MACsec for Cloud Interconnect עוזר לאבטח את התעבורה בחיבורי Cloud Interconnect, במיוחד בין הנתב המקומי לנתבי הקצה של Google. MACsec ל-Cloud Interconnect משתמש בתקן IEEE 802.1AE Media Access Control Security (MACsec) כדי להצפין את התעבורה בין הנתב המקומי לנתבי הקצה של Google.
MACsec ל-Cloud Interconnect לא מספק הצפנה במעבר בתוך Google. כדי לשפר את האבטחה, מומלץ להשתמש ב-MACsec עם פרוטוקולים אחרים לאבטחת רשת, כמו IP Security (IPsec) ו-Transport Layer Security (TLS).
MACsec ל-Cloud Interconnect זמין למעגלים של 10 Gbps, 100 Gbps ו-400 Gbps. עם זאת, כדי להזמין MACsec ל-Cloud Interconnect למעגלים של 10Gbps, צריך לפנות למנהל החשבון.
MACsec for Cloud Interconnect תומך בכל התכונות של צירוף ל-VLAN, כולל IPv4, IPv6 ו-IPsec.
בתרשימים הבאים מוצג אופן ההצפנה של התנועה באמצעות MACsec:
- איור 1 מציג את MACsec מצפין תנועה ב-Dedicated Interconnect. ההצפנה שמוצגת בתרשים הזה חלה גם על קישור בין אתרים.
- איור 2 מציג תנועה מוצפנת ב-MACsec ב-Partner Interconnect.
כדי להשתמש ב-MACsec ב-Partner Interconnect, צריך לעבוד עם ספק השירות כדי לוודא שתעבורת הרשת מוצפנת דרך הרשת של הספק.
אין עלות נוספת לשימוש ב-MACsec עבור Cloud Interconnect.
איך MACsec for Cloud Interconnect פועל
MACsec for Cloud Interconnect עוזר לאבטח את התעבורה בין הנתב המקומי לבין נתב קצה של Google. משתמשים ב-Google Cloud CLI (ה-CLI של gcloud) או במסוף Cloud de Confiance כדי ליצור מפתח שיוך לקישוריות (CAK) ומזהה מפתח שיוך לקישוריות (CKN) מסוג GCM-AES-256. מגדירים את הנתב להשתמש בערכי ה-CAK וה-CKN כדי להגדיר את MACsec. אחרי שמפעילים את MACsec בנתב וב-Cloud Interconnect, MACsec מצפין את התנועה בין הנתב המקומי לבין נתב ה-peering edge של Google.
אנחנו ממליצים על גישה רב-שכבתית לאבטחה לצורך הצפנה. בשכבה 2, MACsec מצפין את התנועה בין נתבים סמוכים. בשכבה 3, פרוטוקול IPsec מאבטח את התעבורה בין רשתות מקומיות של לקוחות לבין רשתות VPC. אפשר להשיג הגנה נוספת באמצעות פרוטוקולי אבטחה ברמת האפליקציה.
נתבים מקומיים נתמכים
אתם יכולים להשתמש בנתבים מקומיים עם MACsec ל-Cloud Interconnect שתומכים במפרטי MACsec שמפורטים בטבלה הבאה.
| הגדרה | ערך |
|---|---|
| סט אלגוריתמים להצפנה (cipher suite) של MACsec |
|
| אלגוריתם קריפטוגרפי של CAK | AES_256_CMAC |
| סדר העדיפות של שרת המפתחות | 15 |
| מרווח הזמן בין החלפות של מפתח שיוך מאובטח (SAK) | 28,800 שניות |
| היסט סודיות של MACsec | 0 |
| גודל החלון | 64 |
| אינדיקטור של ערך בדיקת תקינות (ICV) | כן |
| מזהה ערוץ מאובטח (SCI) | מופעל |
MACsec for Cloud Interconnect תומך ברוטציית מפתחות ללא השבתה של עד חמישה מפתחות.
יש כמה נתבים שמיוצרים על ידי Cisco, Juniper ו-Arista שעומדים במפרטים. אנחנו לא יכולים להמליץ על נתבים ספציפיים. מומלץ להתייעץ עם ספק הנתב כדי להבין איזה דגם מתאים לצרכים שלכם.
לפני שמשתמשים ב-MACsec ל-Cloud Interconnect
חשוב לוודא שאתם עומדים בדרישות הבאות:
הבנה בסיסית של חיבורי רשת, כדי שתוכלו להזמין ולהגדיר מעגלי רשת.
חשוב להבין את ההבדלים בין Dedicated Interconnect לבין Partner Interconnect ואת הדרישות לשימוש בכל אחת מהן.
יש לכם הרשאת אדמין לנתב הקצה המקומי.
בודקים אם MACsec זמין במתקן האירוח שלכם.
שלבי ההגדרה של MACsec ל-Cloud Interconnect
אחרי שמוודאים ש-MACsec ל-Cloud Interconnect זמין במתקן לאחסון ואירוח שרתים (colocation facility), בודקים אם כבר יש חיבור Cloud Interconnect עם תמיכה ב-MACsec. אם לא, צריך להזמין חיבור Cloud Interconnect עם תמיכה ב-MACsec. אם אתם משתמשים ב-Cross-Site Interconnect, החיבורים שלכם תומכים ב-MACsec כברירת מחדל.
