Azure Private 5G Core のセキュリティ
Azure Private 5G Core を使用すると、サービス プロバイダーとシステム インテグレーターは、企業向けプライベート モバイル ネットワークを安全にデプロイおよび管理できます。 モバイル ネットワークに接続するデバイスによって使用されるネットワーク構成と SIM 構成が安全に格納されます。 この記事では、モバイル ネットワークの保護に役立つ Azure Private 5G Core で提供されるセキュリティ機能の詳細を示します。
Azure Private 5G Core は、互いに連携する次の 2 つの主なコンポーネントで構成されています。
- Azure でホストされる Azure Private 5G Core サービス - デプロイの構成と監視に使用される管理ツール。
- Azure Stack Edge デバイスでホストされるパケット コア インスタンス - エッジの場所でモバイル デバイスへの接続を提供する 5G ネットワーク機能の完全なセット。
安全なプラットフォーム
Azure Private 5G Core では、セキュリティで保護されたプラットフォームである Azure Stack Edge にパケット コア インスタンスをデプロイする必要があります。 Azure Stack Edge のセキュリティの詳細については、「Azure Stack Edge のセキュリティとデータ保護」を参照してください。
保存時の暗号化
Azure Private 5G Core サービスでは、SIM 資格情報を含め、すべてのデータが安全に保存されます。 Microsoft が管理する、プラットフォームで管理された暗号化キーを使用して、保存データの暗号化が提供されます。 保存時の暗号化は、SIM グループを作成するときに既定で使用されます。
Azure Private 5G Core パケット コア インスタンスは、データの保護が処理される Azure Stack Edge デバイスにデプロイされます。
保存時のカスタマー マネージド キー暗号化
Microsoft マネージド キー (MMK) を使用した既定の保存時の暗号化に加えて、任意でカスタマー マネージド キー (CMK) を使用して自分のキーでデータを暗号化できます。
CMK の使用を選択する場合、Azure Key Vault でキー URI を作成し、かつ、キーの読み取り、ラップ、ラップ解除のアクセスを付けてユーザー割り当て ID を作成する必要があります。 以下の点に注意してください。
- このキーには、アクティベーション/有効期限を与えるように構成する必要があります。Azure Key Vault で暗号化キー自動ローテーションを構成することをお勧めします。
- SIM グループは、ユーザー割り当て ID を介してキーにアクセスします。
CMK を構成する方法の詳細については、カスタマー マネージド キーの構成に関する記事を参照してください。
Azure Policy を使用して、SIM グループに CMK を使用することを強制できます。 詳しくは、「Azure Private 5G Core の Azure Policy の定義」を参照してください。
重要
SIM グループの作成後は、暗号化の種類を変更できません。 ただし、SIM グループで CMK が使用される場合、暗号化に使用されるキーを更新できます。
書き込み専用 SIM 資格情報
Azure Private 5G Core では、SIM 資格情報への書き込み専用アクセスが提供されます。 SIM 資格情報は、UE (ユーザー機器) のネットワークへのアクセスを可能にするシークレットです。
これらの資格情報は非常に機密性が高く、Azure Private 5G Core では、サービスのユーザーによる資格情報への読み取りアクセスを許可しません (法律で要求されている場合を除く)。 十分な特権を持つユーザーは、資格情報を上書きしたり、取り消したりすることができます。
NAS 暗号化
非アクセス層 (NAS) シグナリングは、UE と AMF (5G) または MME (4G) の間で実行されます。 情報を伝送して、UE とネットワーク間のデータ プレーン接続を可能にするモビリティおよびセッション管理操作を可能にします。
パケット コアでは、NAS の暗号化と整合性の保護が実行されます。 UE 登録のとき、UE には 128 ビット キーを使用した NAS のためのセキュリティ機能が含まれます。 暗号化のために、既定では、Azure Private 5G Core で優先順に次のアルゴリズムがサポートされています。
- NEA2/EEA2: 128 ビット Advanced Encryption System (AES) 暗号化
- NEA1/EEA1: 128 ビット Snow 3G
