Zabezpieczenia prywatnej sieci 5G platformy Azure
Usługa Azure Private 5G Core umożliwia dostawcom usług i integratorom systemów bezpieczne wdrażanie prywatnych sieci mobilnych dla przedsiębiorstwa i zarządzanie nimi. Bezpiecznie przechowuje konfigurację sieci i konfigurację sim używaną przez urządzenia łączące się z siecią mobilną. W tym artykule wymieniono szczegółowe informacje o możliwościach zabezpieczeń udostępnianych przez prywatną sieć 5G Platformy Azure, które pomagają chronić sieć mobilną.
Usługa Azure Private 5G Core składa się z dwóch głównych składników, które współdziałają ze sobą:
- Prywatna usługa Azure 5G Core hostowana na platformie Azure — narzędzia do zarządzania używane do konfigurowania i monitorowania wdrożenia.
- Wystąpienia rdzeni pakietów hostowane na urządzeniach usługi Azure Stack Edge — kompletny zestaw funkcji sieciowych 5G zapewniających łączność z urządzeniami przenośnymi w lokalizacji brzegowej.
Bezpieczna platforma
Prywatna 5G Core platformy Azure wymaga wdrożenia wystąpień rdzeni pakietów na bezpiecznej platformie Azure Stack Edge. Aby uzyskać więcej informacji na temat zabezpieczeń usługi Azure Stack Edge, zobacz Zabezpieczenia i ochrona danych w usłudze Azure Stack Edge.
Szyfrowanie w spoczynku
Prywatna usługa Azure 5G Core przechowuje wszystkie dane bezpiecznie magazynowane, w tym poświadczenia SIM. Zapewnia szyfrowanie danych magazynowanych przy użyciu kluczy szyfrowania zarządzanych przez platformę zarządzanych przez firmę Microsoft. Szyfrowanie magazynowane jest domyślnie używane podczas tworzenia grupy SIM.
Prywatne wystąpienia rdzeni pakietów 5G platformy Azure są wdrażane na urządzeniach Azure Stack Edge, które obsługują ochronę danych.
Szyfrowanie kluczy zarządzanych przez klienta w spoczynku
Oprócz domyślnego szyfrowania magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (MMK) można opcjonalnie użyć kluczy zarządzanych przez klienta (CMK) do szyfrowania danych przy użyciu własnego klucza.
Jeśli zdecydujesz się używać klucza zarządzanego przez klienta, musisz utworzyć identyfikator URI klucza w usłudze Azure Key Vault i tożsamość przypisaną przez użytkownika z dostępem do odczytu, zawijania i odpakowania klucza. Należy pamiętać, że:
- Klucz musi być skonfigurowany tak, aby miał datę aktywacji i wygaśnięcia. Zalecamy skonfigurowanie automatycznego obracania kluczy kryptograficznych w usłudze Azure Key Vault.
- Grupa SIM uzyskuje dostęp do klucza za pośrednictwem tożsamości przypisanej przez użytkownika.
Aby uzyskać więcej informacji na temat konfigurowania klucza zarządzanego przez klienta, zobacz Konfigurowanie kluczy zarządzanych przez klienta.
Za pomocą usługi Azure Policy można wymusić użycie klucza zarządzanego przez klienta dla grup SIM. Aby uzyskać więcej informacji, zobacz Azure Policy definitions for Azure Private 5G Core (Definicje usługi Azure Policy dla prywatnej sieci 5G platformy Azure).
Ważne
Po utworzeniu grupy SIM nie można zmienić typu szyfrowania. Jeśli jednak grupa SIM używa klucza CMK, możesz zaktualizować klucz używany do szyfrowania.
Poświadczenia sim tylko do zapisu
Usługa Azure Private 5G Core zapewnia dostęp tylko do zapisu do poświadczeń SIM. Poświadczenia SIM to wpisy tajne, które umożliwiają dostęp interfejsów użytkownika (sprzętu użytkownika) do sieci.
Ponieważ te poświadczenia są wysoce wrażliwe, usługa Azure Private 5G Core nie zezwala użytkownikom usługi na dostęp do odczytu poświadczeń, z wyjątkiem sytuacji, w których jest to wymagane przez prawo. Wystarczająco uprzywilejowani użytkownicy mogą zastąpić poświadczenia lub odwołać je.
Szyfrowanie NAS
Sygnały warstwy bez dostępu (NAS) są uruchamiane między UE a AMF (5G) lub MME (4G). Zawiera on informacje umożliwiające operacje zarządzania mobilnością i sesjami, które umożliwiają łączność płaszczyzny danych między ue i siecią.
Rdzeń pakietów wykonuje szyfrowanie i ochronę integralności serwera NAS. Podczas rejestracji ue ue obejmuje swoje możliwości zabezpieczeń dla nas z 128-bitowymi kluczami. W przypadku szyfrowania domyślnie usługa Azure Private 5G Core obsługuje następujące algorytmy w kolejności preferencji:
- NEA2/EOG2: szyfrowanie 128-bitowego systemu szyfrowania zaawansowanego (AES)
- NEA1/EOG1: 128-bitowy śnieg 3G
- NEA0/EOG0: algorytm szyfrowania null 5GS
Ta konfiguracja umożliwia najwyższy poziom szyfrowania obsługiwany przez ue, a jednocześnie zezwala na szyfrowanie przez interfejsy użytkownika, które nie obsługują szyfrowania. Aby szyfrowanie było obowiązkowe, nie można uniemożliwić NEA0/EOG0, uniemożliwiając szyfrowania NAS, którzy nie obsługują szyfrowania NAS w sieci.
