Cloud Interconnect 適用的 MACsec 可協助保護 Cloud Interconnect 連線上的流量,特別是地端部署路由器與 Google 邊緣路由器之間的流量。Cloud Interconnect 的 MACsec 使用 IEEE 標準 802.1AE 媒體存取控制安全性 (MACsec),加密您的地端部署路由器與 Google 邊緣路由器之間的流量。
Cloud Interconnect 適用的 MACsec 不會在 Google 內部提供傳輸中資料加密機制。為提升安全性,建議您搭配使用 MACsec 與其他網路安全通訊協定,例如 IP 安全 (IPsec) 和傳輸層安全 (TLS)。如要進一步瞭解如何使用 IPsec 保護網路流量,請參閱採用 Cloud Interconnect 的高可用性 VPN 總覽。 Cloud de Confiance by S3NS如要進一步瞭解跨地點互連網路的加密功能,請參閱「加密選項」。
Cloud Interconnect 的 MACsec 適用於 10 Gbps、100 Gbps 和 400 Gbps 迴路。不過,如要為 10 Gbps 電路訂購 Cloud Interconnect 的 MACsec,請與客戶經理聯絡。
Cloud Interconnect 適用的 MACsec 支援所有 VLAN 連結功能,包括 IPv4、IPv6 和 IPsec。
下圖顯示 MACsec 如何加密流量:
- 圖 1 顯示 MACsec 如何加密 Dedicated Interconnect 上的流量。本圖表顯示的加密方式也適用於跨地點互連網路。
- 圖 2 顯示 MACsec 如何加密 Partner Interconnect 上的流量。
如要在 Partner Interconnect 上使用 MACsec,請與服務供應商合作,確保網路流量會透過供應商的網路加密。
為 Cloud Interconnect 使用 MACsec 不會產生額外費用。
Cloud Interconnect 適用的 MACsec 運作方式
Cloud Interconnect 適用的 MACsec 可協助保護地端部署路由器與 Google 對等互連邊緣路由器之間的流量。您可以使用 Google Cloud CLI (gcloud CLI) 或 Cloud de Confiance 控制台,產生 GCM-AES-256 連線關聯金鑰 (CAK) 和連線關聯金鑰名稱 (CKN) 值。設定路由器時,請使用 CAK 和 CKN 值設定 MACsec。在路由器和 Cloud Interconnect 中啟用 MACsec 後,MACsec 會加密地端部署路由器與 Google 對接邊緣路由器之間的流量。
建議您採用多層次的安全策略來加密資料。在第 2 層,MACsec 會加密相鄰路由器之間的流量。在第 3 層,IPsec 會保護客戶地端部署網路與虛擬私有雲網路之間的流量。您可以使用應用程式層級的安全通訊協定,進一步提升保護力。
支援的地端部署路由器
您可以使用支援下表所列 MACsec 規格的 MACsec 專用 Cloud Interconnect 地端部署路由器。
| 設定 | 值 |
|---|---|
| MACsec 加密套件 |
|
| CAK 加密演算法 | AES_256_CMAC |
| 主要伺服器優先順序 | 15 |
| 安全關聯金鑰 (SAK) 重新金鑰間隔 | 28800 秒 |
| MACsec 機密性偏移 | 0 |
| 視窗大小 | 64 |
| 完整性檢查值 (ICV) 指標 | 是 |
| 安全管道 ID (SCI) | 已啟用 |
Cloud Interconnect 適用的 MACsec 最多支援五個金鑰,可進行無中斷的金鑰輪替。
Cisco、Juniper 和 Arista 製造的幾款路由器都符合規格。我們無法推薦特定路由器,建議您諮詢路由器供應商,找出最符合需求的型號。
使用 Cloud Interconnect 適用的 MACsec 前須知
請確認符合下列規定:
瞭解基本網路互連,以便訂購及設定網路電路。
具備地端部署邊緣路由器的管理員存取權。
確認主機代管機房是否提供 MACsec。
Cloud Interconnect 適用的 MACsec 設定步驟
確認主機代管機房支援 Cloud Interconnect 適用的 MACsec 後,請檢查您是否已有支援 MACsec 的 Cloud Interconnect 連線。如果沒有,請訂購支援 MACsec 的 Cloud Interconnect 連線。如果您使用 Cross-Site Interconnect,連線預設會啟用 MACsec。
Cloud Interconnect 連線完成測試並可供使用後,您就能建立 MACsec 預先共用金鑰,並設定地端部署路由器,藉此設定 MACsec。接著啟用 MACsec,並確認連結已啟用 MACsec 且運作正常。最後,您可以監控 MACsec 連線,確保連線運作正常。
MACsec 適用性
