أمان Azure Private 5G Core
يسمح Azure Private 5G Core لموفري الخدمات ومدمجي الأنظمة بنشر شبكات الجوال الخاصة وإدارتها بشكل آمن لمؤسسة ما. يخزن بشكل آمن تكوين الشبكة وتكوين بطاقة SIM المستخدمة من قبل الأجهزة المتصلة بشبكة الجوال. تسرد هذه المقالة تفاصيل حول قدرات الأمان التي يوفرها Azure Private 5G Core التي تساعد في حماية شبكة الجوال.
يتكون Azure Private 5G Core من مكونين رئيسيين يتفاعلان مع بعضهما البعض:
- خدمة Azure Private 5G Core، المستضافة في Azure - أدوات الإدارة المستخدمة لتكوين التوزيع ومراقبته.
- مثيلات الحزم الأساسية، المستضافة على أجهزة Azure Stack Edge - المجموعة الكاملة من وظائف شبكة 5G التي توفر الاتصال بالأجهزة المحمولة في موقع حافة.
النظام الأساسي الآمن
يتطلب Azure Private 5G Core نشر مثيلات حزمة البيانات الأساسية على نظام أساسي آمن، Azure Stack Edge. لمزيد من المعلومات حول أمان Azure Stack Edge، راجع أمان Azure Stack Edge وحماية البيانات.
التشفير في حالة السكون
تخزن خدمة Azure Private 5G Core جميع البيانات الثابتة بأمان، بما في ذلك بيانات اعتماد SIM. يوفر تشفير البيانات الثابتة باستخدام مفاتيح التشفير المدارة بواسطة النظام الأساسي، والتي تديرها Microsoft. يتم استخدام التشفير الثابت بشكل افتراضي عند إنشاء مجموعة SIM.
يتم نشر مثيلات حزمة Azure Private 5G Core الأساسية على أجهزة Azure Stack Edge، التي تتعامل مع حماية البيانات.
تشفير المفتاح الذي يديره العميل في حالة ثبات
بالإضافة إلى التشفير الثابت الافتراضي باستخدام المفاتيح المدارة من Microsoft (MMK)، يمكنك اختياريا استخدام المفاتيح المدارة من قبل العميل (CMK) لتشفير البيانات باستخدام المفتاح الخاص بك.
إذا اخترت استخدام CMK، فستحتاج إلى إنشاء Key URI في Azure Key Vault وهوية معينة من قبل المستخدم مع الوصول للقراءة والالتفاف وإلغاء التغليف إلى المفتاح. لاحظ ما يلي:
- يجب تكوين المفتاح ليكون له تاريخ تنشيط وانتهاء صلاحية، ونوصي بتكوين التدوير التلقائي لمفتاح التشفير في Azure Key Vault.
- تصل مجموعة SIM إلى المفتاح عبر الهوية المعينة من قبل المستخدم.
لمزيد من المعلومات حول تكوين CMK، راجع تكوين المفاتيح التي يديرها العميل.
يمكنك استخدام نهج Azure لفرض استخدام CMK لمجموعات SIM. لمزيد من المعلومات، راجع تعريفات نهج Azure ل Azure Private 5G Core.
هام
بمجرد إنشاء مجموعة SIM، لا يمكنك تغيير نوع التشفير. ومع ذلك، إذا كانت مجموعة SIM تستخدم CMK، يمكنك تحديث المفتاح المستخدم للتشفير.
بيانات اعتماد SIM للكتابة فقط
يوفر Azure Private 5G Core وصولا للكتابة فقط إلى بيانات اعتماد SIM. بيانات اعتماد SIM هي الأسرار التي تسمح ل UEs (معدات المستخدم) بالوصول إلى الشبكة.
نظرا لأن بيانات الاعتماد هذه حساسة للغاية، فلن تسمح Azure Private 5G Core لمستخدمي الخدمة بالوصول للقراءة إلى بيانات الاعتماد، باستثناء ما يتطلبه القانون. قد يقوم المستخدمون المميزون بشكل كاف بالكتابة فوق بيانات الاعتماد، أو إبطالها.
تشفير NAS
تعمل إشارات الطبقة غير المتصلة بالوصول (NAS) بين UE وAMF (5G) أو MME (4G). وهو يحمل المعلومات للسماح بعمليات التنقل وإدارة الجلسة التي تمكن اتصال مستوى البيانات بين UE والشبكة.
تقوم الذاكرة الأساسية للحزمة بتنفيذ التشفير وحماية التكامل من NAS. أثناء تسجيل UE، تتضمن UE قدرات الأمان الخاصة بها ل NAS مع مفاتيح 128 بت. للشفرة، بشكل افتراضي، يدعم Azure Private 5G Core الخوارزميات التالية بترتيب التفضيل:
- NEA2/EEA2: تشفير نظام التشفير المتقدم (AES) 128 بت
- NEA1/EEA1: 128 بت Snow 3G
- NEA0/EEA0: خوارزمية تشفير خالية 5GS
يتيح هذا التكوين أعلى مستوى من التشفير الذي تدعمه UE مع السماح ل UEs التي لا تدعم التشفير. لجعل التشفير إلزاميا، يمكنك عدم السماح ل NEA0/EEA0، ومنع UEs التي لا تدعم تشفير NAS من التسجيل مع الشبكة.
