Sicherheit für Azure Private 5G Core
Azure Private 5G Core ermöglicht Dienstanbietern und Systemintegratoren die sichere Bereitstellung und Verwaltung von privaten Mobilfunknetzen für ein Unternehmen. Die Netzwerkkonfiguration und SIM-Konfiguration, die von Geräten verwendet wird, die eine Verbindung mit dem Mobilfunknetz herstellen, werden sicher gespeichert. Dieser Artikel enthält Details zu den Sicherheitsfunktionen von Azure Private 5G Core, die zum Schutz des Mobilfunknetzes beitragen.
Azure Private 5G Core besteht aus zwei Hauptkomponenten, die miteinander interagieren:
- Der Azure Private 5G Core-Dienst, der in Azure gehostet wird – die Verwaltungstools, die zum Konfigurieren und Überwachen der Bereitstellung verwendet werden.
- Packet Core-Instanzen, die auf Azure Stack Edge-Geräten gehostet werden – der vollständige Satz von 5G-Netzwerkfunktionen, die Konnektivität mit mobilen Geräten an einem Edgestandort bereitstellen.
Sichere Plattform
Azure Private 5G Core erfordert die Bereitstellung von Paketkerninstanzen auf einer sicheren Plattform, Azure Stack Edge. Weitere Informationen zur Sicherheit in Azure Stack Edge finden Sie unter Azure Stack Edge-Sicherheit und -Datenschutz.
Verschlüsselung von ruhenden Daten
Der Azure Private 5G Core-Dienst speichert alle Daten sicher im Ruhezustand, einschließlich SIM-Anmeldeinformationen. Er bietet Verschlüsselung von ruhenden Daten mit plattformseitig verwalteten Verschlüsselungsschlüssel, die von Microsoft verwaltet werden. Die Verschlüsselung ruhender Daten wird standardmäßig beim Erstellen einer SIM-Gruppe verwendet.
Azure Private 5G Core-Paketkerninstanzen werden auf Azure Stack Edge-Geräten bereitgestellt, die zum Schutz von Daten dienen.
Kundenseitig verwalteter Schlüssel für die Verschlüsselung ruhender Daten
Zusätzlich zur standardmäßigen Verschlüsselung ruhender Daten mit von Microsoft verwalteten Schlüsseln (MMK) können Sie optional kundenseitig verwaltete Schlüssel (CMK) verwenden, um Daten mit Ihrem eigenen Schlüssel zu verschlüsseln.
Wenn Sie sich für die Verwendung eines CMK entscheiden, müssen Sie einen Schlüssel-URI in Ihrem Azure Key Vault und eine vom Benutzer zugewiesene Identität mit Zugriff auf den Schlüssel zum Lesen, Umbrechen und Aufheben des Umbruchs erstellen. Beachten Sie dabei Folgendes:
- Der Schlüssel muss so konfiguriert werden, dass es ein Aktivierungs- und Ablaufdatum gibt, und es wird empfohlen, die automatische Kryptografieschlüsselrotation in Azure Key Vault zu konfigurieren.
- Die SIM-Gruppe greift über die vom Benutzer zugewiesene Identität auf den Schlüssel zu.
Weitere Informationen zum Konfigurieren von CMK finden Sie unter Konfigurieren von kundenseitig verwalteten Schlüsseln.
Sie können Azure Policy verwenden, um CMK für SIM-Gruppen zu erzwingen. Weitere Informationen finden Sie in den Azure Policy-Definitionen für Azure Private 5G Core.
Wichtig
Nachdem eine SIM-Gruppe erstellt wurde, können Sie den Verschlüsselungstyp nicht mehr ändern. Wenn die SIM-Gruppe jedoch CMK verwendet, können Sie den schlüssel aktualisieren, der für die Verschlüsselung verwendet wird.
Lesegeschützte SIM-Anmeldeinformationen
Azure Private 5G Core bietet lesegeschützten Zugriff auf SIM-Anmeldeinformationen. SIM-Anmeldeinformationen sind die Geheimnisse, die UEs (Benutzergeräte) den Zugriff auf das Netzwerk ermöglichen.
Da diese Anmeldeinformationen sehr vertraulich sind, lässt Azure Private 5G Core für Benutzer des Diensts keinen Lesezugriff auf die Anmeldeinformationen zu, es sei denn, dies ist per Gesetz erforderlich. Benutzer mit ausreichenden Berechtigungen können die Anmeldeinformationen überschreiben oder widerrufen.
NAS-Verschlüsselung
Die NAS (Non-Access Stratum)-Signalisierung erfolgt zwischen UE und AMF (5G) oder MME (4G). Sie enthält die Informationen, um Mobilitäts- und Sitzungsverwaltungsvorgänge zu ermöglichen, die die Konnektivität zwischen der UE und dem Netzwerk ermöglichen.
Der Paketkern übernimmt die Verschlüsselung und den Integritätsschutz für NAS. Während der UE-Registrierung fügt die UE-Instanz ihre Sicherheitsfunktionen für NAS mit 128-Bit-Schlüsseln hinzu. Von Azure Private 5G Core werden folgende Algorithmen für Verschlüsselung standardmäßig unterstützt:
- NEA2/EEA2: 128-Bit Advanced Encryption System (AES)-Verschlüsselung
- NEA1/EEA1: 128-Bit Snow 3G
- NEA0/EEA0: 5GS-NULL-Verschlüsselungsalgorithmus
Diese Konfiguration ermöglicht die höchste Verschlüsselungsebene, die von der UE unterstützt wird, während sie weiterhin UEs zulässt, die keine Verschlüsselung unterstützen. Um die Verschlüsselung obligatorisch zu machen, können Sie NEA0/EEA0 nicht zulassen und verhindern, dass sich UEs, die die NAS-Verschlüsselung nicht unterstützen, beim Netzwerk registrieren.
