MACsec für Cloud Interconnect hilft Ihnen, Traffic auf Cloud Interconnect-Verbindungen zu sichern, insbesondere zwischen Ihrem lokalen Router und den Edge-Routern von Google. MACsec für Cloud Interconnect verwendet den IEEE-Standard 802.1AE Media Access Control Security (MACsec), um den Traffic zwischen Ihrem lokalen Router und den Edge-Routern von Google zu verschlüsseln.
MACsec für Cloud Interconnect bietet keine Verschlüsselung während der Übertragung innerhalb von Google. Für eine höhere Sicherheit empfehlen wir, MACsec mit anderen Netzwerksicherheitsprotokollen wie IP Security (IPsec) und Transport Layer Security (TLS) zu verwenden. Weitere Informationen zur Verwendung von IPsec zum Sichern Ihres Netzwerkverkehrs zu Google Cloudfinden Sie in der Übersicht zu HA VPN über Cloud Interconnect. Weitere Informationen zur Verschlüsselung in Cross-Site Interconnect finden Sie unter Verschlüsselungsoptionen.
MACsec für Cloud Interconnect ist für 10‑Gbit/s-, 100‑Gbit/s- und 400‑Gbit/s-Netzwerkverbindungen verfügbar. Wenn Sie MACsec für Cloud Interconnect für 10‑Gbit/s-Netzwerkverbindungen bestellen möchten, wenden Sie sich an Ihren Account Manager.
MACsec für Cloud Interconnect unterstützt alle VLAN-Anhangfunktionen, einschließlich IPv4, IPv6 und IPsec.
Die folgenden Diagramme zeigen, wie MACsec Traffic verschlüsselt:
- Abbildung 1 zeigt, wie MACsec den Traffic auf Dedicated Interconnect verschlüsselt. Die in diesem Diagramm gezeigte Verschlüsselung gilt auch für Cross-Site Interconnect.
- Abbildung 2 zeigt, wie MACsec den Traffic auf Partner Interconnect verschlüsselt.
Wenn Sie MACsec für Partner Interconnect verwenden möchten, müssen Sie mit Ihrem Dienstanbieter zusammenarbeiten, um sicherzustellen, dass Ihr Netzwerk-Traffic über das Netzwerk Ihres Anbieters verschlüsselt wird.
Für die Verwendung von MACsec für Cloud Interconnect fallen keine zusätzlichen Kosten an.
Funktionsweise von MACsec für Cloud Interconnect
MACsec für Cloud Interconnect trägt dazu bei, den Traffic zwischen Ihrem lokalen Router und dem Peering-Edge-Router von Google zu sichern. Sie verwenden die Google Cloud CLI (gcloud CLI) oder die Google Cloud Console, um einen GCM-AES-256-Verbindungsverknüpfungsschlüssel-Wert und einen Verbindungsverknüpfungsschlüssel-Namen-Wert (CKN) zu generieren. Sie konfigurieren Ihren Router so, dass die CAK- und CKN-Werte zum Konfigurieren von MACsec verwendet werden. Nachdem Sie MACsec auf Ihrem Router und in Cloud Interconnect aktiviert haben, wird Ihr Traffic zwischen Ihrem lokalen Router und dem Peering-Edge-Router von Google mit MACsec verschlüsselt.
Wir empfehlen einen mehrschichtigen Sicherheitsansatz für die Verschlüsselung. Auf Ebene 2 verschlüsselt MACsec den Traffic zwischen benachbarten Routern. Auf Ebene 3 sichert IPsec den Traffic zwischen lokalen Netzwerken des Kunden und VPC-Netzwerken. Mit Sicherheitsprotokollen auf Anwendungsebene können Sie den Schutz weiter erhöhen.
Unterstützte lokale Router
Sie können lokale Router mit MACsec für Cloud Interconnect verwenden, die die in der folgenden Tabelle aufgeführten MACsec-Spezifikationen unterstützen.
| Einstellung | Wert |
|---|---|
| MACsec-Cipher Suite |
|
| CAK-Verschlüsselungsalgorithmus | AES_256_CMAC |
| Priorität des Schlüssels | 15 |
| Neuverschlüsselungsintervall für sicheren Verknüpfungsschlüssel (Secure Association Key, SAK) | 28800 Sekunden |
| MACsec-Vertraulichkeits-Offset | 0 |
| Fenstergröße | 64 |
| Indikator für Integritätsprüfungswert (ICV) | Ja |
| Secure Channel Identifier (SCI) | aktiviert |
MACsec für Cloud Interconnect unterstützt die unterbrechungsfreie Schlüsselrotation für bis zu fünf Schlüssel.
Mehrere Router von Cisco, Juniper und Arista erfüllen die Spezifikationen. Wir können keine Router empfehlen. Wir empfehlen, sich beim Routeranbieter zu erkundigen, welches Modell am besten für Ihre Anforderungen geeignet ist.
Voraussetzungen für die Verwendung von MACsec für Cloud Interconnect
Folgende Anforderungen müssen erfüllt sein:
Machen Sie sich mit den Grundlagen zu Interconnect-Verbindungen des Netzwerks vertraut, damit Sie Netzwerkverbindungen bestellen und konfigurieren können.
Informationen zu den Unterschieden und Anforderungen für Dedicated Interconnect und Partner Interconnect.
Sie haben Administratorzugriff auf Ihren lokalen Edge-Router.
Prüfen Sie, ob MACsec in Ihrer Colocations-Einrichtung verfügbar ist.
Einrichtungsschritte für MACsec für Cloud Interconnect
Nachdem Sie geprüft haben, ob MACsec für Cloud Interconnect in Ihrer Colocations-Einrichtung verfügbar ist, prüfen Sie, ob Sie bereits eine MACsec-fähige Cloud Interconnect-Verbindung haben. Wenn nicht, bestellen Sie eine MACsec-fähige Cloud Interconnect-Verbindung. Wenn Sie Cross-Site Interconnect verwenden, sind Ihre Verbindungen standardmäßig MACsec-fähig.
