Zabezpieczenia prywatnej sieci 5G platformy Azure
Usługa Azure Private 5G Core umożliwia dostawcom usług i integratorom systemów bezpieczne wdrażanie prywatnych sieci mobilnych dla przedsiębiorstwa i zarządzanie nimi. Bezpiecznie przechowuje konfigurację sieci i konfigurację sim używaną przez urządzenia łączące się z siecią mobilną. W tym artykule wymieniono szczegółowe informacje o możliwościach zabezpieczeń udostępnianych przez prywatną sieć 5G Platformy Azure, które pomagają chronić sieć mobilną.
Usługa Azure Private 5G Core składa się z dwóch głównych składników, które współdziałają ze sobą:
- Prywatna usługa Azure 5G Core hostowana na platformie Azure — narzędzia do zarządzania używane do konfigurowania i monitorowania wdrożenia.
- Wystąpienia rdzeni pakietów hostowane na urządzeniach usługi Azure Stack Edge — kompletny zestaw funkcji sieciowych 5G zapewniających łączność z urządzeniami przenośnymi w lokalizacji brzegowej.
Bezpieczna platforma
Prywatna 5G Core platformy Azure wymaga wdrożenia wystąpień rdzeni pakietów na bezpiecznej platformie Azure Stack Edge. Aby uzyskać więcej informacji na temat zabezpieczeń usługi Azure Stack Edge, zobacz Zabezpieczenia i ochrona danych w usłudze Azure Stack Edge.
Szyfrowanie w spoczynku
Prywatna usługa Azure 5G Core przechowuje wszystkie dane bezpiecznie magazynowane, w tym poświadczenia SIM. Zapewnia szyfrowanie danych magazynowanych przy użyciu kluczy szyfrowania zarządzanych przez platformę zarządzanych przez firmę Microsoft. Szyfrowanie magazynowane jest domyślnie używane podczas tworzenia grupy SIM.
Prywatne wystąpienia rdzeni pakietów 5G platformy Azure są wdrażane na urządzeniach Azure Stack Edge, które obsługują ochronę danych.
Szyfrowanie kluczy zarządzanych przez klienta w spoczynku
Oprócz domyślnego szyfrowania magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (MMK) można opcjonalnie użyć kluczy zarządzanych przez klienta (CMK) podczas tworzenia grupy SIM lub wdrażania prywatnej sieci komórkowej w celu szyfrowania danych przy użyciu własnego klucza.
Jeśli zdecydujesz się używać klucza zarządzanego przez klienta, musisz utworzyć identyfikator URI klucza w usłudze Azure Key Vault i tożsamość przypisaną przez użytkownika z dostępem do odczytu, zawijania i odpakowania klucza. Należy pamiętać, że:
- Klucz musi być skonfigurowany tak, aby miał datę aktywacji i wygaśnięcia. Zalecamy skonfigurowanie automatycznego obracania kluczy kryptograficznych w usłudze Azure Key Vault.
- Grupa SIM uzyskuje dostęp do klucza za pośrednictwem tożsamości przypisanej przez użytkownika.
Aby uzyskać więcej informacji na temat konfigurowania klucza zarządzanego przez klienta, zobacz Konfigurowanie kluczy zarządzanych przez klienta.
Za pomocą usługi Azure Policy można wymusić użycie klucza zarządzanego przez klienta dla grup SIM. Zobacz Definicje usługi Azure Policy dla prywatnej sieci 5G platformy Azure.
Ważne
Po utworzeniu grupy SIM nie można zmienić typu szyfrowania. Jeśli jednak grupa SIM używa klucza CMK, możesz zaktualizować klucz używany do szyfrowania.
Poświadczenia sim tylko do zapisu
Usługa Azure Private 5G Core zapewnia dostęp tylko do zapisu do poświadczeń SIM. Poświadczenia SIM to wpisy tajne, które umożliwiają dostęp interfejsów użytkownika (sprzętu użytkownika) do sieci.
Ponieważ te poświadczenia są wysoce wrażliwe, usługa Azure Private 5G Core nie zezwala użytkownikom usługi na dostęp do odczytu poświadczeń, z wyjątkiem sytuacji, w których jest to wymagane przez prawo. Wystarczająco uprzywilejowani użytkownicy mogą zastąpić poświadczenia lub odwołać je.
