MACsec per Cloud Interconnect ti aiuta a proteggere il traffico sulle connessioni Cloud Interconnect, in particolare tra il router on-premise e i router di edge di Google. MACsec per Cloud Interconnect utilizza lo standard IEEE 802.1AE Media Access Control Security (MACsec) per criptare il traffico tra il router on-premise e i router edge di Google.
MACsec per Cloud Interconnect non fornisce la crittografia in transito all'interno di Google. Per una maggiore sicurezza, ti consigliamo di utilizzare MACsec con altri protocolli di sicurezza di rete, come IP Security (IPsec) e Transport Layer Security (TLS). Per ulteriori informazioni sull'utilizzo di IPsec per proteggere il traffico di rete verso Google Cloud, consulta la panoramica della VPN ad alta disponibilità su Cloud Interconnect. Per saperne di più sulla crittografia in Cross-Site Interconnect, vedi Opzioni di crittografia.
MACsec per Cloud Interconnect è disponibile per circuiti da 10 Gbps, 100 Gbps e 400 Gbps. Tuttavia, per ordinare MACsec per Cloud Interconnect per circuiti da 10 Gbps, devi contattare il tuo account manager.
MACsec per Cloud Interconnect supporta tutte le funzionalità di collegamento VLAN, inclusi IPv4, IPv6 e IPsec.
I seguenti diagrammi mostrano come MACsec cripta il traffico:
- La Figura 1 mostra MACsec che cripta il traffico su Dedicated Interconnect. La crittografia mostrata in questo diagramma si applica anche a Cross-Site Interconnect.
- La Figura 2 mostra MACsec che cripta il traffico su Partner Interconnect.
Per utilizzare MACsec su Partner Interconnect, collabora con il tuo fornitore di servizi per assicurarti che il traffico di rete sia criptato tramite la rete del fornitore.
Non sono previsti costi aggiuntivi per l'utilizzo di MACsec per Cloud Interconnect.
Come funziona MACsec per Cloud Interconnect
MACsec per Cloud Interconnect contribuisce a proteggere il traffico tra il router on-premise e il router perimetrale di peering di Google. Utilizzi Google Cloud CLI (gcloud CLI) o la console Google Cloud per generare una chiave di associazione di connettività (CAK) GCM-AES-256 e i valori del nome della chiave di associazione di connettività (CKN). Configura il router in modo che utilizzi i valori CAK e CKN per configurare MACsec. Dopo aver attivato MACsec sul router e in Cloud Interconnect, MACsec cripta il traffico tra il router on-premise e il router di peering edge di Google.
Ti consigliamo un approccio alla sicurezza a più livelli per la crittografia. A livello 2, MACsec cripta il traffico tra router adiacenti. A livello 3, IPsec protegge il traffico tra le reti on-premise dei clienti e le reti VPC. Puoi ottenere una protezione maggiore con i protocolli di sicurezza a livello di applicazione.
Router on-premise supportati
Puoi utilizzare router on-premise con MACsec per Cloud Interconnect che supportano le specifiche MACsec elencate nella seguente tabella.
| Impostazione | Valore |
|---|---|
| Suite di crittografia MACsec |
|
| Algoritmo crittografico CAK | AES_256_CMAC |
| Priorità del server delle chiavi | 15 |
| Intervallo di riassegnazione della chiave di associazione sicura (SAK) | 28.800 secondi |
| Offset di riservatezza MACsec | 0 |
| Dimensione schermo | 64 |
| Indicatore del valore di verifica dell'integrità (ICV) | sì |
| Identificatore del canale sicuro (SCI) | abilitato |
MACsec per Cloud Interconnect supporta rotazione della chiave senza interruzioni per un massimo di cinque chiavi.
Diversi router prodotti da Cisco, Juniper e Arista soddisfano le specifiche. Non possiamo consigliare router specifici. Ti consigliamo di consultare il fornitore del router per determinare il modello più adatto alle tue esigenze.
Prima di utilizzare MACsec per Cloud Interconnect
Assicurati di soddisfare i seguenti requisiti:
Comprendere le interconnessioni di base della rete, in modo da poter ordinare e configurare i circuiti di rete.
Comprendi le differenze e i requisiti di Dedicated Interconnect e Partner Interconnect.
Disporre dell'accesso amministrativo al router perimetrale on-premise.
Verifica che MACsec sia disponibile presso la tua struttura di colocation.
Passaggi di configurazione di MACsec per Cloud Interconnect
Dopo aver verificato che MACsec per Cloud Interconnect è disponibile nella tua struttura di colocation, controlla se hai già una connessione Cloud Interconnect compatibile con MACsec. In caso contrario, ordina una connessione Cloud Interconnect compatibile con MACsec. Se utilizzi Cross-Site Interconnect, le tue connessioni sono compatibili con MACsec per impostazione predefinita.
