סקירה כללית על MACsec ל-Cloud Interconnect

‫MACsec for Cloud Interconnect עוזר לאבטח את התעבורה בחיבורי Cloud Interconnect, במיוחד בין הנתב המקומי לנתבי הקצה של Google. ‫MACsec ל-Cloud Interconnect משתמש בתקן IEEE‏ 802.1AE Media Access Control Security (MACsec) כדי להצפין את התעבורה בין הנתב המקומי לנתבי הקצה של Google.

‫MACsec for Cloud Interconnect לא מספק הצפנה במעבר בתוך Google. כדי לשפר את האבטחה, מומלץ להשתמש ב-MACsec עם פרוטוקולים אחרים לאבטחת רשת, כמו IP Security ‏ (IPsec) ו-Transport Layer Security ‏ (TLS). מידע נוסף על שימוש ב-IPsec כדי לאבטח את תעבורת הרשת אל Google Cloudזמין במאמר סקירה כללית על HA VPN over Cloud Interconnect. מידע נוסף על הצפנה ב-Cross-Site Interconnect זמין במאמר אפשרויות הצפנה.

‫MACsec ל-Cloud Interconnect זמין למעגלים של 10‎ Gbps,‏ 100‎ Gbps ו-400‎ Gbps. עם זאת, כדי להזמין MACsec ל-Cloud Interconnect עבור מעגלים של 10Gbps, צריך לפנות למנהל החשבון.

‫MACsec for Cloud Interconnect תומך בכל התכונות של צירוף ל-VLAN, כולל IPv4,‏ IPv6 ו-IPsec.

בתרשימים הבאים מוצג אופן ההצפנה של התנועה באמצעות MACsec:

איור 1 מציג את MACsec מצפין תנועה ב-Dedicated Interconnect. ההצפנה שמוצגת בתרשים הזה חלה גם על Cross-Site Interconnect.
איור 2 מציג תנועה מוצפנת ב-MACsec ב-Partner Interconnect.

הצפנת MACsec מצפינה את התנועה ב-Dedicated Interconnect בין נתב קצה שכנות (peering) של Google לבין נתב מקומי. — **איור 1.** ‫MACsec מצפין את התנועה ב-Dedicated Interconnect בין נתב קצה של Google לבין נתב מקומי (אפשר ללחוץ כדי להגדיל).

‫MACsec מצפין את התנועה ב-Partner Interconnect בין נתב קצה שכנות (peering) של Google לבין נתב קצה שכנות (peering) של ספק השירות. — **איור 2.** ‫MACsec מצפין את התנועה ב-Partner Interconnect בין נתב קצה של רשת שכנה של Google לבין נתב קצה של רשת שכנה של ספק השירות (אפשר ללחוץ כדי להגדיל).

כדי להשתמש ב-MACsec ב-Partner Interconnect, צריך לעבוד עם ספק השירות כדי לוודא שתעבורת הרשת מוצפנת דרך הרשת של הספק.

אין עלות נוספת לשימוש ב-MACsec ל-Cloud Interconnect.

איך MACsec for Cloud Interconnect עובד

‫MACsec for Cloud Interconnect עוזר לאבטח את התעבורה בין הנתב המקומי לבין נתב קצה של Google לצורך קישור בין רשתות שכנות (peering). משתמשים ב-Google Cloud CLI‏ (ה-CLI של gcloud) או במסוף Google Cloud כדי ליצור מפתח שיוך לקישוריות (CAK) ומזהה מפתח שיוך לקישוריות (CKN) מסוג GCM-AES-256. מגדירים את הנתב להשתמש בערכי ה-CAK וה-CKN כדי להגדיר את MACsec. אחרי שמפעילים את MACsec בנתב וב-Cloud Interconnect, ‏ MACsec מצפין את התנועה בין הנתב המקומי לבין נתב קצה שכנות (peering) של Google.

אנחנו ממליצים על גישה רב-שכבתית לאבטחה לצורך הצפנה. בשכבה 2, ‏ MACsec מצפין את התנועה בין נתבים סמוכים. בשכבה 3, פרוטוקול IPsec מאבטח את התעבורה בין רשתות מקומיות של לקוחות לבין רשתות VPC. כדי להשיג הגנה נוספת, אפשר להשתמש בפרוטוקולי אבטחה ברמת האפליקציה.

נתבים מקומיים נתמכים

אתם יכולים להשתמש בנתבים מקומיים עם MACsec ל-Cloud Interconnect שתומכים במפרטי MACsec שמפורטים בטבלה הבאה.

