Segurança para o Azure Private 5G Core
O Azure Private 5G Core permite que os provedores de serviços e integradores de sistemas implantem e gerenciem com segurança redes móveis privadas para uma empresa. Ele armazena com segurança a configuração de rede e configuração SIM usado por dispositivos que se conectam à rede móvel. Este artigo lista detalhes sobre os recursos de segurança fornecidos pelo Azure Private 5G Core que ajudam a proteger a rede móvel.
O Azure Private 5G Core consiste em dois componentes principais que interagem entre si:
- O serviço Azure Private 5G Core, hospedado no Azure - as ferramentas de gerenciamento usadas para configurar e monitorar a implantação.
- Instâncias principais de pacotes, hospedadas em dispositivos Azure Stack Edge - o conjunto completo de funções de rede 5G que fornecem conectividade a dispositivos móveis em um ponto de presença.
Plataforma segura
O Azure Private 5G Core requer a implantação de instâncias de núcleo de pacote em uma plataforma segura, o Azure Stack Edge. Para obter mais informações sobre a segurança do Azure Stack Edge, consulte Segurança e proteção de dados do Azure Stack Edge.
Encriptação inativa
O serviço Azure Private 5G Core armazena todos os dados em repouso de forma segura, incluindo credenciais do SIM. Ele fornece criptografia de dados em repouso usando chaves de criptografia gerenciadas pela plataforma, gerenciadas pela Microsoft. A criptografia em repouso é usada por padrão ao criar um grupo SIM.
As instâncias de núcleo de pacote do Azure Private 5G Core são implantadas em dispositivos Azure Stack Edge, que lidam com a proteção de dados.
Criptografia de chave gerenciada pelo cliente em repouso
Além da Criptografia em repouso padrão usando chaves gerenciadas pela Microsoft (MMK), você pode, opcionalmente, usar chaves gerenciadas pelo cliente (CMK) para criptografar dados com sua própria chave.
Se você optar por usar uma CMK, precisará criar um URI de chave em seu Cofre de Chaves do Azure e uma identidade atribuída pelo usuário com acesso de leitura, encapsulamento e desempacotamento à chave. Tenha em atenção que:
- A chave deve ser configurada para ter uma data de ativação e expiração e recomendamos que você configure a rotação automática de chaves criptográficas no Cofre de Chaves do Azure.
- O grupo SIM acede à chave através da identidade atribuída pelo utilizador.
Para obter mais informações sobre como configurar a CMK, consulte Configurar chaves gerenciadas pelo cliente.
Você pode usar a Política do Azure para impor o uso da CMK para grupos do SIM. Para obter mais informações, consulte Definições de política do Azure para o Azure Private 5G Core.
Importante
Depois que um grupo SIM é criado, você não pode alterar o tipo de criptografia. No entanto, se o grupo SIM usar CMK, você poderá atualizar a chave usada para criptografia.
Credenciais SIM somente gravação
O Azure Private 5G Core fornece acesso somente gravação às credenciais do SIM. As credenciais SIM são os segredos que permitem o acesso dos UEs (equipamento do utilizador) à rede.
Como essas credenciais são altamente confidenciais, o Azure Private 5G Core não permitirá que os usuários do serviço tenham acesso de leitura às credenciais, exceto conforme exigido por lei. Usuários suficientemente privilegiados podem substituir as credenciais ou revogá-las.
Encriptação NAS
A sinalização do estrato de não-acesso (NAS) funciona entre a UE e o AMF (5G) ou o MME (4G). Ele carrega as informações para permitir operações de mobilidade e gerenciamento de sessão que permitem a conectividade do plano de dados entre a UE e a rede.
O núcleo do pacote executa a proteção de codificação e integridade do NAS. Durante o registo na UE, a UE inclui as suas capacidades de segurança para NAS com chaves de 128 bits. Para cifrar, por padrão, o Azure Private 5G Core dá suporte aos seguintes algoritmos em ordem de preferência:
- NEA2/EEA2: encriptação AES (Advanced Encryption System) de 128 bits
- NEA1/EEA1: 128-bit neve 3G
- NEA0/EEA0: algoritmo de encriptação nulo 5GS
Esta configuração permite o nível mais elevado de encriptação suportado pela UE, ao mesmo tempo que permite UEs que não suportam encriptação. Para tornar a criptografia obrigatória, você pode não permitir NEA0/EEA0, impedindo que UEs que não suportam criptografia NAS se registrem na rede.