Nachdem Ihre Cloud Interconnect-Verbindung den Test abgeschlossen hat und einsatzbereit ist, können Sie MACsec einrichten, indem Sie vorinstallierte MACsec-Schlüssel erstellen und Ihren lokalen Router konfigurieren. Sie können MACsec dann aktivieren und prüfen, ob es für die Verbindung aktiviert ist und einsatzbereit ist. Schließlich können Sie Ihre MACsec-Verbindung überwachen, um zu prüfen, ob sie ordnungsgemäß funktioniert.
MACsec-Verfügbarkeit
MACsec für Cloud Interconnect wird für alle Cloud Interconnect-Verbindungen mit 100 Gbit/s und 400 Gbit/s unterstützt, unabhängig vom Standort.
MACsec für Cloud Interconnect ist nicht an allen Colocations-Einrichtungen für 10‑Gbit/s-Netzwerkverbindungen verfügbar. Weitere Informationen zu den in Colocation-Einrichtungen verfügbaren Funktionen finden Sie je nach Verbindungstyp unter:
So ermitteln Sie, welche Colocations-Einrichtungen mit 10-Gbit/s-Netzwerkverbindungen MACsec für Cloud Interconnect unterstützen. Die MACsec-Verfügbarkeit für 10‑Gbit/s-Netzwerkverbindungen wird nur für Projekte auf der Zulassungsliste angezeigt. Wenn Sie MACsec für Cloud Interconnect für 10-Gbit/s-Netzwerkverbindungen bestellen möchten, wenden Sie sich an Ihren Account Manager.
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Klicken Sie auf Physische Verbindung einrichten.
Wählen Sie Dedicated Interconnect und dann Weiter aus.
Wählen Sie Neue Dedicated Interconnect-Verbindung bestellen und dann Weiter aus.
Klicken Sie im Feld Google Cloud-Standort auf Auswählen.
Suchen Sie im Bereich Colocations-Einrichtung auswählen die Stadt, in der sich eine Cloud Interconnect-Verbindung befinden soll. Wählen Sie im Feld Geografischer Standort einen geografischen Bereich aus. In der Spalte MACsec-Unterstützung für aktuelles Projekt sehen Sie die Netzwerkgrößen, die für MACsec für Cloud Interconnect verfügbar sind.
gcloud
Authentifizieren Sie sich in der Google Cloud CLI:
gcloud auth loginSo ermitteln Sie, ob eine Colocations-Einrichtung MACsec für Cloud Interconnect unterstützt:
So prüfen Sie, ob eine bestimmte Colocations-Einrichtung MACsec für Cloud Interconnect unterstützt:
gcloud compute interconnects locations describe COLOCATION_FACILITYErsetzen Sie
COLOCATION_FACILITYdurch den Namen der Colocation-Einrichtung, der in der Standorttabelle aufgeführt ist.Die Ausgabe ähnelt dem folgenden Beispiel: Beachten Sie den Abschnitt
availableFeatures. MACsec-fähige Verbindungen zeigen Folgendes an:- Für 10‑Gbit/s-Verbindungen:
linkType: LINK_TYPE_ETHERNET_10G_LRundavailableFeatures: IF_MACSEC - Für 100‑Gbit/s-Links:
linkType: LINK_TYPE_ETHERNET_100G_LR; alle 100‑Gbit/s-Links sind MACsec-fähig - Für 400‑Gbit/s-Links:
linkType: LINK_TYPE_ETHERNET_400G_LR; alle 400‑Gbit/s-Links sind MACsec-fähig
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR - LINK_TYPE_ETHERNET_400G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- Für 10‑Gbit/s-Verbindungen:
So listen Sie alle Colocations-Einrichtungen auf, die MACsec für Cloud Interconnect auf 10‑Gbit/s-Netzwerkverbindungen unterstützen:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"Die Ausgabe sieht in etwa so aus:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Listen Sie alle Colocations-Einrichtungen mit 100-Gbit/s-Links auf, die standardmäßig MACsec anbieten:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"Die Ausgabe sieht in etwa so aus:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
MACsec-Unterstützung für vorhandene Cloud Interconnect-Verbindungen
MACsec für Cloud Interconnect wird für vorhandene 100‑Gbit/s- und 400‑Gbit/s-Cloud Interconnect-Verbindungen unterstützt.
Wenn Sie eine 10‑Gbit/s-Verbindung haben, prüfen Sie die MACsec-Verfügbarkeit in Ihrer Colocations-Einrichtung. Wenn MACsec-Unterstützung an Ihrer Colocations-Einrichtung verfügbar ist, dann prüfen Sie, ob Cloud Interconnect MACsec-fähigist.
Kann ich MACsec aktivieren, wenn meine vorhandene Cloud Interconnect-Verbindung dieses nicht unterstützt?
Wenn Ihre Colocations-Einrichtung MACsec nicht unterstützt, haben Sie folgende Möglichkeiten:
Fordern Sie eine neue Cloud Interconnect-Verbindung an und geben Sie MACsec als erforderliche Funktion an.
Wenden Sie sich an Ihren Google Cloud Account Manager, um eine Migration Ihrer bestehenden Cloud Interconnect-Verbindung zu MACsec-fähigen Ports zu planen.
Die physische Migration von Verbindungen kann aufgrund von Einschränkungen bei der Planung mehrere Wochen dauern. Für Migrationen ist ein Wartungsfenster erforderlich, in dem Ihre Cloud Interconnect-Verbindungen keinen Produktions-Traffic haben dürfen.