Zabezpečení privátního 5G jádra Azure
Azure Private 5G Core umožňuje poskytovatelům služeb a systémovým integrátorům bezpečně nasazovat a spravovat privátní mobilní sítě pro podnik. Bezpečně ukládá konfiguraci sítě a konfiguraci SIM karty používané zařízeními připojujícími se k mobilní síti. Tento článek obsahuje podrobnosti o možnostech zabezpečení poskytovaných službou Azure Private 5G Core, které pomáhají chránit mobilní síť.
Azure Private 5G Core se skládá ze dvou hlavních komponent, které vzájemně spolupracují:
- Služba Azure Private 5G Core hostovaná v Azure – nástroje pro správu používané ke konfiguraci a monitorování nasazení.
- Základní instance paketů hostované na zařízeních Azure Stack Edge – kompletní sada síťových funkcí 5G, které poskytují připojení k mobilním zařízením v hraničním umístění.
Zabezpečená platforma
Azure Private 5G Core vyžaduje nasazení instancí jádra paketů na zabezpečenou platformu Azure Stack Edge. Další informace o zabezpečení Azure Stack Edge najdete v tématu Zabezpečení a ochrana dat ve službě Azure Stack Edge.
Šifrování neaktivních uložených dat
Služba Azure Private 5G Core ukládá všechna neaktivní uložená data bezpečně, včetně přihlašovacích údajů SIM karty. Poskytuje šifrování neaktivních uložených dat pomocí šifrovacích klíčů spravovaných platformou, které spravuje Microsoft. Šifrování neaktivních uložených dat se ve výchozím nastavení používá při vytváření skupiny SIM.
Instance jádra paketů Azure Private 5G Core se nasazují na zařízeních Azure Stack Edge, která zpracovávají ochranu dat.
Šifrování neaktivních uložených klíčů spravovaných zákazníkem
Kromě výchozího šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (MMK) můžete volitelně použít klíče spravované zákazníkem (CMK) k šifrování dat pomocí vlastního klíče.
Pokud se rozhodnete použít CMK, budete muset ve službě Azure Key Vault vytvořit identifikátor URI klíče a identitu přiřazenou uživatelem s oprávněním ke čtení, zabalení a rozbalení přístupu ke klíči. Poznámky:
- Klíč musí být nakonfigurovaný tak, aby měl datum aktivace a vypršení platnosti a doporučujeme nakonfigurovat automatickou rotaci kryptografických klíčů ve službě Azure Key Vault.
- Skupina SIM přistupuje ke klíči prostřednictvím identity přiřazené uživatelem.
Další informace o konfiguraci klíče spravovaného zákazníkem najdete v tématu Konfigurace klíčů spravovaných zákazníkem.
Azure Policy můžete použít k vynucení používání CMK pro skupiny SIM. Další informace najdete v tématu Definice azure Policy pro privátní 5G core Azure.
Důležité
Po vytvoření skupiny SIM není možné změnit typ šifrování. Pokud ale skupina SIM používá CMK, můžete klíč použitý k šifrování aktualizovat.
Přihlašovací údaje sim karty jen pro zápis
Azure Private 5G Core poskytuje přístup jen pro zápis k přihlašovacím údajům SIM karty. Přihlašovací údaje SIM jsou tajné kódy, které umožňují uživatelům přístup k síti.
Vzhledem k tomu, že jsou tyto přihlašovací údaje vysoce citlivé, Azure Private 5G Core nedovolí uživatelům služby přístup ke čtení přihlašovacích údajů, s výjimkou případů, které vyžadují zákon. Dostatečně privilegovaní uživatelé můžou přihlašovací údaje přepsat nebo je odvolat.
Šifrování NAS
Mezi UE a AMF (5G) nebo MME (4G) běží signalizace nepřístupná stratum (NAS). Přenáší informace, které umožňují operace správy mobility a relací, které umožňují připojení roviny dat mezi uživatelem a sítí.
Jádro paketů provádí šifrování a ochranu integrity NAS. Během registrace UE zahrnuje UE své možnosti zabezpečení pro NAS s 128bitovými klíči. Pro šifrování ve výchozím nastavení azure Private 5G Core podporuje následující algoritmy v pořadí podle preference:
- NEA2/EHP2: 128bitové šifrování AES (Advanced Encryption System)
- NEA1/EHP1: 128bitový Sníh 3G
- NEA0/EHP0: Šifrovací algoritmus 5GS s hodnotou null
Tato konfigurace umožňuje nejvyšší úroveň šifrování, které UE podporuje, a zároveň umožňuje uživatelská prostředí, která nepodporují šifrování. Pokud chcete šifrování nastavit jako povinné, můžete zakázat nea0/EHP0, což brání UE, které nepodporují šifrování NAS, aby se registrovali v síti.