Você pode alterar essas preferências após a implantação modificando a configuração do núcleo do pacote.
Autenticação RADIUS
O Azure Private 5G Core dá suporte à autenticação RADIUS (Remote Authentication Dial-In User Service). Você pode configurar o núcleo do pacote para entrar em contato com um servidor AAA (autenticação, autorização e contabilidade RADIUS) em sua rede para autenticar UEs em anexo à rede e ao estabelecimento da sessão. A comunicação entre o núcleo do pacote e o servidor RADIUS é protegida com um segredo compartilhado armazenado no Cofre da Chave do Azure. O nome de usuário e a senha padrão para UEs também são armazenados no Cofre de Chaves do Azure. Pode utilizar a Identidade Internacional de Assinante Móvel (IMSI) da UE em vez de um nome de utilizador predefinido. Consulte Coletar valores RADIUS para obter detalhes.
Seu servidor RADIUS deve estar acessível a partir do dispositivo Azure Stack Edge na rede de gerenciamento. RADIUS só é suportado para autenticação inicial. Outros recursos RADIUS, como contabilidade, não são suportados.
Acesso a ferramentas de monitorização local
Conectividade segura usando certificados TLS/SSL
O acesso aos painéis de rastreamento distribuído e núcleo de pacotes é protegido por HTTPS. Você pode fornecer seu próprio certificado HTTPS para atestar o acesso às suas ferramentas de diagnóstico locais. Fornecer um certificado assinado por uma autoridade de certificação (CA) globalmente conhecida e confiável concede mais segurança à sua implantação; Recomendamos essa opção em vez de usar um certificado assinado por sua própria chave privada (autoassinado).
Se você decidir fornecer seus próprios certificados para acesso de monitoramento local, precisará adicionar o certificado a um Cofre de Chaves do Azure e configurar as permissões de acesso apropriadas. Consulte Coletar valores de monitoramento local para obter mais informações sobre como configurar certificados HTTPS personalizados para acesso de monitoramento local.
Você pode configurar como o acesso às suas ferramentas de monitoramento local é atestado durante a criação de um site. Para sites existentes, você pode modificar a configuração de acesso local seguindo Modificar a configuração de acesso local em um site.
Recomendamos que você alterne (substitua) certificados pelo menos uma vez por ano, incluindo a remoção dos certificados antigos do seu sistema. Talvez seja necessário alternar seus certificados com mais frequência se eles expirarem após menos de um ano ou se as políticas organizacionais exigirem isso.
Para obter mais informações sobre como gerar um certificado do Cofre de Chaves, consulte Métodos de criação de certificados.
Autenticação de acesso
Você pode usar a ID do Microsoft Entra ou um nome de usuário e senha locais para acessar os painéis de rastreamento distribuído e núcleo de pacotes.
O Microsoft Entra ID permite que você se autentique nativamente usando métodos sem senha para simplificar a experiência de entrada e reduzir o risco de ataques. Portanto, para melhorar a segurança em sua implantação, recomendamos configurar a autenticação do Microsoft Entra sobre nomes de usuário e senhas locais.
Se você decidir configurar o Microsoft Entra ID para acesso de monitoramento local, depois de implantar um site de rede móvel, precisará seguir as etapas em Habilitar o Microsoft Entra ID para ferramentas de monitoramento local.
Consulte Escolher o método de autenticação para ferramentas de monitoramento local para obter mais informações sobre como configurar a autenticação de acesso de monitoramento local.
Você pode usar a Política do Azure para impor o uso da ID do Microsoft Entra para acesso de monitoramento local. Para obter mais informações, consulte Definições de política do Azure para o Azure Private 5G Core.
Informação pessoal
Os pacotes de diagnóstico podem incluir dados pessoais, dados de clientes e logs gerados pelo sistema do seu site. Ao fornecer o pacote de diagnóstico ao suporte do Azure, você está explicitamente dando permissão de suporte do Azure para acessar o pacote de diagnóstico e quaisquer informações que ele contenha. Você deve confirmar que isso é aceitável de acordo com as políticas e acordos de privacidade da sua empresa.