Azure Private 5G Core를 위한 보안
Azure Private 5G Core를 사용하면 서비스 공급자와 시스템 통합자가 기업용 프라이빗 모바일 네트워크를 안전하게 배포하고 관리할 수 있습니다. 모바일 네트워크에 연결된 디바이스에서 사용하는 네트워크 구성 및 SIM 구성을 안전하게 저장합니다. 이 문서에는 모바일 네트워크를 보호할 수 있도록 하는 Azure Private 5G Core에서 제공하는 보안 기능에 대한 세부 정보가 나열되어 있습니다.
Azure Private 5G Core는 서로 상호 작용하는 두 가지 주요 구성 요소로 구성됩니다.
- Azure에서 호스트되는 Azure Private 5G Core 서비스 - 배포를 구성하고 모니터링하는 데 사용되는 관리 도구입니다.
- Azure Stack Edge 디바이스에서 호스트되는 패킷 코어 인스턴스 - 에지 위치에서 모바일 디바이스에 대한 연결을 제공하는 5G 네트워크 함수의 전체 집합입니다.
보안 플랫폼
Azure Private 5G Core를 사용하려면 보안 플랫폼인 Azure Stack Edge에 패킷 코어 인스턴스를 배포해야 합니다. Azure Stack Edge 보안에 대한 자세한 내용은 Azure Stack Edge 보안 및 데이터 보호를 참조하세요.
미사용 데이터 암호화
Azure Private 5G Core 서비스는 SIM 자격 증명을 포함하여 유휴 상태의 모든 데이터를 안전하게 저장합니다. Microsoft에서 관리하는 플랫폼 관리 암호화 키를 사용하여 미사용 데이터 암호화를 제공합니다. 미사용 암호화는 SIM 그룹을 만들 때 기본적으로 사용됩니다.
Azure Private 5G Core 패킷 코어 인스턴스는 데이터 보호를 처리하는 Azure Stack Edge 디바이스에 배포됩니다.
미사용 고객 관리형 키 암호화
MMK(Microsoft 관리형 키)를 사용하는 기본 미사용 암호화 외에도 선택적으로 CMK(고객 관리형 키)를 사용하여 자체 키로 데이터를 암호화할 수 있습니다.
CMK를 사용하기로 선택한 경우 Azure Key Vault에 키 URI를 만들고 키에 대한 읽기, 래핑 및 래핑 해제 액세스 권한이 있는 사용자 할당 ID를 만들어야 합니다. 다음 사항에 유의합니다.
- 키는 활성화 및 만료 날짜를 갖도록 구성해야 하며 Azure Key Vault에서 암호화 키 자동 회전을 구성하는 것이 좋습니다.
- SIM 그룹은 사용자 할당 ID를 통해 키에 액세스합니다.
CMK 구성에 대한 자세한 내용은 고객 관리형 키 구성을 참조하세요.
Azure Policy를 사용하여 SIM 그룹에 CMK를 사용하도록 적용할 수 있습니다. 자세한 내용은 Azure Private 5G Core에 대한 Azure Policy 정의를 참조하세요.
Important
SIM 그룹이 만들어지면 암호화 형식을 변경할 수 없습니다. 그러나 SIM 그룹이 CMK를 사용하는 경우 암호화에 사용되는 키를 업데이트할 수 있습니다.
쓰기 전용 SIM 자격 증명
Azure Private 5G Core는 SIM 자격 증명에 대한 쓰기 전용 액세스를 제공합니다. SIM 자격 증명은 UE(사용자 장비)가 네트워크에 액세스할 수 있도록 하는 비밀입니다.
이러한 자격 증명은 매우 중요하므로 Azure Private 5G Core는 법에서 요구하는 경우를 제외하고 서비스 사용자가 자격 증명에 대한 읽기 권한을 허용하지 않습니다. 충분한 권한이 있는 사용자는 자격 증명을 덮어쓰거나 해지할 수 있습니다.
NAS 암호화
NAS(비 액세스 계층) 시그널링은 UE와 AMF(5G) 또는 MME(4G) 사이에서 실행됩니다. UE와 네트워크 간의 데이터 평면 연결을 가능하게 하는 모바일 및 세션 관리 작업을 허용하는 정보를 전달합니다.
패킷 코어는 NAS의 암호화 및 무결성 보호를 수행합니다. UE 등록 중에 UE에는 128비트 키를 사용하는 NAS에 대한 보안 기능이 포함됩니다. 암호화의 경우 기본적으로 Azure Private 5G Core는 선호도에 따라 다음 알고리즘을 지원합니다.
- NEA2/EEA2: 128비트 AES(고급 암호화 시스템) 암호화
- NEA1/EEA1: 128비트 Snow 3G
- NEA0/EEA0: 5GS null 암호화 알고리즘
이 구성은 UE가 지원하는 최고 수준의 암호화를 사용하도록 설정하는 동시에 암호화를 지원하지 않는 UE를 허용합니다. 암호화를 필수로 설정하려면 NEA0/EEA0을 허용하지 않아 NAS 암호화를 지원하지 않는 UE가 네트워크에 등록되지 않도록 할 수 있습니다.
