Cloud Interconnect の MACsec は、特にオンプレミス ルーターと Google のエッジルーター間の Cloud Interconnect 接続のトラフィックを保護します。Cloud Interconnect の MACsec は IEEE 標準の 802.1AE Media Access Control Security(MACsec)を使用して、オンプレミス ルーターと Google のエッジルーター間のトラフィックを暗号化します。
Cloud Interconnect の MACsec は、Google 内のトラフィックで暗号化を行いません。セキュリティを強化するには、IP セキュリティ(IPsec)や Transport Layer Security(TLS)などの他のネットワーク セキュリティ プロトコルと一緒に MACsec を使用することをおすすめします。IPsec を使用して Trusted Cloud by S3NSへのネットワーク トラフィックを保護する方法については、Cloud Interconnect を介した HA VPN の概要をご覧ください。Cross-Site Interconnect の暗号化の詳細については、暗号化オプションをご覧ください。
Cloud Interconnect の MACsec は 10 Gbps と 100 Gbps の回線で使用できます。ただし、10 Gbps 回線の Cloud Interconnect で MACsec を注文するには、アカウント マネージャーに連絡する必要があります。
Cloud Interconnect の MACsec は、IPv4、IPv6、IPsec などのすべての VLAN アタッチメント機能をサポートしています。
次の図は、MACsec がトラフィックを暗号化する方法を示しています。
- 図 1 は、Dedicated Interconnect でトラフィックを暗号化する MACsec を示しています。この図に示す暗号化は、Cross-Site Interconnect にも適用されます。
- 図 2 は、Partner Interconnect でトラフィックを暗号化する MACsec を示しています。
Partner Interconnect で MACsec を使用するには、サービス プロバイダと協力して、ネットワーク トラフィックがプロバイダのネットワークを介して暗号化されるようにします。
Cloud Interconnect で MACsec を使用する場合、追加料金は発生しません。
Cloud Interconnect の MACsec の仕組み
Cloud Interconnect の MACsec は、オンプレミス ルーターと Google のピアリング エッジルーター間のトラフィックを保護します。Google Cloud CLI(gcloud CLI)または Trusted Cloud コンソールを使用して、GCM-AES-256 Connectivity Association Key(CAK)の値と Connectivity Association Key Name(CKN)の値を生成します。CAK の値と CKN の値を使用して MACsec を構成するようにルーターを構成します。ルーターと Cloud Interconnect で MACsec を有効にすると、MACsec はオンプレミス ルーターと Google のピアリング エッジルーター間のトラフィックを暗号化します。
暗号化には、階層化されたセキュリティ アプローチをおすすめします。レイヤ 2 で、MACsec は隣接するルーター間のトラフィックを暗号化します。レイヤ 3 では、IPsec がお客様のオンプレミス ネットワークと VPC ネットワーク間のトラフィックを保護します。アプリケーション レベルのセキュリティ プロトコルを使用して、保護を強化できます。
サポートされているオンプレミス ルーター
次の表に示す MACsec 仕様をサポートする Cloud Interconnect の MACsec でオンプレミス ルーターを使用できます。
| 設定 | 値 |
|---|---|
| MACsec 暗号スイート |
|
| CAK 暗号アルゴリズム | AES_256_CMAC |
| 鍵サーバーの優先値 | 15 |
| 安全な Secure Association Key(SAK)の鍵交換間隔 | 28,800 秒 |
| MACsec 機密性オフセット | 0 |
| 対象期間 | 64 |
| 整合性チェック値(ICV)のインジケーター | yes |
| セキュア チャネル識別子(SCI) | enabled |
Cloud Interconnect の MACsec は、最大 5 つの鍵のヒットレス鍵のローテーションをサポートしています。
Cisco、Juniper、Arista によって製造された複数のルーターがこの仕様に準拠しています。特定のルーターをおすすめすることはありません。ルーターのベンダーに相談して、ニーズに最適なモデルを決定することをおすすめします。
Cloud Interconnect の MACsec を使用する前に
次の要件を満たしていることを確認してください。
ネットワーク回線を注文および構成できるように、基本的なネットワーク相互接続を理解する。
Dedicated Interconnect と Partner Interconnect の違いおよび要件を理解する。
オンプレミスのエッジルーターへの管理者アクセス権を取得する。
コロケーション施設で MACsec が利用可能であることを確認する。
Cloud Interconnect の MACsec の設定手順
コロケーション施設で Cloud Interconnect の MACsec が利用可能であることを確認したら、MACsec 対応の Cloud Interconnect 接続がすでに存在するかどうかを確認します。ない場合は、MACsec 対応の Cloud Interconnect 接続を注文します。Cross-Site Interconnect を使用している場合、接続はデフォルトで MACsec に対応しています。