Sie können diese Einstellungen nach der Bereitstellung ändern, indem Sie die Paketkernkonfiguration ändern.
RADIUS-Authentifizierung
Azure Private 5G Core unterstützt die Authentifizierung über RADIUS (Remote Authentication Dial-In User Service). Wenn Sie über einen AAA-Server (Authentication, Authorization, Accounting) für RADIUS in Ihrem Netzwerk verfügen, können Sie den Paketkern optional so konfigurieren, dass er zum Authentifizieren von Benutzerendgeräten bei Anlagen an das Netzwerk und die Sitzungseinrichtung verwendet wird. Die Kommunikation zwischen dem Paketkern und dem RADIUS-Server wird mit einem gemeinsamen geheimen Schlüssel gesichert, der in Azure Key Vault gespeichert ist. Der Standardbenutzername und das Kennwort für UEs werden auch in Azure Key Vault gespeichert. Sie können die IMSI (International Mobile Subscriber Identity) des UE anstelle eines Standardbenutzernamens verwenden. Weitere Informationen finden Sie unter Sammeln von RADIUS-Werten.
Ihr RADIUS-Server muss über Ihr Azure Stack Edge-Gerät im Verwaltungsnetzwerk erreichbar sein. RADIUS wird nur für die anfängliche Authentifizierung unterstützt. Andere RADIUS-Features, z. B. Buchhaltung, werden nicht unterstützt.
Zugriff auf lokale Überwachungstools
Sichere Konnektivität mit TLS/SSL-Zertifikaten
Der Zugriff auf die verteilte Ablaufverfolgung und auf die Packet Core-Dashboards wird durch HTTPS gesichert. Sie können Ihr eigenes HTTPS-Zertifikat bereitstellen, um den Zugriff auf Ihre lokalen Diagnosetools zu bestätigen. Die Bereitstellung eines Zertifikats, das von einer global bekannten und vertrauenswürdigen Zertifizierungsstelle signiert ist, bietet Ihrer Bereitstellung zusätzliche Sicherheit. Wir empfehlen diese Option gegenüber der Verwendung eines Zertifikats, das mit seinem eigenen privaten Schlüssel signiert ist (selbstsigniert).
Wenn Sie sich entscheiden, Ihre eigenen Zertifikate für den lokalen Überwachungszugriff bereitzustellen, müssen Sie das Zertifikat einem Azure Key Vault hinzufügen und die entsprechenden Zugriffsberechtigungen einrichten. Weitere Informationen zum Konfigurieren benutzerdefinierter HTTPS-Zertifikate für den lokalen Überwachungszugriff finden Sie unter Sammeln lokaler Überwachungswerte.
Sie können konfigurieren, wie der Zugriff auf Ihre lokalen Überwachungstools beim Erstellen eines Standorts bestätigt wird. Für vorhandene Standorte können Sie die Konfiguration des lokalen Zugriffs ändern, indem Sie Ändern der lokalen Zugriffskonfiguration an einem Standort befolgen.
Es wird empfohlen, Zertifikate mindestens einmal pro Jahr zu rotieren (ersetzen), einschließlich des Entfernens der alten Zertifikate aus Ihrem System. Möglicherweise müssen Sie Ihre Zertifikate häufiger rotieren, wenn sie nach weniger als einem Jahr ablaufen oder wenn Organisationsrichtlinien dies erfordern.
Weitere Informationen zum Generieren eines Key Vault-Zertifikats finden Sie unter Methoden zur Zertifikaterstellung.
Zugriffsauthentifizierung
Sie können Microsoft Entra ID oder einen lokalen Benutzernamen und Passwort nutzen, um auf die verteilte Ablaufverfolgung und Paketkerndashboards zuzugreifen.
Microsoft Entra ID erlaubt Ihnen die native Authentifizierung mit kennwortlosen Methoden, um die Anmeldung zu vereinfachen und das Angriffsrisiko zu verringern. Daher empfehlen wir, die Microsoft Entra-Authentifizierung über lokale Benutzernamen und Kennwörter einzurichten, um die Sicherheit in Ihrer Bereitstellung zu verbessern.
Wenn Sie Microsoft Entra-ID für den lokalen Überwachungszugriff einrichten möchten, müssen Sie nach der Bereitstellung eines mobilen Netzwerkstandorts die Schritte unter Aktivieren von Microsoft Entra ID für lokale Überwachungstools ausführen.
Weitere Informationen zum Konfigurieren der lokalen Überwachungszugriffs-Authentifizierung finden Sie unter Auswählen der Authentifizierungsmethode für lokale Überwachungstools.
Sie können Azure Policy verwenden, um Microsoft Entra ID für den lokalen Überwachungszugriff zu erzwingen. Weitere Informationen finden Sie in den Azure Policy-Definitionen für Azure Private 5G Core.
Personenbezogene Informationen
Diagnosepakete können personenbezogene Daten, Kundendaten und vom System generierte Protokolle von Ihrer Website enthalten. Wenn Sie das Diagnosepaket für den Azure-Support bereitstellen, erteilen Sie Azure-Support explizit die Berechtigung für den Zugriff auf das Diagnosepaket und alle darin enthaltenen Informationen. Sie sollten bestätigen, dass dies gemäß den Datenschutzrichtlinien und -vereinbarungen Ihres Unternehmens akzeptabel ist.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für