يمكنك تغيير هذه التفضيلات بعد التوزيع عن طريق تعديل التكوين الأساسي للحزمة.
مصادقة RADIUS
يدعم Azure Private 5G Core مصادقة خدمة مستخدم طلب المصادقة عن بعد (RADIUS). يمكنك تكوين نواة الحزمة للاتصال بخادم مصادقة RADIUS والتخويل والمحاسبة (AAA) في شبكتك لمصادقة UEs على المرفق بالشبكة وإنشاء الجلسة. يتم تأمين الاتصال بين الذاكرة الأساسية للحزمة وخادم RADIUS مع سر مشترك مخزن في Azure Key Vault. يتم أيضا تخزين اسم المستخدم وكلمة المرور الافتراضيين ل UEs في Azure Key Vault. يمكنك استخدام هوية المشترك الدولي للأجهزة المحمولة (IMSI) في UE بدلا من اسم مستخدم افتراضي. راجع تجميع قيم RADIUS للحصول على التفاصيل.
يجب أن يكون خادم RADIUS الخاص بك قابلا للوصول من جهاز Azure Stack Edge على شبكة الإدارة. يتم دعم RADIUS فقط للمصادقة الأولية. ميزات RADIUS الأخرى، مثل المحاسبة، غير مدعومة.
الوصول إلى أدوات المراقبة المحلية
الاتصال الآمن باستخدام شهادات TLS/SSL
يتم تأمين الوصول إلى لوحات معلومات التتبع الموزعة والحزم الأساسية بواسطة HTTPS. يمكنك توفير شهادة HTTPS الخاصة بك لإثبات الوصول إلى أدوات التشخيص المحلية الخاصة بك. توفير شهادة موقعة من قبل مرجع مصدق معروف عالميا وموثوق به (CA) يمنح مزيدا من الأمان للنشر الخاص بك؛ نوصي بهذا الخيار عبر استخدام شهادة موقعة بواسطة مفتاح خاص بها (موقع ذاتيا).
إذا قررت توفير شهاداتك الخاصة للوصول إلى المراقبة المحلية، فستحتاج إلى إضافة الشهادة إلى Azure Key Vault وإعداد أذونات الوصول المناسبة. راجع جمع قيم المراقبة المحلية لمزيد من المعلومات حول تكوين شهادات HTTPS المخصصة للوصول إلى المراقبة المحلية.
يمكنك تكوين كيفية إثبات الوصول إلى أدوات المراقبة المحلية أثناء إنشاء موقع. بالنسبة للمواقع الموجودة، يمكنك تعديل تكوين الوصول المحلي باتباع تعديل تكوين الوصول المحلي في موقع.
نوصي بتدوير (استبدال) الشهادات مرة واحدة على الأقل في السنة، بما في ذلك إزالة الشهادات القديمة من النظام الخاص بك. قد تحتاج إلى تدوير الشهادات بشكل متكرر إذا انتهت صلاحيتها بعد أقل من عام واحد، أو إذا كانت النهج التنظيمية تتطلب ذلك.
لمزيد من المعلومات حول كيفية إنشاء شهادة Key Vault، راجع أساليب إنشاء الشهادة.
مصادقة الوصول
يمكنك استخدام معرف Microsoft Entra أو اسم مستخدم وكلمة مرور محليين للوصول إلى لوحات معلومات التتبع الموزعة والحزمة الأساسية.
يسمح لك معرف Microsoft Entra بالمصادقة الأصلية باستخدام أساليب بدون كلمة مرور لتبسيط تجربة تسجيل الدخول وتقليل مخاطر الهجمات. لذلك، لتحسين الأمان في النشر الخاص بك، نوصي بإعداد مصادقة Microsoft Entra عبر أسماء المستخدمين وكلمات المرور المحلية.
إذا قررت إعداد معرف Microsoft Entra للوصول إلى المراقبة المحلية، بعد نشر موقع شبكة الجوال، فستحتاج إلى اتباع الخطوات الواردة في تمكين معرف Microsoft Entra لأدوات المراقبة المحلية.
راجع اختيار أسلوب المصادقة لأدوات المراقبة المحلية لمزيد من المعلومات حول تكوين مصادقة الوصول للمراقبة المحلية.
يمكنك استخدام نهج Azure لفرض استخدام معرف Microsoft Entra للوصول إلى المراقبة المحلية. لمزيد من المعلومات، راجع تعريفات نهج Azure ل Azure Private 5G Core.
معلومات تعريف المستخدم
قد تتضمن حزم التشخيص البيانات الشخصية وبيانات العملاء والسجلات التي ينشئها النظام من موقعك. عند توفير حزمة التشخيص لدعم Azure، فإنك تمنح إذن دعم Azure صراحة للوصول إلى حزمة التشخيص وأي معلومات تحتوي عليها. يجب عليك التأكد من أن هذا مقبول بموجب سياسات واتفاقيات الخصوصية الخاصة بشركتك.
الخطوات التالية
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