Segurança para Azure Private 5G Core
O Azure Private 5G Core permite que os integradores de sistemas e provedores de serviços implantem e gerenciem redes móveis privadas com segurança para uma empresa. Ele armazena com segurança a configuração da rede e a configuração de SIM usada por dispositivos que se conectam à rede móvel. Este artigo lista detalhes sobre os recursos de segurança fornecidos pelo Azure Private 5G Core que ajudam a proteger a rede móvel.
O Azure Private 5G Core consiste em dois componentes principais que interagem entre si:
- O serviço Azure Private 5G Core, hospedado no Azure – as ferramentas de gerenciamento usadas para configurar e monitorar a implantação.
- Instâncias principais de pacote, hospedadas em dispositivos do Azure Stack Edge – o conjunto completo de funções de rede 5G que fornecem conectividade com dispositivos móveis em um local de borda.
Plataforma segura
O Azure Private 5G Core requer a implantação de instâncias de núcleo de pacote em uma plataforma segura, o Azure Stack Edge. Para obter mais informações sobre a segurança do Azure Stack Edge, consulte Segurança do Azure Stack Edge e proteção de dados.
Criptografar em repouso
O serviço Azure Private 5G Core armazena com segurança todos os dados inativos, incluindo credenciais SIM. Ele fornece criptografia de dados inativos usando chaves de criptografia gerenciadas pela plataforma, gerenciadas pela Microsoft. A criptografia inativa é usada por padrão ao criar um grupo SIM.
As instâncias de núcleo de pacote do Azure Private 5G Core são implantadas nos dispositivos Azure Stack Edge, que lidam com a proteção de dados.
Criptografia de chave gerenciada pelo cliente inativa
Além da criptografia em repouso padrão usando o Chaves Gerenciadas pela Microsoft (MMK), você pode usar opcionalmente as Chaves Gerenciadas pelo Cliente (CMK) para criptografar dados com sua própria chaves.
Se você optar por usar uma CMK, precisará criar um URI de chave em seu Azure Key Vault e uma Identidade atribuída pelo usuário com acesso de leitura, encapsulamento e desdobramento da chave. Observe que:
- A chave deve ser configurada para ter uma data de ativação e expiração e recomendamos que você configure a rotação automática de chaves criptográficas no Azure Key Vault.
- O grupo SIM acessa a chave por meio da identidade atribuída pelo usuário.
Para saber como configurar a CMK, consulte Configurar chaves gerenciadas pelo cliente.
É possível usar o Azure Policy para aplicar o uso da CMK para grupos SIM. Para obter mais informações, consulte as definições do Azure Policy para o Azure Private 5G Core.
Importante
Uma vez que o grupo SIM for criado, você não pode alterar o tipo de criptografia. No entanto, se o grupo SIM usar a CMK, você poderá atualizar a chave usada para criptografia.
Credenciais SIM somente gravação
O Azure Private 5G Core fornece acesso somente gravação às credenciais SIM. As credenciais SIM são os segredos que permitem que os UEs (equipamentos de usuário) acessem a rede.
Como essas credenciais são altamente confidenciais, o Azure Private 5G Core não permitirá que os usuários do serviço leiam o acesso às credenciais, exceto conforme exigido por lei. Usuários com privilégios suficientes podem substituir as credenciais ou revogá-las.
Criptografia NAS
A sinalização estrato de não acesso (NAS)é executada entre a UE e o AMF (5G) ou o MME (4G). Ela carrega as informações para permitir operações de gerenciamento de sessão e mobilidade que permitem a conectividade do plano de dados entre a UE e a rede.
O núcleo do pacote executa a criptografia e a proteção de integridade do NAS. Durante o registro da UE, a UE inclui seus recursos de segurança para 5G NAS com chaves de 128 bits. Para codificar, por padrão, o Azure Private 5G Core dá suporte aos seguintes algoritmos em ordem de preferência:
- NEA2/EEA2: Criptografia Advanced Encryption System (AES) de 128 bits
- NEA1/EEA1: Snow 3G de 128 bits
- NEA0/EEA0: algoritmo de criptografia nula do 5GS
Essa configuração permite o nível mais alto de criptografia compatível com a UE, permitindo que os UEs não ofereçam suporte à criptografia. Para tornar a criptografia obrigatória, você pode desabilitar o NEA0/EEA0, impedindo que UEs que não dão suporte à criptografia NAS se registrem na rede.
