O MACsec para o Cloud Interconnect ajuda a proteger o tráfego nas ligações do Cloud Interconnect, especificamente entre o seu router nas instalações e os routers de limite da Google. O MACsec para o Cloud Interconnect usa a norma IEEE 802.1AE Media Access Control Security (MACsec) para encriptar o tráfego entre o seu router nas instalações e os routers de limite da Google.
O MACsec para o Cloud Interconnect não fornece encriptação em trânsito na Google. Para uma maior segurança, recomendamos que use o MACsec com outros protocolos de segurança de rede, como o IP Security (IPsec) e o Transport Layer Security (TLS). Para mais informações sobre a utilização do IPsec para proteger o tráfego de rede para Trusted Cloud by S3NS, consulte a vista geral da VPN de HA através do Cloud Interconnect. Para mais informações sobre a encriptação na interconexão entre sites, consulte Opções de encriptação.
O MACsec para o Cloud Interconnect está disponível para circuitos de 10 Gbps e 100 Gbps. No entanto, para encomendar o MACsec para o Cloud Interconnect para circuitos de 10 Gbps, tem de contactar o seu gestor de contas.
O MACsec para o Cloud Interconnect suporta todas as funcionalidades de associação de VLAN, incluindo IPv4, IPv6 e IPsec.
Os diagramas seguintes mostram como o MACsec encripta o tráfego:
- A Figura 1 representa a encriptação de tráfego MACsec no Dedicated Interconnect. A encriptação apresentada neste diagrama também se aplica à interligação entre sites.
- A Figura 2 representa o MACsec a encriptar o tráfego no Partner Interconnect.
Para usar o MACsec no Partner Interconnect, colabore com o seu fornecedor de serviços para garantir que o tráfego de rede está encriptado através da rede do fornecedor.
Não existem custos adicionais para usar o MACsec para o Cloud Interconnect.
Como funciona o MACsec para o Cloud Interconnect
O MACsec para o Cloud Interconnect ajuda a proteger o tráfego entre o seu router nas instalações e o router de peering de limite da Google. Usa a CLI Google Cloud (CLI gcloud) ou a consola para gerar valores de chave de associação de conetividade (CAK) e nome da chave de associação de conetividade (CKN) GCM-AES-256. Trusted Cloud Configura o router para usar os valores CAK e CKN para configurar o MACsec. Depois de ativar o MACsec no router e no Cloud Interconnect, o MACsec encripta o tráfego entre o router no local e o router de peering da Google.
Recomendamos uma abordagem de segurança em camadas para a encriptação. Na camada 2, o MACsec encripta o tráfego entre routers adjacentes. Na camada 3, o IPsec protege o tráfego entre as redes nas instalações do cliente e as redes VPC. Pode alcançar uma maior proteção com protocolos de segurança ao nível da aplicação.
Routers no local suportados
Pode usar routers no local com MACsec para o Cloud Interconnect que suportem as especificações MACsec indicadas na tabela seguinte.
| Definição | Valor |
|---|---|
| Conjunto de cifras MACsec |
|
| Algoritmo criptográfico CAK | AES_256_CMAC |
| Prioridade do servidor de chaves | 15 |
| Intervalo de nova introdução da chave de associação segura (SAK) | 28800 segundos |
| Desvio de confidencialidade do MACsec | 0 |
| Tamanho da janela | 64 |
| Indicador de valor de verificação de integridade (ICV) | sim |
| Identificador do canal seguro (SCI) | ativada |
O MACsec para o Cloud Interconnect suporta a rotação de chaves sem impacto para um máximo de cinco chaves.
Vários routers fabricados pela Cisco, Juniper e Arista cumprem as especificações. Não podemos recomendar routers específicos. Recomendamos que consulte o fornecedor do router para determinar o modelo mais adequado às suas necessidades.
Antes de usar o MACsec para o Cloud Interconnect
Certifique-se de que cumpre os seguintes requisitos:
Compreenda as interligações básicas da rede para poder encomendar e configurar circuitos de rede.
Compreenda as diferenças e os requisitos do Dedicated Interconnect e do Partner Interconnect.
Ter acesso de administrador ao router de limite local.
Verifique se o MACsec está disponível na sua instalação de colocation.
Passos de configuração do MACsec para o Cloud Interconnect
Depois de verificar se o MACsec para o Cloud Interconnect está disponível na sua instalação de colocation, verifique se já tem uma ligação do Cloud Interconnect compatível com o MACsec. Caso contrário, encomende uma ligação do Cloud Interconnect compatível com MACsec. Se estiver a usar a interligação entre sites, as suas ligações são compatíveis com MACsec por predefinição.
