你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 专用 5G 核心的安全性

Azure 专用 5G 核心允许服务提供商和系统集成商安全地为企业部署和管理专用移动网络。 它安全地存储连接到移动网络的设备所使用的网络配置和 SIM 配置。 本文列出了有关 Azure 专用 5G 核心提供的有助于保护移动网络的管理功能的详细信息。

Azure 专用 5G 核心版由两个主要组件组成，这些组件相互交互：

• Azure 中托管的 Azure 专用 5G 核心服务 - 用于配置和监视部署的管理工具。
• 托管在 Azure Stack Edge 设备上的数据包核心实例 - 一组完整的 5G 网络功能，提供与边缘位置的移动设备的连接。

安全平台

Azure 专用 5G 核心需要将数据包核心实例部署到安全平台，Azure Stack Edge。 有关 Azure Stack Edge 安全性，请参阅 Azure Stack Edge 安全性和数据保护。

静态加密

Azure 专用 5G 核心服务安全地存储所有静态数据（包括 SIM 凭据）。 它使用由 Microsoft 托管的平台托管的加密密钥来提供静态数据加密。 创建 SIM 组时，默认使用静态加密。

Azure 专用 5G 核心数据包核心实例部署在处理数据保护的 Azure Stack Edge 设备上。

静态加密客户管理的密钥

除了使用 Microsoft 管理的密钥 (MMK) 进行默认的静态加密之外，还可以选择使用客户管理的密钥 (CMK) 通过自己的密钥加密数据。

如果选择使用 CMK，则必须在 Azure 密钥保管库中创建密钥 URI，以及具有对密钥的读取、包装和解包访问权限的用户分配的标识。 请注意：

• 密钥必须配置激活和过期日期，建议在 Azure 密钥保管库中配置加密密钥自动轮换。
• SIM 组通过用户分配的标识访问密钥。

有关配置 CMK 的详细信息，请参阅配置客户管理的密钥。

可以使用 Azure Policy 来强制要求对 SIM 组使用 CMK。 有关详细信息，请参阅 Azure 专用 5G 核心的 Azure Policy 定义。

重要

创建 SIM 组后，将无法更改其加密类型。 但是，如果 SIM 组使用 CMK，则可以更新用于加密的密钥。

只写 SIM 凭据

Azure 专用 5G 核心提供对 SIM 凭据的只写访问权限。 SIM 凭据是允许 UE (用户设备)访问网络的机密。

由于这些凭据高度敏感，因此 Azure 专用 5G 核心不允许服务的用户读取凭据，但法律要求除外。 具有足够特权的用户可能会覆盖或撤销凭据。

NAS 加密

非访问层 (NAS) 信令在 UE 和 AMF (5G) 或 MME (4G) 之间运行。 它携带的信息支持移动和会话管理操作，从而实现 UE 和网络之间的数据平面连接。

封包核心执行 NAS 的加密和完整性保护。 在 UE 注册期间，UE 通过 128 位密钥将它用于 NAS 的安全功能包含在内。 对于加密，默认情况下，Azure 专用 5G 核心按优先顺序支持以下算法：

• NEA2/EEA2：128 位高级加密系统 (AES) 加密
• NEA1/EEA1：128 位 Snow 3G
• NEA0/EEA0：5GS null 加密算法

此配置可实现 UE 支持的最高级别的加密，同时仍允许不支持加密的 UE。 为了强制加密，可以禁止 NEA0/EEA0，防止不支持 NAS 加密的 UE 在网络上注册。

可以在部署后通过修改封包核心配置来更改这些首选项。

RADIUS 身份验证

Azure 专用 5G 核心支持远程身份验证拨入用户服务 (RADIUS) 身份验证。 可以配置封包核心来联系网络中的 RADIUS 身份验证、授权和记帐 (AAA) 服务器，以便在连接到网络和建立会话时对 UE 进行身份验证。 封包核心和 RADIUS 服务器之间的通信通过存储在 Azure 密钥保管库中的共享机密进行保护。 UE 的默认用户名和密码也存储在 Azure 密钥保管库中。 可以使用 UE 的国际移动订阅者标识 (IMSI) 代替默认用户名。 有关详细信息，请参阅收集 RADIUS 值。

必须能够从管理网络上的 Azure Stack Edge 设备访问你的 RADIUS 服务器。 RADIUS 仅支持初始身份验证。 不支持其他 RADIUS 功能（例如记帐）。

访问本地监视工具

使用 TLS/SSL 证书保护连接

对分布式跟踪和数据包核心仪表板的访问受 HTTPS 保护。 可以提供自己的 HTTPS 证书来证明对本地诊断工具的访问权限。 提供由全球已知且受信任的证书颁发机构 (CA) 签名的证书，为部署提供额外的安全性；我们建议使用这个选项，而不是使用由其自己的私钥签名（自签名）的证书。

如果你决定提供自己的证书进行本地监视访问，需要将证书添加到 Azure 密钥保管库并设置适当的访问权限。 有关为本地监视访问配置自定义 HTTPS 证书的详细信息，请参阅收集本地监视值。

可以在创建站点时配置如何证明对本地监视工具的访问权限。 对于已有的站点，可以按照修改站点中的本地访问配置来修改本地访问配置。

建议每年至少轮换（更换）一次证书，包括从系统中删除旧证书。 如果证书不到一年就过期了，或者如果组织策略有要求，可能需要更频繁地轮换证书。

有关如何生成密钥保管库证书的详细信息，请参阅证书创建方法。

访问身份验证

可以使用 Microsoft Entra ID 或本地用户名和密码来访问分布式跟踪和数据包核心仪表板。

Microsoft Entra ID 允许使用无密码方法进行本机身份验证，以简化登录体验并减少攻击风险。 因此，为了提高部署安全性，我们建议设置 Microsoft Entra 身份验证，而不要设置本地用户名和密码身份验证。

如果你决定设置 Microsoft Entra ID 来进行本地监视访问，则在部署移动网络站点后，需要按照为本地监视工具启用 Microsoft Entra ID 中的步骤操作。

有关配置本地监视访问身份验证的详细信息，请参阅为本地监视工具选择身份验证方法。

可以使用 Azure Policy 来强制要求使用 Microsoft Entra ID 进行本地监视访问。 有关详细信息，请参阅 Azure 专用 5G 核心的 Azure Policy 定义。

个人身份信息

诊断包可以包含来自站点的个人数据、客户数据和系统生成的日志。 向 Azure 支持人员提供诊断包即明确表示你允许 Azure 支持人员访问该诊断包及其包含的任何信息。 你应该确认公司的隐私政策和协议是否接受这种做法。

后续步骤

• 部署专用移动网络 - Azure 门户