배포 후 패킷 코어 구성을 수정하여 이러한 기본 설정을 변경할 수 있습니다.
RADIUS 인증
Azure Private 5G Core는 RADIUS(Remote Authentication Dial-In User Service) 인증을 지원합니다. 네트워크 연결 및 세션 설정 시 UE를 인증하기 위해 네트워크의 RADIUS AAA(인증, 권한 부여 및 계정) 서버에 연결하도록 패킷 코어를 구성할 수 있습니다. 패킷 코어와 RADIUS 서버 간의 통신은 Azure Key Vault에 저장된 공유 암호를 통해 보호됩니다. UE의 기본 사용자 이름과 암호도 Azure Key Vault에 저장됩니다. 기본 사용자 이름 대신 UE의 IMSI(International Mobile Subscriber Identity)를 사용할 수 있습니다. 자세한 내용은 RADIUS 값 수집을 참조하세요.
RADIUS 서버는 관리 네트워크의 Azure Stack Edge 디바이스에서 연결할 수 있어야 합니다. RADIUS는 초기 인증에만 지원됩니다. 계정과 같은 다른 RADIUS 기능은 지원되지 않습니다.
로컬 모니터링 도구 액세스
TLS/SSL 인증서를 사용하여 연결 보호
분산 추적 및 패킷 코어 대시보드에 대한 액세스는 HTTPS를 통해 보호 받습니다. 로컬 진단 도구 액세스를 인증하기 위해 자체 HTTPS 인증서를 제공할 수 있습니다. 전역적으로 알려지고 신뢰할 수 있는 CA(인증 기관)에서 서명한 인증서를 제공하면 배포에 추가 보안이 부여됩니다. 자체 프라이빗 키(자체 서명됨)로 서명된 인증서를 사용하는 이상 이 옵션을 사용하는 것이 좋습니다.
로컬 모니터링 액세스를 위해 고유한 인증서를 제공하기로 결정한 경우 Azure Key Vault 인증서를 추가하고 적절한 액세스 권한을 설정해야 합니다. 로컬 모니터링 액세스를 위한 사용자 지정 HTTPS 인증서 구성에 대한 자세한 내용은 로컬 모니터링 값 수집을 참조하세요.
사이트를 만드는 동안 로컬 모니터링 도구에 대한 액세스를 수집하는 방법을 구성할 수 있습니다. 기존 사이트의 경우 사이트의 로컬 액세스 구성 수정에 따라 로컬 액세스 구성을 수정할 수 있습니다.
시스템에서 이전 인증서를 제거하는 것을 포함하여 매년 한 번 이상 인증서를 회전(교체)하는 것이 좋습니다. 인증서가 1년 이내에 만료되거나 조직 정책에 필요한 경우 인증서를 더 자주 회전해야 할 수 있습니다.
Key Vault 인증서를 생성하는 방법에 대한 자세한 내용은 인증서 만들기 방법을 참조하세요.
액세스 인증
Microsoft Entra ID 또는 로컬 사용자 이름과 암호를 사용하여 분산 추적 및 패킷 코어 대시보드에 액세스할 수 있습니다.
Microsoft Entra ID를 사용하면 암호 없는 방법을 사용하여 기본적으로 인증하여 로그인 환경을 간소화하고 공격 위험을 줄일 수 있습니다. 따라서 배포 시 보안을 강화하려면 로컬 사용자 이름 및 암호를 통해 Microsoft Entra 인증을 설정하는 것이 좋습니다.
로컬 모니터링 액세스를 위해 Microsoft Entra ID를 설정하기로 결정한 경우 모바일 네트워크 사이트를 배포한 후 로컬 모니터링 도구용 Microsoft Entra ID 사용 단계를 따라야 합니다.
로컬 모니터링 액세스 인증 구성에 대한 자세한 내용은 로컬 모니터링 도구에 대한 인증 방법 선택을 참조하세요.
Azure Policy를 사용하면 로컬 모니터링 액세스에 Microsoft Entra ID 사용을 적용할 수 있습니다. 자세한 내용은 Azure Private 5G Core에 대한 Azure Policy 정의를 참조하세요.
개인 식별 정보
진단 패키지에는 개인 데이터, 고객 데이터 및 사이트의 시스템 생성 로그가 포함될 수 있습니다. Azure 지원에 진단 패키지를 제공하는 경우 진단 패키지 및 여기에 포함된 모든 정보에 액세스할 수 있는 Azure 지원 권한을 명시적으로 부여하게 됩니다. 사용자는 회사의 개인정보처리방침 및 계약에 따라 이것이 허용되는지 확인해야 합니다.