Sicurezza per Azure Private 5G Core
Azure Private 5G Core consente ai provider di servizi e agli integratori di sistemi di distribuire e gestire in modo sicuro le reti mobili private per un'azienda. Archivia in modo sicuro la configurazione di rete e la configurazione SIM usata dai dispositivi che si connettono alla rete mobile. Questo articolo elenca i dettagli sulle funzionalità di sicurezza fornite da Azure Private 5G Core che consentono di proteggere la rete mobile.
Azure Private 5G Core è costituito da due componenti principali che interagiscono tra loro:
- Il servizio 5G Core privato di Azure, ospitato in Azure, gli strumenti di gestione usati per configurare e monitorare la distribuzione.
- Istanze di base dei pacchetti, ospitate nei dispositivi Azure Stack Edge: il set completo di funzioni di rete 5G che forniscono connettività ai dispositivi mobili in una posizione perimetrale.
Piattaforma sicura
Azure Private 5G Core richiede la distribuzione di istanze di core di pacchetti in una piattaforma sicura, Azure Stack Edge. Per altre informazioni sulla sicurezza di Azure Stack Edge, vedere Sicurezza e protezione dei dati di Azure Stack Edge.
Crittografia dei dati inattivi
Il servizio 5G Core privato di Azure archivia tutti i dati inattivi in modo sicuro, incluse le credenziali SIM. Fornisce la crittografia dei dati inattivi usando chiavi di crittografia gestite dalla piattaforma, gestite da Microsoft. La crittografia dei dati inattivi viene usata per impostazione predefinita durante la creazione di un gruppo SIM.
Le istanze principali di pacchetti 5G core di Azure private vengono distribuite nei dispositivi Azure Stack Edge, che gestiscono la protezione dei dati.
Crittografia della chiave gestita dal cliente inattivi
Oltre alla crittografia dei dati inattivi predefinita tramite chiavi gestite da Microsoft (MMK), è possibile usare facoltativamente chiavi gestite dal cliente (CMK) per crittografare i dati con la propria chiave.
Se si sceglie di usare una chiave gestita dal cliente, è necessario creare un URI della chiave nell'insieme di credenziali delle chiavi di Azure e un'identità assegnata dall'utente con accesso in lettura, wrapping e annullamento del wrapping dell'accesso alla chiave. Tenere presente quanto segue:
- La chiave deve essere configurata per avere una data di attivazione e scadenza ed è consigliabile configurare la rotazione automatica della chiave crittografica in Azure Key Vault.
- Il gruppo SIM accede alla chiave tramite l'identità assegnata dall'utente.
Per altre informazioni sulla configurazione della chiave gestita dal cliente, vedere Configurare le chiavi gestite dal cliente.
È possibile usare Criteri di Azure per applicare l'uso della chiave gestita dal cliente per i gruppi SIM. Per altre informazioni, vedere definizioni di Criteri di Azure per Azure Private 5G Core.
Importante
Dopo aver creato un gruppo SIM, non è possibile modificare il tipo di crittografia. Tuttavia, se il gruppo SIM usa cmk, è possibile aggiornare la chiave usata per la crittografia.
Credenziali SIM di sola scrittura
Azure Private 5G Core fornisce l'accesso in sola scrittura alle credenziali SIM. Le credenziali SIM sono i segreti che consentono agli utenti (apparecchiature utente) di accedere alla rete.
Poiché queste credenziali sono estremamente sensibili, Azure Private 5G Core non consentirà agli utenti del servizio l'accesso in lettura alle credenziali, tranne quanto richiesto dalla legge. Gli utenti con privilegi sufficienti possono sovrascrivere le credenziali o revocarle.
Crittografia NAS
I segnali NAS (Non Access Stratum) vengono eseguiti tra UE e AMF (5G) o MME (4G). Contiene le informazioni per consentire operazioni di gestione di mobilità e sessione che consentono la connettività del piano dati tra UE e rete.
Il core del pacchetto esegue la crittografia e la protezione dell'integrità del NAS. Durante la registrazione UE, l'UE include le funzionalità di sicurezza per NAS con chiavi a 128 bit. Per la crittografia, per impostazione predefinita, Azure Private 5G Core supporta gli algoritmi seguenti in ordine di preferenza:
- NEA2/edizione Enterprise A2: crittografia AES (Advanced Encryption System) a 128 bit
- NEA1/edizione Enterprise A1: 3G neve a 128 bit
- NEA0/edizione Enterprise A0: algoritmo di crittografia Null 5GS
Questa configurazione abilita il livello di crittografia più elevato supportato dall'UE, consentendo comunque le unità definite dall'utente che non supportano la crittografia. Per rendere obbligatoria la crittografia, è possibile impedire la registrazione di NEA0/edizione Enterprise A0, impedendo alle unità utente che non supportano la crittografia NAS di eseguire la registrazione con la rete.