Cloud Interconnect 接続のテストが完了し、使用できるようになったら、MACsec 事前共有キーを作成してオンプレミス ルーターを構成することで、MACsec を設定できます。その後、MACsec を有効にして、リンクに対して有効で動作可能であることを確認できます。最後に、MACsec 接続をモニタリングして正常に動作していることを確認します。
MACsec の可用性
Cloud Interconnect の MACsec は、ロケーションに関係なく、すべての Cloud Interconnect 100 Gbps 接続でサポートされています。
Cloud Interconnect の MACsec は、10 Gbps 回線の一部のコロケーション施設では使用できません。コロケーション施設で使用できる機能の詳細については、接続タイプに応じて以下をご覧ください。
Cloud Interconnect の MACsec をサポートする 10 Gbps 回線があるコロケーション施設を確認するには、次のようにします。10 Gbps 回線用の MACsec の利用可否は、許可リストに登録されているプロジェクトにのみ表示されます。10 Gbps 回線の Cloud Interconnect 用に MACsec を注文するには、アカウント マネージャーに連絡してください。
コンソール
Trusted Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。
[物理接続を設定] をクリックします。
[Dedicated Interconnect] を選択し、[続行] をクリックします。
[新しい専用の相互接続を注文] を選択し、[続行] をクリックします。
[Google Cloud のロケーション] フィールドで、[選択] をクリックします。
[コロケーション施設の選択] ペインで、Cloud Interconnect 接続が必要な都市を探します。[地域] フィールドで、地域を選択します。[現在のプロジェクトに対する MACsec サポート] 列には、Cloud Interconnect の MACsec に使用できる回線サイズが表示されます。
gcloud
Google Cloud CLI に対して認証を行います。
gcloud auth loginコロケーション施設が Cloud Interconnect の MACsec をサポートしているかどうかを確認するには、次のいずれかを行います。
特定のコロケーション施設が Cloud Interconnect で MACsec をサポートしていることを確認します。
gcloud compute interconnects locations describe COLOCATION_FACILITYCOLOCATION_FACILITYは、ロケーション表に表示されているコロケーション施設の名前に置き換えます。出力は次のようになります。
availableFeaturesセクションをメモします。MACsec 対応の接続では、次のように表示されます。- 10 Gbps リンクの場合:
linkType: LINK_TYPE_ETHERNET_10G_LRとavailableFeatures: IF_MACSEC - 100 Gbps リンクの場合:
linkType: LINK_TYPE_ETHERNET_100G_LR。100 Gbps リンクはすべて MACsec 対応
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- 10 Gbps リンクの場合:
10 Gbps 回線上の Cloud Interconnect の MACsec をサポートするすべてのコロケーション施設を一覧表示します。
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"出力は次のようになります。
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>100 Gbps のリンクを持つすべてのコロケーション施設が一覧表示されます。デフォルトでは MACsec が提供されます。
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"出力は次のようになります。
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
既存の Cloud Interconnect 接続での MACsec サポート
Cloud Interconnect の MACsec は、既存の 100 Gbps の Cloud Interconnect 接続でサポートされています。
10 Gbps 接続がある場合は、コロケーション施設で MACsec の可用性を確認します。コロケーション施設で MACsec サポートを使用できる場合は、Cloud Interconnect が MACsec 対応であることを確認してください。
既存の Cloud Interconnect 接続が MACsec をサポートしていない場合、MACsec を有効にできますか?
コロケーション施設が MACsec をサポートしていない場合は、次のいずれかを行えます。
新しい Cloud Interconnect 接続をリクエストし、必須機能として MACsec をリクエストします。
既存の Cloud Interconnect 接続を MACsec 対応ポートに移行するようにスケジュールするには、 Trusted Cloud by S3NS アカウント マネージャーにお問い合わせください。
スケジューリングの制約により、接続を物理的に移行するには数週間かかることがあります。移行にはメンテナンスの時間枠が必要です。この時間枠では、Cloud Interconnect 接続を本番環境のトラフィックから解放する必要があります。