Você pode alterar essas preferências após a implantação modificando a configuração do núcleo do pacote.
Autenticação RADIUS
O Azure Private 5G Core dá suporte à autenticação Remote Authentication Dial-In User Service (RADIUS). Você pode configurar o núcleo de pacotes para entrar em contato com um servidor autenticação, autorização e contabilidade (AAA) do RADIUS em sua rede para autenticar UEs no anexo à rede e ao estabelecimento da sessão. A comunicação entre o núcleo do pacote e o servidor RADIUS é protegida com um segredo compartilhado armazenado no Azure Key Vault. O nome de usuário e a senha padrão para UEs também são armazenados no Azure Key Vault. Você pode usar a Identidade Internacional do Assinante Móvel (IMSI) da UE no lugar de um nome de usuário padrão. Consulte Coletar valores do RADIUS para obter detalhes.
Seu servidor RADIUS deve ser acessível do dispositivo Azure Stack Edge na rede de gerenciamento. O RADIUS só tem suporte para autenticação inicial. Outros recursos do RADIUS, como contabilidade, não têm suporte.
Acesso a ferramentas de monitoramento local
Conectividade segura usando certificados TLS/SSL
O acesso ao painéis de rastreamento distribuído e de núcleo de pacotes é protegido por HTTPS. Você pode fornecer seu próprio certificado HTTPS para atestar o acesso às ferramentas de diagnóstico locais. Fornecer um certificado assinado por uma autoridade de certificação (AC) globalmente conhecida e confiável concede segurança adicional à sua implantação; recomendamos essa opção ao usar um certificado assinado por sua própria chave privada (autoassinada).
Se você decidir fornecer seus próprios certificados para acesso de monitoramento local, precisará adicionar o certificado a um Azure Key Vault e configurar as permissões de acesso apropriadas. Consulte Coletar valores de monitoramento local para obter informações adicionais sobre como configurar certificados HTTPS personalizados para acesso de monitoramento local.
Você pode configurar como o acesso às suas ferramentas de monitoramento local é atestado durante a criação de um site. Para sites existentes, você pode modificar a configuração de acesso local seguindo Modificar a configuração de acesso local em um site.
Recomendamos que você substitua certificados pelo menos uma vez por ano, incluindo a remoção dos certificados antigos do sistema. Talvez seja necessário girar seus certificados com mais frequência se eles expirarem após menos de um ano ou se as políticas organizacionais exigirem isso.
Para obter mais informações sobre como gerar um certificado Key Vault, consulte Métodos de criação de certificado.
Autenticação de acesso
É possível usar o Microsoft Entra ID ou um nome de usuário e uma senha locais para acessar o rastreamento distribuído e os painéis principais do pacote.
O Microsoft Entra ID fornece métodos sem senha para autenticação nativa a fim de simplificar a experiência de entrada dos usuários e reduzir o risco de ataques. Devido a isso, recomendamos configurar a autenticação do Microsoft Entra para melhorar a segurança da implantação, em vez de nomes de usuário e senhas locais.
Se você decidir configurar o Microsoft Entra ID para acesso de monitoramento local, após a implantação de um site de rede móvel, siga as etapas em Habilitar o Microsoft Entra ID para ferramentas de monitoramento locais.
Consulte Escolher o método de autenticação para ferramentas de monitoramento locais para saber como configurar a autenticação de acesso de monitoramento local.
É possível usar o Azure Policy a fim de aplicar o uso do Microsoft Entra ID para acesso de monitoramento local. Para obter mais informações, consulte as definições do Azure Policy para o Azure Private 5G Core.
Informações de identificação pessoal
Os pacotes de diagnóstico podem incluir dados pessoais, dados do cliente e logs gerados pelo sistema do seu site. Ao fornecer o pacote de diagnóstico ao suporte do Azure, você está concedendo explicitamente permissão ao suporte do Azure para acessar o pacote de diagnóstico e qualquer informação contida nele. Confirme se isso é aceitável de acordo com as políticas e os contratos de privacidade da sua empresa.