Seguridad para Azure Private 5G Core
Azure Private 5G Core permite a los proveedores de servicios y a los integradores de sistemas implementar y administrar de forma segura redes móviles privadas para una empresa. Almacena de forma segura la configuración de red y SIM que usan los dispositivos que se conectan a la red móvil. En este artículo se describen los detalles sobre las funcionalidades de seguridad proporcionadas por Azure Private 5G Core que ayudan a proteger la red móvil.
Azure Private 5G Core consta de dos componentes principales que interactúan entre sí:
- Servicio Azure Private 5G Core, hospedado en Azure: herramientas de administración que sirven para configurar y supervisar la implementación.
- Instancias de la red troncal de paquetes, hospedadas en dispositivos Azure Stack Edge: conjunto muy completo de funciones de red 5G que proporcionan conectividad a dispositivos móviles en una ubicación perimetral.
Plataforma segura
Azure Private 5G Core requiere la implementación de instancias de la red troncal de paquetes en una plataforma segura, Azure Stack Edge. Para obtener más información sobre la seguridad de Azure Stack Edge, consulte Seguridad y protección de datos de Azure Stack Edge.
Cifrado en reposo
El servicio Azure Private 5G Core almacena todos los datos de forma segura en reposo, incluidas las credenciales de SIM. Proporciona cifrado de datos en reposo mediante claves de cifrado administradas por la plataforma, administradas por Microsoft. El cifrado en reposo se usa de forma predeterminada al crear un grupo SIM.
Las instancias de la red troncal de paquetes de Azure Private 5G Core se implementan en dispositivos Azure Stack Edge, que controlan la protección de datos.
Cifrado de clave administrada por el cliente en reposo
Además del cifrado en reposo predeterminado mediante claves administradas por Microsoft (MMK), puede usar opcionalmente claves administradas por el cliente (CMK) para cifrar los datos con su propia clave.
Si opta por usar una CMK, deberá crear un URI de clave en su instancia de Azure Key Vault y una Identidad asignada por el usuario con acceso de lectura, ajuste y desajuste a la clave. Observe lo siguiente:
- La clave debe configurarse para tener una fecha de activación y expiración, y se recomienda configurar la rotación automática de claves criptográficas en Azure Key Vault.
- El grupo SIM accede a la clave a través de la identidad asignada por el usuario.
Para obtener más información sobre cómo configurar CMK, consulte Configuración de claves administradas por el cliente.
Puede usar Azure Policy para aplicar el uso de CMK para grupos SIM. Para más información, consulte Definiciones de Azure Policy para Azure Private 5G Core.
Importante
Una vez creado un grupo SIM, no se puede cambiar el tipo de cifrado. Sin embargo, si el grupo SIM usa CMK, puede actualizar la clave usada para el cifrado.
Credenciales de SIM de solo escritura
Azure Private 5G Core proporciona acceso de solo escritura a las credenciales de SIM. Las credenciales de SIM son los secretos que permiten a los equipos de usuario (UE) acceder a la red.
Como estas credenciales son sumamente confidenciales, Azure Private 5G Core no permitirá a los usuarios del servicio acceso de lectura a las credenciales, a menos que lo exija la ley. Los usuarios con privilegios suficientes pueden sobrescribir las credenciales o revocarlas.
Cifrado de NAS
La señalización de estrato sin acceso (NAS) se ejecuta entre la UE y la AMF (5G) o MME (4G). Incluye la información para permitir las operaciones de administración de movilidad y sesión que permiten la conectividad del plano de datos entre la UE y la red.
El núcleo del paquete realiza la protección de cifrado e integridad de NAS. Durante el registro de UE, la UE incluye sus funcionalidades de seguridad para NAS con claves de 128 bits. Para el cifrado, de forma predeterminada, Azure Private 5G Core admite los algoritmos siguientes en orden de preferencia:
- NEA2/EEA2: cifrado del Sistema de cifrado avanzado de 128 bits (AES)
- NEA1/EEA1: 128 bits Snow 3G
- NEA0/EEA0: algoritmo de cifrado nulo de 5GS
Esta configuración habilita el nivel más alto de cifrado que admite la UE, a la vez que permite las UE que no admiten el cifrado. Para que el cifrado sea obligatorio, puede impedir que NEA0/EEE0 impida que las UE que no admitan el cifrado NAS se registren con la red.