Dostęp do lokalnych narzędzi do monitorowania
Zabezpieczanie łączności przy użyciu certyfikatów TLS/SSL
Dostęp do rozproszonego śledzenia i pulpitów nawigacyjnych rdzeni pakietów jest zabezpieczony przez protokół HTTPS. Możesz podać własny certyfikat HTTPS, aby potwierdzić dostęp do lokalnych narzędzi diagnostycznych. Zapewnienie certyfikatu podpisanego przez globalnie znany i zaufany urząd certyfikacji zapewnia dodatkowe zabezpieczenia wdrożenia; Zalecamy użycie tej opcji przy użyciu certyfikatu podpisanego przy użyciu własnego klucza prywatnego (z podpisem własnym).
Jeśli zdecydujesz się na podanie własnych certyfikatów na potrzeby lokalnego dostępu do monitorowania, musisz dodać certyfikat do usługi Azure Key Vault i skonfigurować odpowiednie uprawnienia dostępu. Aby uzyskać dodatkowe informacje na temat konfigurowania niestandardowych certyfikatów HTTPS na potrzeby lokalnego dostępu do monitorowania, zobacz Zbieranie lokalnych wartości monitorowania.
Podczas tworzenia lokacji można skonfigurować sposób zaświadczania dostępu do lokalnych narzędzi do monitorowania. W przypadku istniejących lokacji można zmodyfikować konfigurację dostępu lokalnego, postępując zgodnie z instrukcjami Modyfikowanie konfiguracji dostępu lokalnego w lokacji.
Zalecamy zastąpienie certyfikatów co najmniej raz rocznie, w tym usunięcie starych certyfikatów z systemu. Jest to nazywane rotacją certyfikatów. Może być konieczne częstsze obracanie certyfikatów, jeśli wygasają po upływie mniej niż jednego roku lub jeśli zasady organizacji tego wymagają.
Aby uzyskać więcej informacji na temat generowania certyfikatu usługi Key Vault, zobacz Metody tworzenia certyfikatów.
Dane osobowe
Pakiety diagnostyczne mogą zawierać informacje z witryny, które mogą, w zależności od użycia, zawierać dane, takie jak dane osobowe, dane klienta i dzienniki generowane przez system. W przypadku udostępniania pakietu diagnostycznego do pomoc techniczna platformy Azure jawnie udzielasz pomoc techniczna platformy Azure uprawnień dostępu do pakietu diagnostycznego i wszelkich zawartych w nim informacji. Należy potwierdzić, że jest to akceptowalne w ramach zasad ochrony prywatności i umów firmy.
Uwierzytelnianie dostępu
Aby uzyskać dostęp do rozproszonego śledzenia i podstawowych pulpitów nawigacyjnych pakietów, możesz użyć identyfikatora Entra firmy Microsoft lub lokalnego nazwy użytkownika i hasła.
Microsoft Entra ID umożliwia natywne uwierzytelnianie przy użyciu metod bez hasła, aby uprościć środowisko logowania i zmniejszyć ryzyko ataków. W związku z tym, aby zwiększyć bezpieczeństwo wdrożenia, zalecamy skonfigurowanie uwierzytelniania firmy Microsoft entra za pośrednictwem lokalnych nazw użytkowników i haseł.
Jeśli zdecydujesz się skonfigurować identyfikator Entra firmy Microsoft na potrzeby lokalnego dostępu do monitorowania, po wdrożeniu lokacji sieci komórkowej należy wykonać kroki opisane w temacie Włączanie identyfikatora Entra firmy Microsoft dla lokalnych narzędzi do monitorowania.
Zobacz Wybieranie metody uwierzytelniania dla lokalnych narzędzi do monitorowania, aby uzyskać dodatkowe informacje na temat konfigurowania uwierzytelniania dostępu do monitorowania lokalnego.
Za pomocą usługi Azure Policy można wymusić użycie identyfikatora Entra na potrzeby lokalnego dostępu do monitorowania. Zobacz Definicje usługi Azure Policy dla prywatnej sieci 5G platformy Azure.