Beveiliging voor Azure Private 5G Core
Met Azure Private 5G Core kunnen serviceproviders en systeemintegrators veilig privénetwerken voor een onderneming implementeren en beheren. Het slaat veilig netwerkconfiguratie en SIM-configuratie op die worden gebruikt door apparaten die verbinding maken met het mobiele netwerk. In dit artikel vindt u informatie over de beveiligingsmogelijkheden van Azure Private 5G Core waarmee u het mobiele netwerk kunt beveiligen.
Azure Private 5G Core bestaat uit twee hoofdonderdelen die met elkaar communiceren:
- De Azure Private 5G Core-service, gehost in Azure: de beheerhulpprogramma's die worden gebruikt voor het configureren en bewaken van de implementatie.
- Pakketkernexemplaren, gehost op Azure Stack Edge-apparaten: de volledige set 5G-netwerkfuncties die connectiviteit bieden met mobiele apparaten op een edge-locatie.
Beveiligd platform
Azure Private 5G Core vereist implementatie van pakketkernexemplaren op een beveiligd platform, Azure Stack Edge. Zie Azure Stack Edge-beveiliging en -gegevensbeveiliging voor meer informatie over Azure Stack Edge-beveiliging.
Versleuteling 'at rest'
De Azure Private 5G Core-service slaat alle gegevens veilig at-rest op, inclusief SIM-referenties. Het biedt versleuteling van data-at-rest met behulp van door het platform beheerde versleutelingssleutels, beheerd door Microsoft. Versleuteling-at-rest wordt standaard gebruikt bij het maken van een SIM-groep.
Azure Private 5G Core pakketkernexemplaren worden geïmplementeerd op Azure Stack Edge-apparaten, die de beveiliging van gegevens verwerken.
Door de klant beheerde sleutelversleuteling at rest
Naast de standaardversleuteling-at-rest met behulp van Door Microsoft beheerde sleutels (MMK), kunt u desgewenst CMK (Customer Managed Keys) gebruiken om gegevens te versleutelen met uw eigen sleutel.
Als u ervoor kiest om een CMK te gebruiken, moet u een sleutel-URI maken in uw Azure Key Vault en een door de gebruiker toegewezen identiteit met lees-, terugloop- en uitpaktoegang tot de sleutel. Opmerking:
- De sleutel moet zijn geconfigureerd om een activerings- en vervaldatum te hebben en we raden u aan om automatische rotatie van cryptografische sleutels in Azure Key Vault te configureren.
- De SIM-groep heeft toegang tot de sleutel via de door de gebruiker toegewezen identiteit.
Zie Door de klant beheerde sleutels configureren voor meer informatie over het configureren van CMK.
U kunt Azure Policy gebruiken om af te dwingen met CMK voor SIM-groepen. Zie Azure Policy-definities voor Azure Private 5G Core voor meer informatie.
Belangrijk
Zodra een SIM-groep is gemaakt, kunt u het versleutelingstype niet meer wijzigen. Als de SIM-groep echter CMK gebruikt, kunt u de sleutel bijwerken die wordt gebruikt voor versleuteling.
Alleen-schrijven SIM-referenties
Azure Private 5G Core biedt alleen-schrijven toegang tot SIM-referenties. SIM-referenties zijn de geheimen waarmee UE's (gebruikersapparatuur) toegang tot het netwerk hebben.
Omdat deze referenties zeer gevoelig zijn, staat Azure Private 5G Core gebruikers van de service leestoegang tot de referenties niet toe, behalve zoals wettelijk vereist. Gebruikers met voldoende bevoegdheden kunnen de referenties overschrijven of intrekken.
NAS-versleuteling
Niet-toegang stratum (NAS) signalering wordt uitgevoerd tussen de UE en de AMF (5G) of MME (4G). Het bevat de informatie om mobiliteits- en sessiebeheerbewerkingen toe te staan die connectiviteit tussen de UE en het netwerk mogelijk maken.
De pakketkern voert codering en integriteitsbeveiliging van NAS uit. Tijdens de UE-registratie bevat de UE de beveiligingsmogelijkheden voor NAS met 128-bits sleutels. Voor codering biedt Azure Private 5G Core standaard ondersteuning voor de volgende algoritmen in volgorde van voorkeur:
- NEA2/EER2: 128-bits AES-versleuteling (Advanced Encryption System)
- NEA1/EER1: 128-bits Sneeuw 3G
- NEA0/EER0: 5GS null-versleutelingsalgoritmen
Met deze configuratie wordt het hoogste versleutelingsniveau ingeschakeld dat door de UE wordt ondersteund, terwijl UE's die geen ondersteuning bieden voor versleuteling, nog steeds worden toegestaan. Als u versleuteling verplicht wilt maken, kunt u NEA0/EER0 weigeren, zodat UE's die GEEN ondersteuning bieden voor NAS-versleuteling, niet kunnen registreren bij het netwerk.
