Поделиться через

Безопасность для частного ядра 5G Azure

  • Статья

Azure Private 5G Core позволяет поставщикам услуг и интеграторам систем безопасно развертывать частные мобильные сети для предприятия и управлять ими. Он безопасно сохраняет конфигурацию сети и конфигурацию SIM, используемую устройствами, подключающимися к мобильной сети. В этой статье приводятся сведения о возможностях безопасности, предоставляемых Частным 5G Core Azure, которые помогают защитить мобильную сеть.

Azure Private 5G Core состоит из двух основных компонентов, взаимодействующих друг с другом:

  • Частная служба Azure 5G Core, размещенная в Azure, — средства управления, используемые для настройки и мониторинга развертывания.
  • Базовые экземпляры пакетов, размещенные на устройствах Azure Stack Edge, — полный набор сетевых функций 5G, которые обеспечивают подключение к мобильным устройствам в пограничном расположении.

Безопасная платформа

Azure Private 5G Core требует развертывания экземпляров ядра пакетов на безопасной платформе Azure Stack Edge. Дополнительные сведения о безопасности Azure Stack Edge см. в статье о безопасности и защите данных Azure Stack Edge.

Шифрование при хранении

Служба Azure Private 5G Core хранит все данные безопасно неактивных данных, включая учетные данные SIM. Он обеспечивает шифрование неактивных данных с помощью ключей шифрования, управляемых корпорацией Майкрософт, управляемыми платформой. Шифрование неактивных данных используется по умолчанию при создании группы SIM-карт.

На устройствах Azure Stack Edge развертываются частные экземпляры основных пакетов Azure 5G Core, которые обрабатывают защиту данных.

Шифрование ключей, управляемых клиентом, неактивных

Помимо шифрования по умолчанию с помощью ключей, управляемых Корпорацией Майкрософт (MMK), можно также использовать управляемые клиентом ключи (CMK) для шифрования данных с помощью собственного ключа.

Если вы решили использовать CMK, необходимо создать универсальный код ресурса (URI) ключа в Azure Key Vault и удостоверение , назначаемое пользователем, с помощью чтения, упаковки и отмены доступа к ключу. Обратите внимание на следующие условия.

Дополнительные сведения о настройке CMK см. в разделе "Настройка ключей, управляемых клиентом".

Вы можете использовать Политика Azure для принудительного применения cmK для групп SIM. Дополнительные сведения см. в Политика Azure определениях для Частных 5G Core Azure.

Внимание

После создания группы SIM невозможно изменить тип шифрования. Однако если группа SIM использует CMK, можно обновить ключ, используемый для шифрования.

Учетные данные SIM только для записи

Azure Private 5G Core предоставляет доступ только для записи к учетным данным SIM-карты. Учетные данные SIM — это секреты, разрешающие UEs (пользовательское оборудование) доступ к сети.

Так как эти учетные данные очень чувствительны, Частный 5G Core Azure не разрешает пользователям службы доступ на чтение учетных данных, за исключением случаев, необходимых в соответствии с законом. Достаточно привилегированные пользователи могут перезаписать учетные данные или отозвать их.

Шифрование NAS

Недоступная стратум (NAS) сигнализирует между UE и AMF (5G) или MME (4G). Она содержит сведения, позволяющие операциям управления мобильностью и сеансами, которые обеспечивают подключение плоскости данных между UE и сетью.

Ядро пакета выполняет шифрование и защиту целостности NAS. Во время регистрации UE UE включает свои возможности безопасности для NAS с 128-разрядными ключами. Для шифрования по умолчанию Частный 5G Core Azure поддерживает следующие алгоритмы в порядке предпочтения:

  • NEA2/EEA2: 128-разрядное расширенное шифрование системы шифрования (AES)
  • NEA1/EEA1: 128-разрядная версия Snow 3G
  • NEA0/EEA0: алгоритм шифрования 5GS NULL

Эта конфигурация обеспечивает высокий уровень шифрования, поддерживаемый UE, при этом разрешая UEs, которые не поддерживают шифрование. Чтобы сделать шифрование обязательным, можно запретить NEA0/EEA0, запретив UES, которые не поддерживают шифрование NAS, регистрируются в сети.