Depois de a ligação do Cloud Interconnect concluir os testes e ficar pronta para utilização, pode configurar o MACsec criando chaves pré-partilhadas do MACsec e configurando o seu router no local. Em seguida, pode ativar o MACsec e verificar se está ativado para a sua associação e se está operacional. Por último, pode monitorizar a ligação MACsec para garantir que está a funcionar corretamente.
Disponibilidade do MACsec
O MACsec para o Cloud Interconnect é suportado em todas as ligações de 100 Gbps do Cloud Interconnect, independentemente da localização.
O MACsec para o Cloud Interconnect não está disponível em todas as instalações de colocation para circuitos de 10 Gbps. Para mais informações sobre as funcionalidades disponíveis em instalações de colocation, consulte o seguinte, consoante o seu tipo de ligação:
Para descobrir que instalações de colocation com circuitos de 10 Gbps suportam o MACsec para o Cloud Interconnect, faça o seguinte. A disponibilidade do MACsec para circuitos de 10 Gbps só é apresentada para projetos na lista de autorizações. Para encomendar o MACsec para o Cloud Interconnect para circuitos de 10 Gbps, tem de contactar o seu gestor de conta.
Consola
Na Trusted Cloud consola, aceda ao separador Ligações físicas do Cloud Interconnect.
Clique em Configurar ligação física.
Selecione Dedicated Interconnect e, de seguida, clique em Continuar.
Selecione Encomendar nova interligação dedicada e, de seguida, clique em Continuar.
No campo Localização do Google Cloud, clique em Escolher.
No painel Escolher instalação de alojamento conjunto, encontre a cidade na qual quer uma ligação do Cloud Interconnect. No campo Localização geográfica, selecione uma área geográfica. A coluna Suporte de MACsec para o projeto atual mostra os tamanhos dos circuitos disponíveis para MACsec para o Cloud Interconnect.
gcloud
Autentique-se na CLI do Google Cloud:
gcloud auth loginPara saber se uma instalação de alojamento conjunto suporta o MACsec para o Cloud Interconnect, faça uma das seguintes ações:
Verifique se uma instalação de alojamento conjunto específica suporta o MACsec para o Cloud Interconnect:
gcloud compute interconnects locations describe COLOCATION_FACILITYSubstitua
COLOCATION_FACILITYpelo nome da instalação de alojamento conjunto indicado na tabela de localizações.O resultado é semelhante ao exemplo seguinte. Tome nota da secção
availableFeatures. As ligações compatíveis com MACsec apresentam o seguinte:- Para links de 10 Gbps:
linkType: LINK_TYPE_ETHERNET_10G_LReavailableFeatures: IF_MACSEC - Para links de 100 Gbps:
linkType: LINK_TYPE_ETHERNET_100G_LR; todos os links de 100 Gbps são compatíveis com MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- Para links de 10 Gbps:
Indique todas as instalações de alojamento conjunto que suportam MACsec para o Cloud Interconnect em circuitos de 10 Gbps:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"O resultado é semelhante ao seguinte:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Liste todas as instalações de colocação que tenham links de 100 Gbps e, por isso, ofereçam MACsec por predefinição:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"O resultado é semelhante ao seguinte:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Suporte de MACsec em ligações do Cloud Interconnect existentes
O MACsec para o Cloud Interconnect é suportado em ligações existentes do Cloud Interconnect de 100 Gbps.
Se tiver uma ligação de 10 Gbps, verifique a disponibilidade do MACsec na sua instalação de colocation. Se o suporte de MACsec estiver disponível na sua instalação de alojamento conjunto, verifique se o Cloud Interconnect é compatível com MACsec.
Posso ativar o MACsec se a minha ligação do Cloud Interconnect existente não o suportar?
Se a sua instalação de alojamento conjunto não suportar o MACsec, pode fazer uma das seguintes ações:
Peça uma nova ligação do Cloud Interconnect e peça o MACsec como uma funcionalidade obrigatória.
Contacte o seu Trusted Cloud by S3NS gestor de conta para agendar uma migração da sua ligação do Cloud Interconnect existente para portas compatíveis com MACsec.
A migração física de associações pode demorar várias semanas a ser concluída devido a restrições de agendamento. As migrações requerem uma janela de manutenção que exige que as suas ligações do Cloud Interconnect não tenham tráfego de produção.