הגדרה	ערך
סט אלגוריתמים להצפנה (cipher suite) של MACsec	GCM-AES-256-XPN GCM-AES-256 זהירות: סט אלגוריתמים להצפנה (cipher suite) GCM-AES-256 נתמכת, אבל לא מומלצת לקישורים עם רוחב פס גבוה כי היא עלולה לגרום להשמטת מנות כשהמישור של בקרת הרשת עמוס מדי. מומלץ להשתמש ב-GCM-AES-256-XPN כדי למנוע אובדן של מנות מידע.
אלגוריתם קריפטוגרפי של CAK	AES_256_CMAC
סדר העדיפות של שרת המפתחות	15
מרווח הזמן בין החלפות של מפתח שיוך מאובטח (SAK)	‫28,800 שניות
היסט הסודיות של MACsec	0
גודל החלון	64
אינדיקטור של ערך בדיקת תקינות (ICV)	כן
מזהה ערוץ מאובטח (SCI)	מופעל

‫MACsec for Cloud Interconnect תומך ברוטציית מפתחות ללא השבתה של עד חמישה מפתחות.

יש כמה נתבים שיוצרו על ידי Cisco,‏ Juniper ו-Arista שעומדים במפרט. אנחנו לא יכולים להמליץ על נתבים ספציפיים. מומלץ להתייעץ עם ספק הנתב כדי להבין איזה דגם מתאים לצרכים שלכם.

לפני שמשתמשים ב-MACsec ל-Cloud Interconnect

צריך לוודא שאתם עומדים בדרישות הבאות:

הבנה בסיסית של חיבורי רשת, כדי שתוכלו להזמין ולהגדיר מעגלי רשת.
חשוב להבין את ההבדלים בין Dedicated Interconnect לבין Partner Interconnect ואת הדרישות לכל אחד מהם.
יש לכם הרשאת אדמין לנתב הקצה המקומי.
בודקים אם MACsec זמין במתקן לאחסון ואירוח שרתים (colocation facility) שלכם.

שלבי ההגדרה של MACsec ל-Cloud Interconnect

אחרי שמוודאים ש-MACsec ל-Cloud Interconnect זמין במתקן לאחסון ואירוח שרתים (colocation facility), בודקים אם כבר יש חיבור Cloud Interconnect עם תמיכה ב-MACsec. אם לא, צריך להזמין חיבור Cloud Interconnect עם תמיכה ב-MACsec. אם אתם משתמשים ב-Cross-Site Interconnect, החיבורים שלכם תומכים ב-MACsec כברירת מחדל.

אחרי שהבדיקה של חיבור Cloud Interconnect מסתיימת והוא מוכן לשימוש, אפשר להגדיר MACsec על ידי יצירת מפתחות MACsec משותפים מראש והגדרת הנתב המקומי. לאחר מכן אפשר להפעיל את MACsec ולוודא שהוא מופעל בקישור ושהוא פועל. לבסוף, אפשר לעקוב אחרי חיבור ה-MACsec כדי לוודא שהוא פועל בצורה תקינה.

זמינות של MACsec

‫MACsec ל-Cloud Interconnect נתמך בכל החיבורים של Cloud Interconnect‏ 100Gbps ו-400Gbps, ללא קשר למיקום.

‫MACsec ל-Cloud Interconnect לא זמין בכל מתקני המיקום המשותף למעגלים של 10‎ Gbps. למידע נוסף על התכונות שזמינות במתקני שרתים משותפים, אפשר לעיין במאמרים הבאים, בהתאם לסוג החיבור:

כדי לגלות אילו מתקני קולוקציה עם מעגלים של 10‎-Gbps תומכים ב-MACsec ל-Cloud Interconnect, מבצעים את הפעולות הבאות. הזמינות של MACsec במעגלים של 10‎-Gbps מוצגת רק בפרויקטים שכלולים ברשימת ההיתרים. כדי להזמין MACsec ל-Cloud Interconnect עבור מעגלים של 10Gbps, צריך לפנות למנהל החשבון.

