Azure Private 5G Core 的安全性

Azure Private 5G Core 可讓服務提供者和系統整合者安全地部署和管理企業的私人行動網路。它會安全地儲存連線到行動網路之裝置所使用的網路組態和 SIM 組態。本文列出 Azure Private 5G Core 提供的安全性功能詳細數據，以協助保護行動網路。

Azure Private 5G Core 包含兩個主要元件，彼此互動：

安全平臺

Azure Private 5G Core 需要將封包核心實例部署至安全的平臺 Azure Stack Edge。如需 Azure Stack Edge 安全性的詳細資訊，請參閱 Azure Stack Edge 安全性和數據保護。

Azure Private 5G Core 服務會安全地儲存待用數據，包括 SIM 認證。它會使用由 Microsoft 管理的平臺管理加密金鑰，提供待用數據的加密。建立 SIM 群組時，預設會使用待用加密。

Azure 私人 5G 核心封包核心實例部署在 Azure Stack Edge 裝置上，可處理數據保護。

除了使用 Microsoft 受控金鑰的預設待用加密（MMK），您也可以在建立 SIM 群組或部署私人行動網路以使用您自己的金鑰加密數據時，選擇性地使用客戶管理密鑰（CMK）。

如果您選擇使用 CMK，則必須在 Azure 金鑰保存庫中建立密鑰 URI，以及具有密鑰讀取、包裝和解除包裝存取權的使用者指派身分識別。請注意：

如需設定 CMK 的詳細資訊，請參閱設定客戶管理的金鑰。

您可以使用 Azure 原則來強制使用 SIM 群組的 CMK。請參閱 Azure Private 5G Core 的 Azure 原則定義。

重要

建立 SIM 群組之後，就無法變更加密類型。不過，如果 SIM 群組使用 CMK，您可以更新用於加密的密鑰。

Azure Private 5G Core 提供 SIM 認證的唯寫存取權。 SIM 認證是允許 UE（使用者設備）存取網路的秘密。

由於這些認證高度敏感，Azure Private 5G Core 不允許服務的使用者讀取認證，但法律要求除外。具有足夠許可權的使用者可能會覆寫認證，或撤銷認證。

存取分散式追蹤和封包核心儀錶板受到 HTTPS 保護。您可以提供自己的 HTTPS 憑證來證明本機診斷工具的存取權。提供由全域已知且受信任的證書頒發機構單位（CA）簽署的憑證，可為您的部署授與額外的安全性：我們建議使用由自己的私鑰簽署的憑證（自我簽署）來使用此選項。

如果您決定提供自己的憑證以進行本機監視存取，您必須將憑證新增至 Azure 金鑰保存庫並設定適當的訪問許可權。如需設定自定義 HTTPS 憑證以進行本機監視存取的其他資訊，請參閱收集本機監視值。

您可以在建立網站時設定如何證明本機監視工具的存取權。針對現有的月臺，您可以遵循修改站台中的本機存取設定來修改本機存取設定。

建議您每年至少取代一次憑證，包括從系統移除舊的憑證。這稱為輪替憑證。如果憑證在不到一年後到期，或組織原則要求憑證，您可能需要更頻繁地輪替憑證。

如需如何產生金鑰保存庫憑證的詳細資訊，請參閱憑證建立方法。

診斷套件可能包含來自您的網站的信息，視使用而定，包括個人資料、客戶數據和系統產生的記錄等數據。將診斷套件提供給 Azure 支援時，您會明確授與 Azure 支援許可權，以存取診斷套件及其包含的任何資訊。您應該確認這在您公司的隱私策略和合約下是可接受的。

您可以使用 Microsoft Entra 識別碼或本機使用者名稱和密碼來存取分散式追蹤和封包核心儀錶板。

Microsoft Entra ID 可讓您使用無密碼方法來原生驗證，以簡化登入體驗並降低攻擊的風險。因此，若要改善部署的安全性，建議您透過本機使用者名稱和密碼設定 Microsoft Entra 驗證。

如果您決定設定 Microsoft Entra ID 以進行本機監視存取，部署行動網站之後，您必須遵循啟用本機監視工具的 Microsoft Entra ID 中的步驟。

如需設定本機監視存取驗證的其他資訊，請參閱選擇本機監視工具的驗證方法。

您可以使用 Azure 原則來強制使用 Entra ID 進行本機監視存取。請參閱 Azure Private 5G Core 的 Azure 原則定義。