無論位置為何,所有 Cloud Interconnect 100 Gbps 和 400 Gbps 連線都支援 Cloud Interconnect 的 MACsec。
並非所有主機代管機房都支援 Cloud Interconnect 的 MACsec,且僅適用於 10 Gbps 迴路。如要進一步瞭解共置設施提供的功能,請參閱下列文章 (視連線類型而定):
如要瞭解哪些主機代管機房的 10 Gbps 電路支援 Cloud Interconnect 適用的 MACsec,請按照下列步驟操作。只有已加入許可清單的專案,才會顯示 10 Gbps 電路的 MACsec 支援情形。如要為 10 Gbps 電路訂購 Cloud Interconnect 的 MACsec,請與客戶經理聯絡。
控制台
前往 Cloud de Confiance 控制台的 Cloud Interconnect「實體連線」分頁。
按一下「設定實體連線」。
選取「Dedicated Interconnect」,然後按一下「繼續」。
選取「訂購新的 Dedicated Interconnect」,然後按一下「繼續」。
在「Google Cloud location」(Google Cloud 位置) 欄位中,按一下「Choose」(選擇)。
在「Choose colocation facility」(選擇主機代管機房) 窗格中,找出您要建立 Cloud Interconnect 連線的城市。在「地理位置」欄位中,選取地理區域。「目前專案的 MACsec 支援功能」欄會顯示 Cloud Interconnect 適用的 MACsec 可用的電路大小。
gcloud
向 Google Cloud CLI 進行驗證:
gcloud auth login如要瞭解主機代管機房是否支援 Cloud Interconnect 適用的 MACsec,請執行下列任一操作:
確認特定主機代管機房是否支援 Cloud Interconnect 適用的 MACsec:
gcloud compute interconnects locations describe COLOCATION_FACILITY將
COLOCATION_FACILITY替換為位置資料表中列出的主機代管機房名稱。輸出結果會與下列範例類似。請注意
availableFeatures區段。支援 MACsec 的連線會顯示下列資訊:- 10 Gbps 連結:
linkType: LINK_TYPE_ETHERNET_10G_LR和availableFeatures: IF_MACSEC - 每秒 100 GB 的連結:
linkType: LINK_TYPE_ETHERNET_100G_LR; 所有每秒 100 GB 的連結均支援 MACsec - 400 Gbps 連結:
linkType: LINK_TYPE_ETHERNET_400G_LR; 所有 400 Gbps 連結均支援 MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR - LINK_TYPE_ETHERNET_400G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- 10 Gbps 連結:
列出所有支援 10 Gbps 電路 Cloud Interconnect MACsec 的主機代管機房:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"輸出結果會與下列內容相似:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>列出所有具備 100 Gbps 連結的主機代管機房,因此預設提供 MACsec:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"輸出結果會與下列內容相似:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
現有 Cloud Interconnect 連線的 MACsec 支援
現有的 100 Gbps 和 400 Gbps Cloud Interconnect 連線都支援 Cloud Interconnect 適用的 MACsec。
如果連線速度為 10 Gbps,請確認主機代管機房是否支援 MACsec。如果主機代管機房支援 MACsec,請確認 Cloud Interconnect 支援 MACsec。
如果現有的 Cloud Interconnect 連線不支援 MACsec,我是否可以啟用這項功能?
如果代管設施不支援 MACsec,您可以採取下列任一做法:
申請新的 Cloud Interconnect 連線,並要求 MACsec 做為必要功能。
請與 Cloud de Confiance by S3NS 帳戶管理員聯絡,安排將現有 Cloud Interconnect 連線遷移至支援 MACsec 的通訊埠。
由於排程限制,實體遷移連線可能需要數週才能完成。遷移作業需要維護期間,因此 Cloud Interconnect 連線不得有任何正式版流量。