È possibile modificare queste preferenze dopo la distribuzione modificando la configurazione di base del pacchetto.
Autenticazione RADIUS
Azure Private 5G Core supporta l'autenticazione RADIUS (Remote Authentication Dial-In User Service). È possibile configurare il core del pacchetto per contattare un server AAA (RADIUS Authentication, Authorization e Accounting) nella rete per autenticare le ENTITÀ nell'allegato alla rete e alla definizione della sessione. La comunicazione tra il core del pacchetto e il server RADIUS è protetta con un segreto condiviso archiviato in Azure Key Vault. Anche il nome utente e la password predefiniti per le entità utente vengono archiviati in Azure Key Vault. È possibile usare l'identità imSI (International Mobile Subscriber Identity) dell'UE al posto di un nome utente predefinito. Per informazioni dettagliate, vedere Raccogliere i valori RADIUS.
Il server RADIUS deve essere raggiungibile dal dispositivo Azure Stack Edge nella rete di gestione. RADIUS è supportato solo per l'autenticazione iniziale. Altre funzionalità RADIUS, ad esempio la contabilità, non sono supportate.
Accesso agli strumenti di monitoraggio locali
Proteggere la connettività con i certificati TLS/SSL
L'accesso ai dashboard di base di traccia distribuita e pacchetti è protetto da HTTPS. È possibile fornire un certificato HTTPS personalizzato per attestare l'accesso agli strumenti di diagnostica locali. La fornitura di un certificato firmato da un'autorità di certificazione (CA) nota a livello globale concede ulteriore sicurezza alla distribuzione; è consigliabile usare un certificato firmato dalla propria chiave privata (autofirmato).
Se si decide di fornire certificati personalizzati per l'accesso al monitoraggio locale, è necessario aggiungere il certificato a un insieme di credenziali delle chiavi di Azure e configurare le autorizzazioni di accesso appropriate. Per altre informazioni sulla configurazione di certificati HTTPS personalizzati per l'accesso al monitoraggio locale, vedere Raccogliere i valori di monitoraggio locale.
È possibile configurare l'attestazione dell'accesso agli strumenti di monitoraggio locali durante la creazione di un sito. Per i siti esistenti, è possibile modificare la configurazione dell'accesso locale seguendo Modifica la configurazione dell'accesso locale in un sito.
È consigliabile ruotare (sostituire) i certificati almeno una volta all'anno, inclusa la rimozione dei certificati precedenti dal sistema. Potrebbe essere necessario ruotare i certificati più frequentemente se scadono dopo meno di un anno o se i criteri dell'organizzazione lo richiedono.
Per altre informazioni su come generare un certificato di Key Vault, vedere Metodi di creazione dei certificati.
Autenticazione di accesso
È possibile usare Microsoft Entra ID o un nome utente e una password locali per accedere ai dashboard di base della traccia distribuita e dei pacchetti.
Microsoft Entra ID consente di eseguire l'autenticazione nativa usando metodi senza password per semplificare l'esperienza di accesso e ridurre il rischio di attacchi. Pertanto, per migliorare la sicurezza nella distribuzione, è consigliabile configurare l'autenticazione di Microsoft Entra su nomi utente e password locali.
Se si decide di configurare Microsoft Entra ID per l'accesso al monitoraggio locale, dopo aver distribuito un sito di rete mobile, è necessario seguire la procedura descritta in Abilitare Microsoft Entra ID per gli strumenti di monitoraggio locali.
Per altre informazioni sulla configurazione dell'autenticazione locale, vedere Scegliere il metodo di autenticazione per gli strumenti di monitoraggio locale.
È possibile usare Criteri di Azure per applicare l'uso dell'ID Microsoft Entra per l'accesso al monitoraggio locale. Per altre informazioni, vedere definizioni di Criteri di Azure per Azure Private 5G Core.
Informazioni personali
I pacchetti di diagnostica possono includere dati personali, dati dei clienti e log generati dal sistema dal sito. Quando si fornisce il pacchetto di diagnostica per supporto tecnico di Azure, si concede in modo esplicito supporto tecnico di Azure l'autorizzazione per accedere al pacchetto di diagnostica e a tutte le informazioni contenute. È consigliabile verificare che questo sia accettabile in base alle politiche e ai contratti di privacy dell'azienda.