U kunt deze voorkeuren na de implementatie wijzigen door de pakketkernconfiguratie te wijzigen.
RADIUS-verificatie
Azure Private 5G Core ondersteunt RADIUS-verificatie (Remote Authentication Dial-In User Service). U kunt de pakketkern configureren om contact op te maken met een RADIUS-verificatie-, autorisatie- en accountingserver (AAA) in uw netwerk om UE's te verifiëren als bijlage bij het netwerk en de sessie-instelling. Communicatie tussen de pakketkern en RADIUS-server wordt beveiligd met een gedeeld geheim dat is opgeslagen in Azure Key Vault. De standaardgebruikersnaam en het standaardwachtwoord voor UE's worden ook opgeslagen in Azure Key Vault. U kunt de International Mobile Subscriber Identity (IMSI) van de UE gebruiken in plaats van een standaardgebruikersnaam. Zie RADIUS-waarden verzamelen voor meer informatie.
Uw RADIUS-server moet bereikbaar zijn vanaf uw Azure Stack Edge-apparaat in het beheernetwerk. RADIUS wordt alleen ondersteund voor initiële verificatie. Andere RADIUS-functies, zoals boekhouding, worden niet ondersteund.
Toegang tot lokale bewakingshulpprogramma's
Connectiviteit beveiligen met TLS/SSL-certificaten
Toegang tot de gedistribueerde tracerings - en pakketkerndashboards wordt beveiligd door HTTPS. U kunt uw eigen HTTPS-certificaat opgeven om toegang te bevestigen tot uw lokale diagnostische hulpprogramma's. Het verstrekken van een certificaat dat is ondertekend door een wereldwijd bekende en vertrouwde certificeringsinstantie (CA) verleent verdere beveiliging aan uw implementatie; we raden deze optie aan om een certificaat te gebruiken dat is ondertekend door een eigen persoonlijke sleutel (zelfondertekend).
Als u besluit uw eigen certificaten op te geven voor lokale bewakingstoegang, moet u het certificaat toevoegen aan een Azure Key Vault en de juiste toegangsmachtigingen instellen. Zie Lokale bewakingswaarden verzamelen voor meer informatie over het configureren van aangepaste HTTPS-certificaten voor lokale bewakingstoegang.
U kunt configureren hoe de toegang tot uw lokale bewakingshulpprogramma's wordt getest tijdens het maken van een site. Voor bestaande sites kunt u de configuratie voor lokale toegang wijzigen door de configuratie voor lokale toegang op een site te wijzigen.
U wordt aangeraden ten minste één keer per jaar certificaten te draaien (vervangen), inclusief het verwijderen van de oude certificaten uit uw systeem. Mogelijk moet u uw certificaten vaker draaien als ze na minder dan één jaar verlopen of als het organisatiebeleid dit vereist.
Zie Methoden voor het maken van certificaten voor meer informatie over het genereren van een Key Vault-certificaat.
Toegangsverificatie
U kunt Microsoft Entra ID of een lokale gebruikersnaam en wachtwoord gebruiken voor toegang tot de gedistribueerde tracering en pakketkerndashboards.
Met Microsoft Entra ID kunt u systeemeigen verifiëren met behulp van methoden zonder wachtwoord om de aanmeldingservaring te vereenvoudigen en het risico op aanvallen te verminderen. Daarom raden we u aan microsoft Entra-verificatie in te stellen voor lokale gebruikersnamen en wachtwoorden om de beveiliging in uw implementatie te verbeteren.
Als u Besluit Microsoft Entra ID in te stellen voor lokale bewakingstoegang, moet u na het implementeren van een mobiele netwerksite de stappen volgen in Microsoft Entra ID inschakelen voor lokale bewakingshulpprogramma's.
Zie Kies de verificatiemethode voor lokale bewakingshulpprogramma's voor meer informatie over het configureren van lokale toegangsverificatie voor bewaking.
U kunt Azure Policy gebruiken om af te dwingen met behulp van Microsoft Entra ID voor lokale bewakingstoegang. Zie Azure Policy-definities voor Azure Private 5G Core voor meer informatie.
Persoonlijk identificeerbare informatie
Diagnostische pakketten kunnen persoonlijke gegevens, klantgegevens en door het systeem gegenereerde logboeken van uw site bevatten. Wanneer u het diagnostische pakket aan ondersteuning voor Azure verstrekt, geeft u expliciet ondersteuning voor Azure toestemming om toegang te krijgen tot het diagnostische pakket en alle informatie die het bevat. U moet bevestigen dat dit acceptabel is volgens het privacybeleid en de overeenkomsten van uw bedrijf.