Tyto předvolby můžete po nasazení změnit úpravou konfigurace jádra paketů.
Ověřování RADIUS
Azure Private 5G Core podporuje ověřování radius (Remote Authentication Dial-In User Service). Jádro paketů můžete nakonfigurovat tak, aby kontaktoval server protokolu RADIUS pro ověřování, autorizaci a účtování (AAA) ve vaší síti, aby ověřil uživatele v příloze k síti a zařízení relace. Komunikace mezi jádrem paketů a serverem RADIUS je zabezpečená pomocí sdíleného tajného klíče, který je uložený ve službě Azure Key Vault. Výchozí uživatelské jméno a heslo pro uživatele se také ukládají ve službě Azure Key Vault. Místo výchozího uživatelského jména můžete použít uživatelskou identitu mezinárodního mobilního předplatitele (IMSI). Podrobnosti najdete v tématu Shromažďování hodnot PROTOKOLU RADIUS.
Server RADIUS musí být dostupný ze zařízení Azure Stack Edge v síti pro správu. Protokol RADIUS je podporován pouze pro počáteční ověřování. Jiné funkce PROTOKOLU RADIUS, jako je účetnický, se nepodporují.
Přístup k místním monitorovacím nástrojům
Zabezpečené připojení pomocí certifikátů TLS/SSL
Přístup k distribuovaným řídicím panelům trasování a jádra paketů je zabezpečený protokolem HTTPS. Můžete zadat vlastní certifikát HTTPS pro ověření přístupu k místním diagnostickým nástrojům. Poskytnutí certifikátu podepsaného globálně známou a důvěryhodnou certifikační autoritou (CA) uděluje vašemu nasazení další zabezpečení; Tuto možnost doporučujeme použít certifikát podepsaný vlastním privátním klíčem (podepsaný svým držitelem).
Pokud se rozhodnete poskytnout vlastní certifikáty pro místní přístup pro monitorování, budete muset certifikát přidat do služby Azure Key Vault a nastavit příslušná přístupová oprávnění. Další informace o konfiguraci vlastníchcertifikátůch
Při vytváření webu můžete nakonfigurovat, jak se ověřuje přístup k místním monitorovacím nástrojům. U existujících lokalit můžete konfiguraci místního přístupu upravit tak, že upravíte konfiguraci místního přístupu v lokalitě.
Doporučujeme obměňovat (nahrazovat) certifikáty alespoň jednou za rok, včetně odebrání starých certifikátů z vašeho systému. Certifikáty možná budete muset obměňovat častěji, pokud vyprší po méně než jednom roce nebo pokud je vyžadují zásady organizace.
Další informace o tom, jak vygenerovat certifikát služby Key Vault, naleznete v tématu Metody vytvoření certifikátu.
Ověřování přístupu
Pro přístup k distribuovaným řídicím panelům trasování a jader paketů můžete použít Microsoft Entra ID nebo místní uživatelské jméno a heslo.
Microsoft Entra ID umožňuje nativně ověřovat pomocí metod bez hesel, což zjednodušuje přihlašování a snižuje riziko útoků. Proto pro zlepšení zabezpečení ve vašem nasazení doporučujeme nastavit ověřování Microsoft Entra přes místní uživatelská jména a hesla.
Pokud se rozhodnete nastavit MICROSOFT Entra ID pro místní přístup monitorování po nasazení mobilní síťové lokality, budete muset postupovat podle pokynů v části Povolení ID Microsoft Entra pro místní monitorovací nástroje.
Další informace o konfiguraci místního ověřování pro ověřování přístupu k místnímu monitorování najdete v tématu Volba metody ověřování ověřování pomocí místního monitorování .
Azure Policy můžete použít k vynucení použití Microsoft Entra ID pro místní přístup monitorování. Další informace najdete v tématu Definice azure Policy pro privátní 5G core Azure.
Identifikovatelné osobní údaje
Diagnostické balíčky můžou zahrnovat osobní údaje, zákaznická data a systémem generované protokoly z vašeho webu. Při poskytování diagnostického balíčku pro podpora Azure explicitně udělujete podpora Azure oprávnění pro přístup k diagnostickému balíčku a všem informacím, které obsahuje. Měli byste potvrdit, že je to přijatelné v rámci zásad a smluv o ochraně osobních údajů vaší společnosti.