Te preferencje można zmienić po wdrożeniu, modyfikując konfigurację rdzeni pakietów.
Uwierzytelnianie za pomocą protokołu RADIUS
Usługa Azure Private 5G Core obsługuje uwierzytelnianie zdalne dial-in user service (RADIUS). Rdzeń pakietów można skonfigurować tak, aby skontaktował się z serwerem uwierzytelniania, autoryzacji i ewidencjonowania aktywności (AAA) usługi RADIUS w sieci, aby uwierzytelnić użytkowników w załączniku do sieci i ustanowienia sesji. Komunikacja między rdzeniem pakietów a serwerem RADIUS jest zabezpieczona wspólnym wpisem tajnym przechowywanym w usłudze Azure Key Vault. Domyślna nazwa użytkownika i hasło dla interfejsów użytkownika są również przechowywane w usłudze Azure Key Vault. Zamiast domyślnej nazwy użytkownika możesz użyć międzynarodowej tożsamości subskrybenta mobilnego (IMSI) UE. Aby uzyskać szczegółowe informacje, zobacz Zbieranie wartości usługi RADIUS.
Serwer RADIUS musi być dostępny z urządzenia Azure Stack Edge w sieci zarządzania. Usługa RADIUS jest obsługiwana tylko w przypadku uwierzytelniania początkowego. Inne funkcje usługi RADIUS, takie jak ewidencjonowanie aktywności, nie są obsługiwane.
Dostęp do lokalnych narzędzi do monitorowania
Zabezpieczanie łączności przy użyciu certyfikatów TLS/SSL
Dostęp do rozproszonego śledzenia i pulpitów nawigacyjnych rdzeni pakietów jest zabezpieczony przez protokół HTTPS. Możesz podać własny certyfikat HTTPS, aby potwierdzić dostęp do lokalnych narzędzi diagnostycznych. Zapewnienie certyfikatu podpisanego przez globalnie znany i zaufany urząd certyfikacji zapewnia dalsze zabezpieczenia wdrożenia; Zalecamy użycie tej opcji przy użyciu certyfikatu podpisanego przy użyciu własnego klucza prywatnego (z podpisem własnym).
Jeśli zdecydujesz się na podanie własnych certyfikatów na potrzeby lokalnego dostępu do monitorowania, musisz dodać certyfikat do usługi Azure Key Vault i skonfigurować odpowiednie uprawnienia dostępu. Aby uzyskać więcej informacji na temat konfigurowania niestandardowych certyfikatów HTTPS na potrzeby lokalnego dostępu do monitorowania, zobacz Zbieranie lokalnych wartości monitorowania.
Podczas tworzenia lokacji można skonfigurować sposób zaświadczania dostępu do lokalnych narzędzi do monitorowania. W przypadku istniejących lokacji można zmodyfikować konfigurację dostępu lokalnego, postępując zgodnie z instrukcjami Modyfikowanie konfiguracji dostępu lokalnego w lokacji.
Zalecamy obracanie (zastępowanie) certyfikatów co najmniej raz w roku, w tym usunięcie starych certyfikatów z systemu. Może być konieczne częstsze obracanie certyfikatów, jeśli wygasają po upływie mniej niż jednego roku lub jeśli zasady organizacji tego wymagają.
Aby uzyskać więcej informacji na temat generowania certyfikatu usługi Key Vault, zobacz Metody tworzenia certyfikatów.
Uwierzytelnianie dostępu
Aby uzyskać dostęp do rozproszonego śledzenia i podstawowych pulpitów nawigacyjnych pakietów, możesz użyć identyfikatora Entra firmy Microsoft lub lokalnego nazwy użytkownika i hasła.
Microsoft Entra ID umożliwia natywne uwierzytelnianie przy użyciu metod bez hasła, aby uprościć środowisko logowania i zmniejszyć ryzyko ataków. W związku z tym, aby zwiększyć bezpieczeństwo wdrożenia, zalecamy skonfigurowanie uwierzytelniania firmy Microsoft entra za pośrednictwem lokalnych nazw użytkowników i haseł.
Jeśli zdecydujesz się skonfigurować identyfikator Entra firmy Microsoft na potrzeby lokalnego dostępu do monitorowania, po wdrożeniu lokacji sieci komórkowej należy wykonać kroki opisane w temacie Włączanie identyfikatora Entra firmy Microsoft dla lokalnych narzędzi do monitorowania.
Zobacz Wybieranie metody uwierzytelniania dla lokalnych narzędzi do monitorowania, aby uzyskać więcej informacji na temat konfigurowania uwierzytelniania dostępu do monitorowania lokalnego.
Za pomocą usługi Azure Policy możesz wymusić użycie identyfikatora Entra firmy Microsoft na potrzeby lokalnego dostępu do monitorowania. Aby uzyskać więcej informacji, zobacz Azure Policy definitions for Azure Private 5G Core (Definicje usługi Azure Policy dla prywatnej sieci 5G platformy Azure).
Dane osobowe
Pakiety diagnostyczne mogą obejmować dane osobowe, dane klienta i dzienniki generowane przez system z twojej witryny. W przypadku udostępniania pakietu diagnostycznego do pomoc techniczna platformy Azure jawnie udzielasz pomoc techniczna platformy Azure uprawnień dostępu do pakietu diagnostycznego i wszelkich zawartych w nim informacji. Należy potwierdzić, że jest to akceptowalne w ramach zasad ochrony prywatności i umów firmy.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla