Säkerhet för Azure Private 5G Core

Med Azure Private 5G Core kan tjänstleverantörer och systemintegratörer distribuera och hantera privata mobilnät på ett säkert sätt för ett företag. Den lagrar säkert nätverkskonfiguration och SIM-konfiguration som används av enheter som ansluter till det mobila nätverket. Den här artikeln innehåller information om de säkerhetsfunktioner som tillhandahålls av Azure Private 5G Core som hjälper till att skydda mobilnätverket.

Azure Private 5G Core består av två huvudkomponenter som interagerar med varandra:

• Azure Private 5G Core-tjänsten som finns i Azure – de hanteringsverktyg som används för att konfigurera och övervaka distributionen.
• Paketkärninstanser som finns på Azure Stack Edge-enheter – den fullständiga uppsättningen 5G-nätverksfunktioner som ger anslutning till mobila enheter på en gränsplats.

Säker plattform

Azure Private 5G Core kräver distribution av paketkärninstanser på en säker plattform, Azure Stack Edge. Mer information om Azure Stack Edge-säkerhet finns i Säkerhet och dataskydd i Azure Stack Edge.

Kryptering i vila

Azure Private 5G Core-tjänsten lagrar alla data säkert i vila, inklusive SIM-autentiseringsuppgifter. Den tillhandahåller kryptering av vilande data med hjälp av plattformshanterade krypteringsnycklar som hanteras av Microsoft. Kryptering i vila används som standard när du skapar en SIM-grupp.

Azure Private 5G Core-paketkärninstanser distribueras på Azure Stack Edge-enheter som hanterar skydd av data.

Kundhanterad nyckelkryptering i vila

Förutom standardkryptering i vila med Hjälp av Microsoft-hanterade nycklar (MMK) kan du även använda kundhanterade nycklar (CMK) för att kryptera data med din egen nyckel.

Om du väljer att använda en CMK måste du skapa en nyckel-URI i ditt Azure Key Vault och en användartilldelad identitet med läs-, wrap- och unwrap-åtkomst till nyckeln. Tänk på följande:

• Nyckeln måste konfigureras så att den har ett aktiverings- och utgångsdatum och vi rekommenderar att du konfigurerar automatisk rotation av kryptografiska nycklar i Azure Key Vault.
• SIM-gruppen kommer åt nyckeln via den användartilldelade identiteten.

Mer information om hur du konfigurerar CMK finns i Konfigurera kundhanterade nycklar.

Du kan använda Azure Policy för att framtvinga användning av CMK för SIM-grupper. Mer information finns i Azure Policy-definitioner för Azure Private 5G Core.

Viktigt!

När en SIM-grupp har skapats kan du inte ändra krypteringstypen. Men om SIM-gruppen använder CMK kan du uppdatera nyckeln som används för kryptering.

Skrivskyddade SIM-autentiseringsuppgifter

Azure Private 5G Core ger skrivskyddad åtkomst till SIM-autentiseringsuppgifter. SIM-autentiseringsuppgifter är de hemligheter som ger åtkomst till nätverket med UE:er (användarutrustning).

Eftersom dessa autentiseringsuppgifter är mycket känsliga tillåter Azure Private 5G Core inte användare av tjänsten läsåtkomst till autentiseringsuppgifterna, förutom vad som krävs enligt lag. Tillräckligt privilegierade användare kan skriva över autentiseringsuppgifterna eller återkalla dem.

NAS-kryptering

Icke-åtkomst stratum (NAS) signalering körs mellan UE och AMF (5G) eller MME (4G). Den innehåller information för att tillåta mobilitets- och sessionshanteringsåtgärder som möjliggör dataplansanslutning mellan UE och nätverket.

Paketkärnan utför chiffer- och integritetsskydd för NAS. Under UE-registreringen innehåller UE sina säkerhetsfunktioner för NAS med 128-bitarsnycklar. För chiffering stöder Azure Private 5G Core som standard följande algoritmer i prioritetsordning:

• NEA2/EEA2: 128-bitars AES-kryptering (Advanced Encryption System)
• NEA1/EEA1: 128-bitars snö 3G
• NEA0/EEA0: 5GS nullkrypteringsalgoritm

Den här konfigurationen möjliggör den högsta krypteringsnivån som UE stöder samtidigt som UE:er som inte stöder kryptering tillåts. Om du vill göra kryptering obligatoriskt kan du inte tillåta NEA0/EEA0, vilket förhindrar att UE:er som inte stöder NAS-kryptering registreras i nätverket.

Du kan ändra de här inställningarna efter distributionen genom att ändra paketkärnkonfigurationen.

RADIUS-autentisering

Azure Private 5G Core stöder RADIUS-autentisering (Remote Authentication Dial-In User Service). Du kan konfigurera paketkärnan så att den kontaktar en RADIUS-autentiserings-, auktoriserings- och redovisningsserver (AAA) i nätverket för att autentisera UE:er i en bifogad fil till nätverks- och sessionsetableringen. Kommunikationen mellan paketkärnan och RADIUS-servern skyddas med en delad hemlighet som lagras i Azure Key Vault. Standardanvändarnamnet och lösenordet för UE:er lagras också i Azure Key Vault. Du kan använda UE:s IMSI (International Mobile Subscriber Identity) i stället för ett standardanvändarnamn. Mer information finns i Samla in RADIUS-värden .

RADIUS-servern måste kunna nås från din Azure Stack Edge-enhet i hanteringsnätverket. RADIUS stöds endast för inledande autentisering. Andra RADIUS-funktioner, till exempel redovisning, stöds inte.

Åtkomst till lokala övervakningsverktyg

Säker anslutning med TLS/SSL-certifikat

Åtkomst till instrumentpanelerna för distribuerad spårning och paketkärna skyddas av HTTPS. Du kan ange ett eget HTTPS-certifikat för att intyga åtkomst till dina lokala diagnostikverktyg. Genom att tillhandahålla ett certifikat som signerats av en globalt känd och betrodd certifikatutfärdare (CA) får du ytterligare säkerhet för distributionen. Vi rekommenderar det här alternativet över att använda ett certifikat signerat av sin egen privata nyckel (självsignerad).

Om du bestämmer dig för att ange egna certifikat för lokal övervakningsåtkomst måste du lägga till certifikatet i ett Azure Key Vault och konfigurera lämpliga åtkomstbehörigheter. Mer information om hur du konfigurerar anpassade HTTPS-certifikat för lokal övervakning finns i Samla in lokala övervakningsvärden .

Du kan konfigurera hur åtkomsten till dina lokala övervakningsverktyg ska intygas när du skapar en webbplats. För befintliga platser kan du ändra konfigurationen för lokal åtkomst genom att följa Ändra konfigurationen för lokal åtkomst på en plats.

Vi rekommenderar att du roterar (ersätter) certifikat minst en gång per år, inklusive att ta bort de gamla certifikaten från systemet. Du kan behöva rotera dina certifikat oftare om de upphör att gälla efter mindre än ett år, eller om organisationens principer kräver det.

Mer information om hur du genererar ett Key Vault-certifikat finns i Metoder för att skapa certifikat.

Åtkomstautentisering

Du kan använda Microsoft Entra-ID eller ett lokalt användarnamn och lösenord för att få åtkomst till instrumentpanelerna för distribuerad spårning och paketkärnor.

Med Microsoft Entra-ID kan du autentisera internt med hjälp av lösenordslösa metoder för att förenkla inloggningen och minska risken för attacker. För att förbättra säkerheten i distributionen rekommenderar vi därför att du konfigurerar Microsoft Entra-autentisering över lokala användarnamn och lösenord.

Om du bestämmer dig för att konfigurera Microsoft Entra-ID för lokal övervakningsåtkomst måste du följa stegen i Aktivera Microsoft Entra-ID för lokala övervakningsverktyg när du har distribuerat en mobil nätverksplats.

Mer information om hur du konfigurerar åtkomstautentisering för lokal övervakning finns i Välj autentiseringsmetod för lokala övervakningsverktyg .

Du kan använda Azure Policy för att framtvinga användning av Microsoft Entra-ID för lokal övervakningsåtkomst. Mer information finns i Azure Policy-definitioner för Azure Private 5G Core.

Personligt identifierbar information

Diagnostikpaket kan innehålla personliga data, kunddata och systemgenererade loggar från din webbplats. När du tillhandahåller diagnostikpaketet till Azure-supporten ger du uttryckligen Azure-supporten behörighet att komma åt diagnostikpaketet och all information som det innehåller. Du bör bekräfta att detta är acceptabelt enligt företagets sekretesspolicyer och avtal.

Nästa steg

• Distribuera ett privat mobilt nätverk – Azure-portalen