- NEA0/EEA0: 5GS null 暗号化アルゴリズム
この構成により、UE でサポートされる最高レベルの暗号化が有効になりますが、暗号化をサポートしていない UE が引き続き許可されます。 暗号化を必須にするには、NEA0/EEA0 を禁止して、NAS 暗号化をサポートしていない UE がネットワークに登録されないようにすることができます。
パケット コア構成を変更することで、デプロイ後にこれらの設定を変更できます。
RADIUS 認証
Azure Private 5G Core は、リモート認証ダイヤルイン ユーザー サービス (RADIUS) 認証をサポートします。 ネットワーク内の RADIUS 認証、承認、アカウンティング (AAA) サーバーに接続して、ネットワークおよびセッション確立にアタッチしている UE を認証するよう、パケット コアを構成することができます。 パケット コアと RADIUS サーバー間の通信は、Azure Key Vault に格納されている共有シークレットで保護されます。 UE の既定のユーザー名とパスワードも Azure Key Vault に格納されます。 UE の国際モバイル サブスクライバー ID (IMSI) を、既定のユーザー名の代わりに使用できます。 詳細については、「RADIUS 値を収集する」を参照してください。
管理ネットワーク上の Azure Stack Edge デバイスから RADIUS サーバーに到達できる必要があります。 RADIUS は、初期認証でのみサポートされます。 アカウンティングなどのその他の RADIUS 機能はサポートされていません。
ローカル モニタリング ツールへのアクセス
TLS/SSL 証明書を使用した安全な接続
分散トレースおよびパケット コア ダッシュボードへのアクセスは、HTTPS によってセキュリティで保護されます。 独自の HTTPS 証明書を提供して、ローカル診断ツールへのアクセスを証明できます。 グローバルに知られ、信頼された証明機関 (CA) によって署名された証明書を提供すると、デプロイに追加のセキュリティが付与されます。独自の秘密キー (自己署名) によって署名された証明書を使用するよりも、このオプションをお勧めします。
ローカル監視アクセス用に独自の証明書を提供する場合は、Azure Key Vault に証明書を追加し、適切なアクセス許可を設定する必要があります。 ローカル監視アクセス用のカスタム HTTPS 証明書の構成の詳細については、「ローカル監視値を収集する」を参照してください。
サイトの作成時にローカル監視ツールへのアクセスを証明する方法を構成できます。 既存のサイトの場合は、「サイトのローカル アクセス構成を変更する」に従って、ローカル アクセス構成を変更できます。
システムから古い証明書を削除するなど、証明書を少なくとも 1 年に 1 回ローテーションする (置き換える) ことをお勧めします。 証明書の有効期限が 1 年未満の場合や、組織のポリシーで必要な場合は、証明書のローテーションを頻繁に行う必要がある場合があります。
Key Vault 証明書を生成する方法の詳細については、「証明書の作成方法」を参照してください。
アクセス認証
Microsoft Entra ID またはローカル ユーザー名とパスワードを使用して、 分散トレース およびパケット コア ダッシュボードにアクセスできます。
Microsoft Entra ID を使用すると、パスワードなしの方法を使用してネイティブに認証できるため、サインイン エクスペリエンスが簡素化され、攻撃のリスクが軽減されます。 したがって、デプロイのセキュリティを向上させるために、ローカルのユーザー名とパスワードではなく Microsoft Entra 認証を設定することをお勧めします。
ローカル監視アクセス用に Microsoft Entra ID を設定する場合は、モバイル ネットワーク サイトをデプロイした後、「ローカル監視ツール用に Microsoft Entra ID を有効にする」の手順に従う必要があります。
ローカル監視アクセス認証の構成の詳細については、「ローカル監視ツールの認証方法を選択する」を参照してください。
Azure Policy を使用して、ローカル監視アクセスに Microsoft Entra ID を使用することを強制できます。 詳しくは、「Azure Private 5G Core の Azure Policy の定義」を参照してください。
個人を特定できる情報
診断パッケージには、個人データ、顧客データ、およびサイトからのシステム生成ログが含まれる場合があります。 診断パッケージを Azure サポートに提供する場合、診断パッケージとそれに含まれるすべての情報にアクセスするためのアクセス許可を Azure サポートに明示的に付与します。 自社のプライバシー ポリシーと契約の下でこれが許容できることを確認する必要があります。