אחרי שהבדיקה של חיבור Cloud Interconnect מסתיימת והוא מוכן לשימוש, אפשר להגדיר MACsec על ידי יצירת מפתחות MACsec משותפים מראש והגדרת הנתב המקומי. אחר כך תוכלו להפעיל את MACsec ולוודא שהוא מופעל בקישור ושהוא פועל. לבסוף, אפשר לעקוב אחרי חיבור ה-MACsec כדי לוודא שהוא פועל בצורה תקינה.
זמינות של MACsec
MACsec ל-Cloud Interconnect נתמך בכל החיבורים של Cloud Interconnect 100Gbps ו-400Gbps, ללא קשר למיקום.
MACsec ל-Cloud Interconnect לא זמין בכל מתקני ה-colocation למעגלים של 10 Gbps. למידע נוסף על התכונות שזמינות במתקני שרתים משותפים, אפשר לעיין במאמרים הבאים, בהתאם לסוג החיבור:
כדי לגלות אילו מתקני קולוקציה עם מעגלים של 10-Gbps תומכים ב-MACsec ל-Cloud Interconnect, מבצעים את הפעולות הבאות. הזמינות של MACsec למעגלים של 10-Gbps מוצגת רק בפרויקטים שכלולים ברשימת ההיתרים. כדי להזמין MACsec ל-Cloud Interconnect עבור מעגלים של 10Gbps, צריך לפנות למנהל החשבון.
המסוף
במסוף Cloud de Confiance , עוברים לכרטיסייה Physical connections (חיבורים פיזיים) של Cloud Interconnect.
לוחצים על הגדרת חיבור פיזי.
בוחרים באפשרות Dedicated Interconnect (קישור ייעודי) ולוחצים על המשך.
בוחרים באפשרות הזמנת חיבור Dedicated Interconnect חדש ולוחצים על המשך.
בשדה מיקום ב-Google Cloud, לוחצים על בחירה.
בחלונית Choose colocation facility (בחירת מתקן אירוח), מחפשים את העיר שבה רוצים ליצור חיבור Cloud Interconnect. בשדה מיקום גיאוגרפי, בוחרים אזור גיאוגרפי. בעמודה MACsec support for current project מוצגים הגדלים של המעגלים שזמינים ל-MACsec ב-Cloud Interconnect.
gcloud
מאמתים את ה-CLI של Google Cloud:
gcloud auth loginכדי לגלות אם מתקן לאחסון ואירוח שרתים (colocation facility) תומך ב-MACsec ל-Cloud Interconnect, אפשר לבצע אחת מהפעולות הבאות:
כדי לוודא שמתקן לאחסון ואירוח שרתים (colocation facility) ספציפי תומך ב-MACsec עבור Cloud Interconnect:
gcloud compute interconnects locations describe COLOCATION_FACILITYמחליפים את
COLOCATION_FACILITYבשם של מתקן לאחסון ואירוח שרתים (colocation facility) שמופיע בטבלת המיקומים.הפלט אמור להיראות כך: שימו לב לקטע
availableFeatures. בחיבורים עם תמיכה ב-MACsec מוצגים הפרטים הבאים:- לקישורי 10-Gbps:
linkType: LINK_TYPE_ETHERNET_10G_LRו-availableFeatures: IF_MACSEC - לקישורי 100 Gbps:
linkType: LINK_TYPE_ETHERNET_100G_LR; כל קישורי 100 Gbps תומכים ב-MACsec - לקישורי 400 Gbps:
linkType: LINK_TYPE_ETHERNET_400G_LR; כל הקישורים של 400 Gbps תומכים ב-MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR - LINK_TYPE_ETHERNET_400G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- לקישורי 10-Gbps:
רשימה של כל מתקני ה-Colocation שתומכים ב-MACsec ל-Cloud Interconnect במעגלים של 10 Gbps:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"הפלט אמור להיראות כך:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>רשימה של כל מתקני ה-Colocation שיש בהם קישורי 100-Gbps, ולכן הם מציעים MACsec כברירת מחדל:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"הפלט אמור להיראות כך:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
תמיכה ב-MACsec בחיבורים קיימים של Cloud Interconnect
MACsec ל-Cloud Interconnect נתמך בחיבורי Cloud Interconnect קיימים של 100 Gbps ו-400 Gbps.
אם יש לכם חיבור של 10 Gbps, צריך לבדוק את הזמינות של MACsec במתקן לאחסון ואירוח שרתים (colocation facility) שלכם. אם יש תמיכה ב-MACsec במתקן לאחסון ואירוח שרתים (colocation facility) שלכם, צריך לוודא ש-Cloud Interconnect תומך ב-MACsec.
האם אפשר להפעיל MACsec אם החיבור הקיים שלי ל-Cloud Interconnect לא תומך בו?
אם מתקן לאחסון ואירוח שרתים (colocation facility) שלכם לא תומך ב-MACsec, אתם יכולים לבצע אחת מהפעולות הבאות:
מבקשים חיבור חדש של Cloud Interconnect ומבקשים MACsec כתכונה נדרשת.
פנו אל מנהל החשבון שלכם כדי לתאם מיגרציה של חיבור Cloud Interconnect קיים ליציאות עם תמיכה ב-MACsec. Cloud de Confiance by S3NS
ההעברה הפיזית של החיבורים עשויה להימשך כמה שבועות בגלל מגבלות תזמון. מיגרציות דורשות חלון זמן לתחזוקה שבו חיבורי Cloud Interconnect לא יכולים להעביר תעבורת נתונים של סביבת ייצור.