Segurança para o Azure Private 5G Core
O Azure Private 5G Core permite que os provedores de serviços e integradores de sistemas implantem e gerenciem com segurança redes móveis privadas para uma empresa. Ele armazena com segurança a configuração de rede e configuração SIM usado por dispositivos que se conectam à rede móvel. Este artigo lista detalhes sobre os recursos de segurança fornecidos pelo Azure Private 5G Core que ajudam a proteger a rede móvel.
O Azure Private 5G Core consiste em dois componentes principais que interagem entre si:
- O serviço Azure Private 5G Core, hospedado no Azure - as ferramentas de gerenciamento usadas para configurar e monitorar a implantação.
- Instâncias principais de pacotes, hospedadas em dispositivos Azure Stack Edge - o conjunto completo de funções de rede 5G que fornecem conectividade a dispositivos móveis em um ponto de presença.
Plataforma segura
O Azure Private 5G Core requer a implantação de instâncias de núcleo de pacote em uma plataforma segura, o Azure Stack Edge. Para obter mais informações sobre a segurança do Azure Stack Edge, consulte Segurança e proteção de dados do Azure Stack Edge.
Encriptação inativa
O serviço Azure Private 5G Core armazena todos os dados em repouso de forma segura, incluindo credenciais do SIM. Ele fornece criptografia de dados em repouso usando chaves de criptografia gerenciadas pela plataforma, gerenciadas pela Microsoft. A criptografia em repouso é usada por padrão ao criar um grupo SIM.
As instâncias de núcleo de pacote do Azure Private 5G Core são implantadas em dispositivos Azure Stack Edge, que lidam com a proteção de dados.
Criptografia de chave gerenciada pelo cliente em repouso
Além da Criptografia em repouso padrão usando Chaves Gerenciadas pela Microsoft (MMK), você pode, opcionalmente, usar Chaves Gerenciadas pelo Cliente (CMK) ao criar um grupo SIM ou ao implantar uma rede móvel privada para criptografar dados com sua própria chave.
Se você optar por usar uma CMK, precisará criar um URI de chave em seu Cofre de Chaves do Azure e uma identidade atribuída pelo usuário com acesso de leitura, encapsulamento e desempacotamento à chave. Tenha em atenção que:
- A chave deve ser configurada para ter uma data de ativação e expiração e recomendamos que você configure a rotação automática de chaves criptográficas no Cofre de Chaves do Azure.
- O grupo SIM acede à chave através da identidade atribuída pelo utilizador.
Para obter mais informações sobre como configurar a CMK, consulte Configurar chaves gerenciadas pelo cliente.
Você pode usar a Política do Azure para impor o uso da CMK para grupos do SIM. Consulte Definições de Política do Azure para o Azure Private 5G Core.
Importante
Depois que um grupo SIM é criado, você não pode alterar o tipo de criptografia. No entanto, se o grupo SIM usar CMK, você poderá atualizar a chave usada para criptografia.
Credenciais SIM somente gravação
O Azure Private 5G Core fornece acesso somente gravação às credenciais do SIM. As credenciais SIM são os segredos que permitem o acesso dos UEs (equipamento do utilizador) à rede.
Como essas credenciais são altamente confidenciais, o Azure Private 5G Core não permitirá que os usuários do serviço tenham acesso de leitura às credenciais, exceto conforme exigido por lei. Usuários suficientemente privilegiados podem substituir as credenciais ou revogá-las.
Acesso a ferramentas de monitorização local
Conectividade segura usando certificados TLS/SSL
O acesso aos painéis de rastreamento distribuído e núcleo de pacotes é protegido por HTTPS. Você pode fornecer seu próprio certificado HTTPS para atestar o acesso às suas ferramentas de diagnóstico locais. Fornecer um certificado assinado por uma autoridade de certificação (CA) globalmente conhecida e confiável concede segurança adicional à sua implantação; Recomendamos essa opção em vez de usar um certificado assinado por sua própria chave privada (autoassinado).
Se você decidir fornecer seus próprios certificados para acesso de monitoramento local, precisará adicionar o certificado a um Cofre de Chaves do Azure e configurar as permissões de acesso apropriadas. Consulte Coletar valores de monitoramento local para obter informações adicionais sobre como configurar certificados HTTPS personalizados para acesso de monitoramento local.
Você pode configurar como o acesso às suas ferramentas de monitoramento local é atestado durante a criação de um site. Para sites existentes, você pode modificar a configuração de acesso local seguindo Modificar a configuração de acesso local em um site.
Recomendamos que você substitua os certificados pelo menos uma vez por ano, incluindo a remoção dos certificados antigos do seu sistema. Isso é conhecido como certificados rotativos. Talvez seja necessário alternar seus certificados com mais frequência se eles expirarem após menos de um ano ou se as políticas organizacionais exigirem isso.
Para obter mais informações sobre como gerar um certificado do Cofre de Chaves, consulte Métodos de criação de certificados.
Informação pessoal
Os pacotes de diagnóstico podem conter informações do seu site que podem, dependendo do uso, incluir dados como dados pessoais, dados de clientes e logs gerados pelo sistema. Ao fornecer o pacote de diagnóstico ao suporte do Azure, você está explicitamente dando permissão de suporte do Azure para acessar o pacote de diagnóstico e quaisquer informações que ele contenha. Você deve confirmar que isso é aceitável de acordo com as políticas e acordos de privacidade da sua empresa.
Autenticação de acesso
Você pode usar a ID do Microsoft Entra ou um nome de usuário e senha locais para acessar os painéis de rastreamento distribuído e núcleo de pacotes.
O Microsoft Entra ID permite que você se autentique nativamente usando métodos sem senha para simplificar a experiência de entrada e reduzir o risco de ataques. Portanto, para melhorar a segurança em sua implantação, recomendamos configurar a autenticação do Microsoft Entra sobre nomes de usuário e senhas locais.
Se você decidir configurar o Microsoft Entra ID para acesso de monitoramento local, depois de implantar um site de rede móvel, precisará seguir as etapas em Habilitar o Microsoft Entra ID para ferramentas de monitoramento local.
Consulte Escolha o método de autenticação para ferramentas de monitoramento local para obter informações adicionais sobre como configurar a autenticação de acesso de monitoramento local.
Você pode usar a Política do Azure para impor o uso do Entra ID para acesso de monitoramento local. Consulte Definições de Política do Azure para o Azure Private 5G Core.