Seguridad para Azure Private 5G Core
Azure Private 5G Core permite a los proveedores de servicios y a los integradores de sistemas implementar y administrar de forma segura redes móviles privadas para una empresa. Almacena de forma segura la configuración de red y SIM que usan los dispositivos que se conectan a la red móvil. En este artículo se describen los detalles sobre las funcionalidades de seguridad proporcionadas por Azure Private 5G Core que ayudan a proteger la red móvil.
Azure Private 5G Core consta de dos componentes principales que interactúan entre sí:
- Servicio Azure Private 5G Core, hospedado en Azure: herramientas de administración que sirven para configurar y supervisar la implementación.
- Instancias de la red troncal de paquetes, hospedadas en dispositivos Azure Stack Edge: conjunto muy completo de funciones de red 5G que proporcionan conectividad a dispositivos móviles en una ubicación perimetral.
Plataforma segura
Azure Private 5G Core requiere la implementación de instancias de la red troncal de paquetes en una plataforma segura, Azure Stack Edge. Para obtener más información sobre la seguridad de Azure Stack Edge, consulte Seguridad y protección de datos de Azure Stack Edge.
Cifrado en reposo
El servicio Azure Private 5G Core almacena todos los datos de forma segura en reposo, incluidas las credenciales de SIM. Proporciona cifrado de datos en reposo mediante claves de cifrado administradas por la plataforma, administradas por Microsoft. El cifrado en reposo se usa de forma predeterminada al crear un grupo SIM.
Las instancias de la red troncal de paquetes de Azure Private 5G Core se implementan en dispositivos Azure Stack Edge, que controlan la protección de datos.
Cifrado de clave administrada por el cliente en reposo
Además del cifrado en reposo predeterminado que usa claves administradas de Microsoft (MMK), también puede usar claves administradas por el cliente (CMK) al crear un grupo SIM o al implementar una red móvil privada para cifrar los datos con su propia clave.
Si opta por usar una CMK, debe crear un URI de clave en su instancia de Azure Key Vault y una identidad asignada por el usuario con acceso de lectura, ajuste y desajuste a la clave. Observe lo siguiente:
- La clave debe configurarse para tener una fecha de activación y expiración, y se recomienda configurar la rotación automática de claves criptográficas en Azure Key Vault.
- El grupo SIM accede a la clave a través de la identidad asignada por el usuario.
Para obtener más información sobre cómo configurar CMK, consulte Configuración de claves administradas por el cliente.
Puede usar Azure Policy para aplicar el uso de CMK para grupos SIM. Consulte Definiciones de Azure Policy para Azure Private 5G Core.
Importante
Una vez creado un grupo SIM, no se puede cambiar el tipo de cifrado. Sin embargo, si el grupo SIM usa CMK, puede actualizar la clave usada para el cifrado.
Credenciales de SIM de solo escritura
Azure Private 5G Core proporciona acceso de solo escritura a las credenciales de SIM. Las credenciales de SIM son los secretos que permiten a los equipos de usuario (UE) acceder a la red.
Como estas credenciales son sumamente confidenciales, Azure Private 5G Core no permitirá a los usuarios del servicio acceso de lectura a las credenciales, a menos que lo exija la ley. Los usuarios con privilegios suficientes pueden sobrescribir las credenciales o revocarlas.
Acceso a herramientas de supervisión local
Protección de la conectividad mediante certificados TLS/SSL
El acceso al seguimiento distribuido y a los paneles de la red troncal de paquetes está protegido mediante HTTPS. Puede proporcionar su propio certificado HTTPS para acreditar el acceso a sus herramientas de diagnóstico locales. Proporcionar un certificado firmado por una entidad de certificación (CA) conocida globalmente y de confianza reporta una seguridad extra a la implementación. Se recomienda recurrir a esta opción mejor que usar un certificado firmado por su propia clave privada (autofirmado).
Si decide proporcionar sus propios certificados para el acceso a la supervisión local, deberá agregar el certificado a una instancia de Azure Key Vault y configurar los permisos de acceso adecuados. Vea Recopilación de valores de supervisión local para obtener más información sobre cómo configurar certificados HTTPS personalizados para el acceso de supervisión local.
Puede configurar cómo se acredita el acceso a las herramientas de supervisión local al crear un sitio. En los sitios existentes, puede modificar la configuración de acceso local siguiendo las indicaciones en Modificación de la configuración de acceso local en un sitio.
Se recomienda reemplazar los certificados al menos una vez al año, así como eliminar los certificados antiguos del sistema. Esto se conoce como rotación de certificados. Puede que tenga que rotar los certificados con más frecuencia si expiran cuando no ha pasado un año o si las directivas de la organización así lo exigen.
Para obtener más información sobre cómo generar un certificado de Key Vault, vea Métodos de creación de certificados.
Información de identificación personal
Paquetes de diagnóstico pueden contener información de su sitio, que puede, dependiendo del uso, incluir datos como datos personales, datos de cliente y registros generados por el sistema. Al proporcionar el paquete de diagnóstico al soporte técnico de Azure, concede explícitamente permiso de soporte técnico de Azure para acceder al paquete de diagnóstico y cualquier información que contenga. Debe confirmar que esto es aceptable en virtud de las directivas y acuerdos de privacidad de su empresa.
Autenticación de acceso
Puede usar Microsoft Entra ID o un nombre de usuario y una contraseña locales para acceder al seguimiento distribuido y paneles de núcleos de paquetes.
Microsoft Entra ID permite autenticarse de forma nativa mediante métodos sin contraseña para simplificar la experiencia de inicio de sesión y reducir el riesgo de ataques. Por lo tanto, para mejorar la seguridad de la implementación, se recomienda configurar la autenticación de Microsoft Entra a través de nombres de usuario y contraseñas locales.
Si decide configurar Microsoft Entra ID para el acceso de supervisión local, después de implementar un sitio de red móvil, deberá seguir los pasos descritos en Habilitar Microsoft Entra ID para herramientas de supervisión locales.
Consulte Elegir el método de autenticación para las herramientas de supervisión local para obtener información adicional sobre cómo configurar la autenticación de acceso de supervisión local.
Puede usar Azure Policy para aplicar el uso de Entra ID para el acceso de supervisión local. Consulte Definiciones de Azure Policy para Azure Private 5G Core.