correio criptografada (como um blob de texto cifrado), não registrada no log, e o contexto de criptografia da organização do Amazon WorkMail. O AWS KMS cria o ID da chave CMK a partir do texto cifrado.


{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "workmail.eu-west-1.amazonaws.com"
    },
    "eventTime": "2019-02-20T11:51:10Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "workmail.eu-west-1.amazonaws.com",
    "userAgent": "workmail.eu-west-1.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:workmail:arn": "arn:aws:workmail:eu-west-1:111122223333:organization/m-a123b4c5de678fg9h0ij1k2lm234no56"
        }
    },
    "responseElements": null,
    "requestID": "4a32dda1-34d9-4100-9718-674b8e0782c9",
    "eventID": "ea9fd966-98e9-4b7b-b377-6e5a397a71de",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333",
    "sharedEventID": "241e1e5b-ff64-427a-a5b3-7949164d0214"
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Segurança

Gerenciamento de identidade e acesso