Безопасность для частного ядра 5G Azure
Azure Private 5G Core позволяет поставщикам услуг и интеграторам систем безопасно развертывать частные мобильные сети для предприятия и управлять ими. Он безопасно сохраняет конфигурацию сети и конфигурацию SIM, используемую устройствами, подключающимися к мобильной сети. В этой статье приводятся сведения о возможностях безопасности, предоставляемых Частным 5G Core Azure, которые помогают защитить мобильную сеть.
Azure Private 5G Core состоит из двух основных компонентов, взаимодействующих друг с другом:
- Частная служба Azure 5G Core, размещенная в Azure, — средства управления, используемые для настройки и мониторинга развертывания.
- Базовые экземпляры пакетов, размещенные на устройствах Azure Stack Edge, — полный набор сетевых функций 5G, которые обеспечивают подключение к мобильным устройствам в пограничном расположении.
Безопасная платформа
Azure Private 5G Core требует развертывания экземпляров ядра пакетов на безопасной платформе Azure Stack Edge. Дополнительные сведения о безопасности Azure Stack Edge см. в статье о безопасности и защите данных Azure Stack Edge.
Шифрование при хранении
Служба Azure Private 5G Core хранит все данные безопасно неактивных данных, включая учетные данные SIM. Он обеспечивает шифрование неактивных данных с помощью ключей шифрования, управляемых корпорацией Майкрософт, управляемыми платформой. Шифрование неактивных данных используется по умолчанию при создании группы SIM-карт.
На устройствах Azure Stack Edge развертываются частные экземпляры основных пакетов Azure 5G Core, которые обрабатывают защиту данных.
Шифрование ключей, управляемых клиентом, неактивных
Помимо шифрования по умолчанию с помощью ключей, управляемых Корпорацией Майкрософт (MMK), вы можете при необходимости использовать управляемые клиентом ключи (CMK) при создании группы SIM-карт или при развертывании частной мобильной сети для шифрования данных с собственным ключом.
Если вы решили использовать CMK, вам потребуется создать универсальный код ресурса (URI) ключа в Azure Key Vault и назначаемое пользователем удостоверение с помощью чтения, упаковки и отмены доступа к ключу. Обратите внимание на следующие условия.
- Ключ должен быть настроен на активацию и дату окончания срока действия, и рекомендуется настроить автоматическое смену криптографического ключа в Azure Key Vault.
- Группа SIM-карт обращается к ключу с помощью удостоверения, назначаемого пользователем.
Дополнительные сведения о настройке CMK см. в разделе "Настройка ключей, управляемых клиентом".
Вы можете использовать Политика Azure для принудительного применения cmK для групп SIM. См. Политика Azure определения для Частных 5G Core Azure.
Внимание
После создания группы SIM невозможно изменить тип шифрования. Однако если группа SIM использует CMK, можно обновить ключ, используемый для шифрования.
Учетные данные SIM только для записи
Azure Private 5G Core предоставляет доступ только для записи к учетным данным SIM-карты. Учетные данные SIM — это секреты, разрешающие UEs (пользовательское оборудование) доступ к сети.
Так как эти учетные данные очень чувствительны, Частный 5G Core Azure не разрешает пользователям службы доступ на чтение учетных данных, за исключением случаев, необходимых в соответствии с законом. Достаточно привилегированные пользователи могут перезаписать учетные данные или отозвать их.
Доступ к локальным средствам мониторинга
Безопасное подключение с помощью TLS/SSL-сертификатов
Доступ к распределенным панелям трассировки и ядра пакетов обеспечивается HTTPS. Вы можете предоставить собственный сертификат HTTPS для проверки доступа к локальным средствам диагностика. Предоставление сертификата, подписанного глобально известным и доверенным центром сертификации (ЦС), обеспечивает дополнительную безопасность для развертывания; Этот параметр рекомендуется использовать сертификат, подписанный собственным закрытым ключом (самозаверяющий).
Если вы решите предоставить собственные сертификаты для доступа к локальному мониторингу, необходимо добавить сертификат в Azure Key Vault и настроить соответствующие разрешения доступа. Дополнительные сведения о настройке пользовательских сертификатов HTTPS для локального доступа к мониторингу см. в разделе "Сбор локальных значений мониторинга".
Вы можете настроить способ проверки доступа к локальным средствам мониторинга при создании сайта. Для существующих сайтов можно изменить конфигурацию локального доступа, следуя инструкции по изменению конфигурации локального доступа на сайте.
Рекомендуется заменить сертификаты по крайней мере один раз в год, включая удаление старых сертификатов из системы. Это называется поворотом сертификатов. Возможно, вам потребуется сменить сертификаты чаще, если срок их действия истекает менее чем за один год, или если политики организации требуют его.
Дополнительные сведения о создании сертификата Key Vault см. в разделе "Методы создания сертификатов".
Персональные данные
Пакеты диагностики могут содержать сведения с сайта, которые могут включать такие данные, как персональные данные, данные клиента и системные журналы. При предоставлении пакета диагностика поддержка Azure вы явно предоставляете поддержка Azure разрешение на доступ к пакету диагностика и все содержащиеся в нем сведения. Убедитесь, что это допустимо в соответствии с политиками и соглашениями о конфиденциальности вашей компании.
Проверка подлинности доступа
Вы можете использовать идентификатор Microsoft Entra или локальное имя пользователя и пароль для доступа к распределенным панелям трассировки и ядра пакетов.
Идентификатор Microsoft Entra позволяет выполнять собственную проверку подлинности с помощью методов без пароля, чтобы упростить вход и снизить риск атак. Поэтому для повышения безопасности в развертывании рекомендуется настроить проверку подлинности Microsoft Entra по локальным именам пользователей и паролям.
Если вы решили настроить идентификатор Microsoft Entra для локального мониторинга, после развертывания сайта мобильной сети вам потребуется выполнить действия, описанные в разделе "Включить идентификатор Microsoft Entra" для локальных средств мониторинга.
Дополнительные сведения о настройке проверки подлинности для локального мониторинга см. в статье "Выбор метода проверки подлинности для локального мониторинга ".
Вы можете использовать Политика Azure для принудительного применения идентификатора Записи для локального мониторинга доступа. См. Политика Azure определения для Частных 5G Core Azure.