Эти настройки можно изменить после развертывания, изменив конфигурацию ядра пакета.

Проверка подлинности RADIUS

Azure Private 5G Core поддерживает проверку подлинности удаленной проверки подлинности абонентской службы пользователей (RADIUS). Вы можете настроить ядро пакета для связи с сервером RADIUS проверки подлинности, авторизации и учета (AAA) в сети для проверки подлинности UEs при подключении к сети и созданию сеансов. Обмен данными между ядром пакета и сервером RADIUS защищен общим секретом, хранящимся в Azure Key Vault. Имя пользователя и пароль по умолчанию для UEs также хранятся в Azure Key Vault. Вы можете использовать международное удостоверение подписчика UE (IMSI) вместо имени пользователя по умолчанию. Дополнительные сведения см. в разделе "Сбор значений RADIUS".

Сервер RADIUS должен быть доступен с устройства Azure Stack Edge в сети управления. RADIUS поддерживается только для начальной проверки подлинности. Другие функции RADIUS, такие как учет, не поддерживаются.

Доступ к локальным средствам мониторинга

Безопасное подключение с помощью TLS/SSL-сертификатов

Доступ к распределенным панелям трассировки и ядра пакетов обеспечивается HTTPS. Вы можете предоставить собственный сертификат HTTPS для проверки доступа к локальным средствам диагностика. Предоставление сертификата, подписанного глобально известным и доверенным центром сертификации (ЦС), обеспечивает дополнительную безопасность для развертывания; Этот параметр рекомендуется использовать сертификат, подписанный собственным закрытым ключом (самозаверяющий).

Если вы решите предоставить собственные сертификаты для доступа к локальному мониторингу, необходимо добавить сертификат в Azure Key Vault и настроить соответствующие разрешения доступа. Дополнительные сведения о настройке пользовательских сертификатов HTTPS для доступа к локальному мониторингу см. в разделе "Сбор локальных значений мониторинга".

Вы можете настроить способ проверки доступа к локальным средствам мониторинга при создании сайта. Для существующих сайтов можно изменить конфигурацию локального доступа, следуя инструкции по изменению конфигурации локального доступа на сайте.

Рекомендуется сменить (заменить) сертификаты по крайней мере один раз в год, включая удаление старых сертификатов из системы. Возможно, вам потребуется сменить сертификаты чаще, если срок их действия истекает менее чем за один год, или если политики организации требуют его.

Дополнительные сведения о создании сертификата Key Vault см. в разделе "Методы создания сертификатов".

Проверка подлинности доступа

Вы можете использовать идентификатор Microsoft Entra или локальное имя пользователя и пароль для доступа к распределенным панелям трассировки и ядра пакетов.

Идентификатор Microsoft Entra позволяет выполнять собственную проверку подлинности с помощью методов без пароля, чтобы упростить вход и снизить риск атак. Поэтому для повышения безопасности в развертывании рекомендуется настроить проверку подлинности Microsoft Entra по локальным именам пользователей и паролям.

Если вы решили настроить идентификатор Microsoft Entra для локального мониторинга, после развертывания сайта мобильной сети вам потребуется выполнить действия, описанные в разделе "Включить идентификатор Microsoft Entra" для локальных средств мониторинга.

Дополнительные сведения о настройке проверки подлинности для локального мониторинга см. в статье "Выбор метода проверки подлинности для локального мониторинга ".

Вы можете использовать Политика Azure для принудительного применения идентификатора Microsoft Entra для локального мониторинга. Дополнительные сведения см. в Политика Azure определениях для Частных 5G Core Azure.

Персональные данные

Пакеты диагностики могут включать персональные данные, данные клиента и системные журналы на сайте. При предоставлении пакета диагностика поддержка Azure вы явно предоставляете поддержка Azure разрешение на доступ к пакету диагностика и все содержащиеся в нем сведения. Убедитесь, что это допустимо в соответствии с политиками и соглашениями о конфиденциальности вашей компании.

Следующие шаги