Puede cambiar estas preferencias después de la implementación modificando la configuración del núcleo del paquete.
Autenticación RADIUS
Azure Private 5G Core admite la autenticación de servicio de acceso telefónico local (RADIUS) de autenticación remota. Puede configurar el núcleo de paquetes para ponerse en contacto con un servidor de autenticación, autorización y contabilidad RADIUS (AAA) en la red para autenticar UE en datos adjuntos a la red y al establecimiento de sesión. La comunicación entre el núcleo de paquetes y el servidor RADIUS se protege con un secreto compartido que se almacena en Azure Key Vault. El nombre de usuario y la contraseña predeterminados para las UE también se almacenan en Azure Key Vault. Puede usar la identidad de suscriptor móvil internacional (IMSI) de la UE en lugar de un nombre de usuario predeterminado. Consulte Recopilar valores RADIUS para obtener más información.
El servidor RADIUS debe ser accesible desde el dispositivo Azure Stack Edge en la red de administración. RADIUS solo se admite para la autenticación inicial. No se admiten otras características RADIUS, como la contabilidad.
Acceso a herramientas de supervisión local
Protección de la conectividad mediante certificados TLS/SSL
El acceso al seguimiento distribuido y a los paneles de la red troncal de paquetes está protegido mediante HTTPS. Puede proporcionar su propio certificado HTTPS para acreditar el acceso a sus herramientas de diagnóstico locales. Proporcionar un certificado firmado por una entidad de certificación (CA) conocida globalmente y de confianza concede más seguridad extra a la implementación. Se recomienda recurrir a esta opción sobre el uso de un certificado firmado por su propia clave privada (autofirmado).
Si decide proporcionar sus propios certificados para el acceso a la supervisión local, deberá agregar el certificado a una instancia de Azure Key Vault y configurar los permisos de acceso adecuados. Consulte Recopilar valores de supervisión local para obtener más información sobre cómo configurar certificados HTTPS personalizados para el acceso de supervisión local.
Puede configurar cómo se acredita el acceso a las herramientas de supervisión local al crear un sitio. En los sitios existentes, puede modificar la configuración de acceso local siguiendo las indicaciones en Modificación de la configuración de acceso local en un sitio.
Se recomienda rotar (reemplazar) certificados al menos una vez al año, incluida la eliminación de los certificados antiguos del sistema. Puede que tenga que rotar los certificados con más frecuencia si expiran cuando no ha pasado un año o si las directivas de la organización así lo exigen.
Para obtener más información sobre cómo generar un certificado de Key Vault, vea Métodos de creación de certificados.
Autenticación de acceso
Puede usar Microsoft Entra ID o un nombre de usuario y una contraseña locales para acceder al seguimiento distribuido y paneles de núcleos de paquetes.
Microsoft Entra ID permite autenticarse de forma nativa mediante métodos sin contraseña para simplificar la experiencia de inicio de sesión y reducir el riesgo de ataques. Por lo tanto, para mejorar la seguridad de la implementación, se recomienda configurar la autenticación de Microsoft Entra a través de nombres de usuario y contraseñas locales.
Si decide configurar Microsoft Entra ID para el acceso de supervisión local, después de implementar un sitio de red móvil, deberá seguir los pasos descritos en Habilitar Microsoft Entra ID para herramientas de supervisión locales.
Consulte Elegir el método de autenticación para las herramientas de supervisión local para obtener más información sobre cómo configurar la autenticación de acceso de supervisión local.
Puede usar Azure Policy para aplicar el uso de Microsoft Entra ID para el acceso de supervisión local. Para más información, consulte Definiciones de Azure Policy para Azure Private 5G Core.
Información de identificación personal
Los Paquetes de diagnóstico pueden incluir datos personales, datos de cliente y registros generados por el sistema desde el sitio. Al proporcionar el paquete de diagnóstico al soporte técnico de Azure, concede explícitamente permiso de soporte técnico de Azure para acceder al paquete de diagnóstico y cualquier información que contenga. Debe confirmar que esto es aceptable en virtud de las directivas y acuerdos de privacidad de su empresa.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de