המסוף

במסוף Google Cloud , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

כניסה אל Physical connections
לוחצים על הגדרת חיבור פיזי.
בוחרים באפשרות Dedicated Interconnect ולוחצים על המשך.
בוחרים באפשרות הזמנת חיבור Dedicated Interconnect חדש ולוחצים על המשך.
בשדה מיקום ב-Google Cloud, לוחצים על בחירה.
בחלונית Choose colocation facility (בחירת מתקן אירוח), מחפשים את העיר שבה רוצים ליצור חיבור Cloud Interconnect. בשדה מיקום גיאוגרפי, בוחרים אזור גיאוגרפי. בעמודה MACsec support for current project מוצגים הגדלים של המעגלים שזמינים ל-MACsec עבור Cloud Interconnect.

gcloud

מאמתים את הזהות ב-Google Cloud CLI:
```
gcloud auth login
```

כדי לגלות אם מתקן לאחסון ואירוח שרתים (colocation facility) תומך ב-MACsec ל-Cloud Interconnect, אפשר לבצע אחת מהפעולות הבאות:

כדי לוודא שמתקן לאחסון ואירוח שרתים (colocation facility) ספציפי תומך ב-MACsec עבור Cloud Interconnect:

gcloud compute interconnects locations describe COLOCATION_FACILITY

מחליפים את COLOCATION_FACILITY בשם של מתקן לאחסון ואירוח שרתים (colocation facility) שמופיע בטבלת המיקומים.

הפלט אמור להיראות כך: שימו לב לקטע availableFeatures. בחיבורים עם תמיכה ב-MACsec מוצגים הפרטים הבאים:

לקישורי 10‎-Gbps: ‏ linkType: LINK_TYPE_ETHERNET_10G_LR ו-availableFeatures: IF_MACSEC
לקישורי ‎100 Gbps: linkType: LINK_TYPE_ETHERNET_100G_LR; כל קישורי ‎100 Gbps תומכים ב-MACsec
לקישורי ‎400 Gbps‏: linkType: LINK_TYPE_ETHERNET_400G_LR; כל הקישורים של ‎400 Gbps תומכים ב-MACsec

address: |-
  Equinix
  47 Bourke Road
  Alexandria
  Sydney, New South Wales 2015
  Australia
availabilityZone: zone1
availableFeatures:
- IF_MACSEC
availableLinkTypes:
- LINK_TYPE_ETHERNET_10G_LR
- LINK_TYPE_ETHERNET_100G_LR
- LINK_TYPE_ETHERNET_400G_LR
city: Sydney
continent: C_ASIA_PAC
creationTimestamp: '2019-12-05T12:56:15.000-08:00'
description: Equinix Sydney (SY3)
facilityProvider: Equinix
facilityProviderFacilityId: SY3
id: '1173'
kind: compute#interconnectLocation
name: syd-zone1-1605
peeringdbFacilityId: '1605'
regionInfos:
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605
status: AVAILABLE

תפרט את כל מתקני ה-Colocation שתומכים ב-MACsec ל-Cloud Interconnect במעגלים של 10‎ Gbps:

gcloud compute interconnects locations list \
    --filter "availableFeatures: (IF_MACSEC)"

הפלט אמור להיראות כך:

NAME                  DESCRIPTION              FACILITY_PROVIDER
... <stripped>
syd-zone1-1605        Equinix Sydney (SY3)     Equinix
... <stripped>

רשימה של כל מתקני ה-Colocation שיש בהם קישורי 100‎-Gbps, ולכן הם מציעים MACsec כברירת מחדל:

gcloud compute interconnects locations list \
    --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"

הפלט אמור להיראות כך:

NAME                  DESCRIPTION              FACILITY_PROVIDER
... <stripped>
syd-zone1-1605        Equinix Sydney (SY3)     Equinix
... <stripped>

תמיכה ב-MACsec בחיבורים קיימים של Cloud Interconnect

‫MACsec ל-Cloud Interconnect נתמך בחיבורי Cloud Interconnect קיימים של 100‎ Gbps ו-400‎ Gbps.

אם יש לכם חיבור של 10‎ Gbps, בדקו את הזמינות של MACsec במתקן לאחסון ואירוח שרתים (colocation facility) שלכם. אם יש תמיכה ב-MACsec במתקן לאחסון ואירוח שרתים (colocation facility) שלכם, צריך לוודא ש-Cloud Interconnect תומך ב-MACsec.

האם אפשר להפעיל MACsec אם חיבור Cloud Interconnect הקיים שלי לא תומך בו?

אם מתקן לאחסון ואירוח שרתים (colocation facility) שלכם לא תומך ב-MACsec, אתם יכולים לבצע אחת מהפעולות הבאות:

מבקשים חיבור חדש של Cloud Interconnect ומבקשים MACsec כתכונה נדרשת.
פנו אל מנהל החשבון שלכם כדי לתאם מיגרציה של חיבור Cloud Interconnect קיים ליציאות עם תמיכה ב-MACsec. Google Cloud

העברה פיזית של חיבורים יכולה להימשך כמה שבועות בגלל מגבלות תזמון. העברות דורשות חלון זמן לתחזוקה שבו חיבורי Cloud Interconnect לא יכולים להעביר תנועת נתונים של ייצור.