Azure Private 5G Core 的安全性
Azure Private 5G Core 可讓服務提供者和系統整合者安全地部署和管理企業的私人行動網路。 它會安全地儲存連線到行動網路之裝置所使用的網路組態和 SIM 組態。 本文列出 Azure Private 5G Core 提供的安全性功能詳細數據,以協助保護行動網路。
「Azure 私人 5G 核心」包含兩個彼此互動的主要元件:
- Azure 私人 5G 核心服務,裝載於 Azure 中 - 這是用來設定和監視部署的管理工具。
- 封包核心執行個體,裝載於 Azure Stack Edge 裝置上 - 這是一組完整的 5G 網路功能,可為邊緣位置的行動裝置提供連線。
安全平臺
Azure Private 5G Core 需要將封包核心實例部署至安全的平臺 Azure Stack Edge。 如需 Azure Stack Edge 安全性的詳細資訊,請參閱 Azure Stack Edge 安全性和數據保護。
待用加密
Azure Private 5G Core 服務會安全地儲存待用數據,包括 SIM 認證。 它會使用由Microsoft管理的平臺管理加密密鑰,提供 待 用數據的加密。 建立 SIM 群組時,預設會使用待用加密。
Azure 私人 5G 核心封包核心實例部署在 Azure Stack Edge 裝置上,可處理 數據保護。
待用客戶管理的金鑰加密
除了 使用Microsoft受控密鑰的預設待 用加密 (MMK),您也可以選擇性地使用客戶自控密鑰 (CMK) 來加密數據。
如果您選擇使用 CMK,則必須在 Azure 金鑰保存庫 中建立密鑰 URI,以及具有密鑰讀取、包裝和解除包裝存取權的使用者指派身分識別。 請注意:
- 密鑰必須設定為具有啟用和到期日,建議您在 Azure 金鑰保存庫 中設定密碼編譯金鑰自動輪替。
- SIM 群組會透過使用者指派的身分識別來存取金鑰。
如需設定 CMK 的詳細資訊,請參閱 設定客戶管理的金鑰。
您可以使用 Azure 原則 來強制使用 SIM 群組的 CMK。 如需詳細資訊,請參閱 azure Private 5G Core Azure 原則 定義。
重要
建立 SIM 群組之後,就無法變更加密類型。 不過,如果 SIM 群組使用 CMK,您可以更新用於加密的密鑰。
唯寫 SIM 卡認證
Azure Private 5G Core 提供 SIM 認證的唯寫存取權。 SIM 認證是允許 UE(使用者設備)存取網路的秘密。
由於這些認證高度敏感,Azure Private 5G Core 不允許服務的使用者讀取認證,但法律要求除外。 具有足夠許可權的使用者可能會覆寫認證,或撤銷認證。
NAS 加密
非存取層 (NAS) 訊號會在 UE 與 AMF (5G) 或 MME (4G) 之間執行。 其會攜帶資訊,以允許行動和會話管理作業,以啟用 UE 與網路之間的數據平面連線。
封包核心會執行 NAS 的加密和完整性保護。 在 UE 註冊期間,UE 包含其具有 128 位金鑰的 NAS 安全性功能。 針對加密,根據預設,Azure Private 5G Core 會依喜好設定順序支援下列演算法:
- NEA2/IMF2:128 位進階加密系統 (AES) 加密
- NEA1/EEA1:128 位雪 3G
- NEA0/EEA0:5GS Null 加密演算法
此設定可啟用 UE 支援的最高層級加密,同時仍允許不支援加密的 UE。 若要強制加密,您可以禁止 NEA0/EEA0,防止不支援 NAS 加密的 UE 向網路註冊。
您可以藉由 修改封包核心組態,在部署之後變更這些喜好設定。
RADIUS 驗證
Azure Private 5G Core 支援遠端驗證撥入使用者服務 (RADIUS) 驗證。 您可以設定封包核心以連絡您網路中RADIUS驗證、授權和會計 (AAA) 伺服器,以在網路和工作階段建立的附件上驗證 UE。 封包核心與RADIUS伺服器之間的通訊會使用儲存在 Azure 金鑰保存庫 中的共用秘密來保護。 UE 的預設使用者名稱和密碼也會儲存在 Azure 金鑰保存庫 中。 您可以使用 UE 的國際行動使用者身分識別 (IMSI) 取代預設使用者名稱。 如需詳細資訊,請參閱 收集RADIUS值 。
您的RADIUS伺服器必須可從管理網路上的 Azure Stack Edge 裝置連線。 只有初始驗證才支援RADIUS。 不支援其他RADIUS功能,例如會計。
存取本機監視工具
使用 TLS/SSL 憑證保護連線
存取分散式追蹤和封包核心儀錶板受到 HTTPS 保護。 您可以提供自己的 HTTPS 憑證來證明本機診斷工具的存取權。 提供由全域已知且受信任的證書頒發機構單位 (CA) 簽署的憑證,可為您的部署授與進一步的安全性:我們建議使用由自己的私鑰簽署的憑證(自我簽署)來使用此選項。
如果您決定為本機監視存取提供自己的憑證,您必須將憑證新增至 Azure 金鑰保存庫 並設定適當的訪問許可權。 如需設定自定義 HTTPS 憑證以進行本機監視存取的詳細資訊,請參閱 收集本機監視值 。
您可以在建立網站時設定如何證明本機監視工具的存取權。 針對現有的月臺,您可以遵循 修改站台中的本機存取設定來修改本機存取設定。
建議您每年至少輪替一次憑證,包括從系統移除舊的憑證。 如果憑證在不到一年後到期,或組織原則要求憑證,您可能需要更頻繁地輪替憑證。
如需如何產生 金鑰保存庫 憑證的詳細資訊,請參閱憑證建立方法。
存取驗證
您可以使用 Microsoft Entra ID 或本機使用者名稱和密碼來存取 分散式追蹤 和 封包核心儀錶板。
Microsoft Entra ID 可讓您使用無密碼方法來原生驗證,以簡化登入體驗,並減少攻擊的風險。 因此,若要改善部署的安全性,建議您透過本機使用者名稱和密碼設定 Microsoft Entra 驗證。
如果您決定設定 Microsoft Entra ID 以進行本機監視存取,部署行動網站之後,您必須遵循為本機監視工具啟用 Microsoft Entra ID 中的步驟。
如需設定本機監視存取驗證的詳細資訊,請參閱 選擇本機監視工具 的驗證方法。
您可以使用 Azure 原則 來強制使用 Microsoft Entra ID 進行本機監視存取。 如需詳細資訊,請參閱 azure Private 5G Core Azure 原則 定義。
個人識別資訊
診斷套件 可能包含來自您網站的個人資料、客戶數據和系統產生的記錄。 將診斷套件提供給 Azure 支援 時,您會明確授與 Azure 支援 許可權,以存取診斷套件及其包含的任何資訊。 您應該確認這在您公司的隱私策略和合約下是可接受的。