Una volta completati i test e quando la connessione Cloud Interconnect è pronta per l'uso, puoi configurare MACsec creando chiavi precondivise MACsec e configurando il router on-premise. A questo punto, puoi attivare MACsec e verificare che sia abilitato per il tuo link e che funzioni. Infine, puoi monitorare la connessione MACsec per assicurarti che funzioni correttamente.
Disponibilità di MACsec
MACsec per Cloud Interconnect è supportato su tutte le connessioni Cloud Interconnect da 100 Gbps e 400 Gbps, indipendentemente dalla località.
MACsec per Cloud Interconnect non è disponibile in tutte le strutture di colocation per i circuiti da 10 Gbps. Per ulteriori informazioni sulle funzionalità disponibili presso le strutture di colocation, consulta quanto segue, a seconda del tipo di connessione:
Per scoprire quali strutture di colocation con circuiti a 10 Gbps supportano MACsec per Cloud Interconnect, segui questi passaggi. La disponibilità di MACsec per i circuiti a 10 Gbps viene visualizzata solo per i progetti consentiti. Per ordinare MACsec per Cloud Interconnect per circuiti da 10 Gbps, devi contattare il tuo account manager.
Console
Nella console Google Cloud , vai alla scheda Connessioni fisiche di Cloud Interconnect.
Fai clic su Configura connessione fisica.
Seleziona Dedicated Interconnect e poi fai clic su Continua.
Seleziona Ordina nuova Dedicated Interconnect e poi fai clic su Continua.
Nel campo Località Google Cloud, fai clic su Scegli.
Nel riquadro Scegli la struttura di colocation, trova la città in cui vuoi una connessione Cloud Interconnect. Nel campo Località geografica, seleziona un'area geografica. La colonna Supporto di MACsec per il progetto attuale mostra le dimensioni dei circuiti disponibili per MACsec per Cloud Interconnect.
gcloud
Esegui l'autenticazione in Google Cloud CLI:
gcloud auth loginPer scoprire se una struttura di colocation supporta MACsec per Cloud Interconnect, esegui una delle seguenti operazioni:
Verifica che una specifica struttura di colocation supporti MACsec per Cloud Interconnect:
gcloud compute interconnects locations describe COLOCATION_FACILITYSostituisci
COLOCATION_FACILITYcon il nome della struttura di colocation elencato nella tabella delle località.L'output è simile al seguente esempio. Prendi nota della sezione
availableFeatures. Le connessioni compatibili con MACsec mostrano quanto segue:- Per i link da 10 Gbps:
linkType: LINK_TYPE_ETHERNET_10G_LReavailableFeatures: IF_MACSEC - Per i link a 100 Gbps:
linkType: LINK_TYPE_ETHERNET_100G_LR; tutti i link a 100 Gbps sono compatibili con MACsec - Per i link a 400 Gbps:
linkType: LINK_TYPE_ETHERNET_400G_LR; tutti i link a 400 Gbps sono compatibili con MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR - LINK_TYPE_ETHERNET_400G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- Per i link da 10 Gbps:
Elenca tutte le strutture di colocation che supportano MACsec per Cloud Interconnect su circuiti da 10 Gbps:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"L'output è simile al seguente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Elenca tutte le strutture di colocation che dispongono di collegamenti da 100 Gbps e che quindi offrono MACsec per impostazione predefinita:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"L'output è simile al seguente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Supporto di MACsec su connessioni Cloud Interconnect esistenti
MACsec per Cloud Interconnect è supportato sulle connessioni Cloud Interconnect esistenti da 100 Gbps e 400 Gbps.
Se hai una connessione a 10 Gbps, verifica la disponibilità di MACsec presso la tua struttura di colocation. Se il supporto MACsec è disponibile nella tua struttura di colocation, verifica che Cloud Interconnect sia compatibile con MACsec.
Posso attivare MACsec se la mia connessione Cloud Interconnect esistente non lo supporta?
Se la tua struttura di colocation non supporta MACsec, puoi procedere in uno dei seguenti modi:
Richiedi una nuova connessione Cloud Interconnect e MACsec come funzionalità richiesta.
Contatta il tuo account manager Google Cloud per pianificare la migrazione della tua connessione Cloud Interconnect esistente a porte compatibili con MACsec.
La migrazione fisica delle connessioni può richiedere diverse settimane a causa di vincoli di pianificazione. Le migrazioni richiedono una periodo di manutenzione che richiede che le connessioni Cloud Interconnect siano prive di traffico di produzione.