MACsec per Cloud Interconnect ti aiuta a proteggere il traffico sulle connessioni Cloud Interconnect, in particolare tra il router on-premise e i router edge di Google. MACsec per Cloud Interconnect utilizza lo standard IEEE 802.1AE Media Access Control Security (MACsec) per criptare il traffico tra il router on-premise e i router edge di Google.
MACsec per Cloud Interconnect non fornisce la crittografia in transito all'interno di Google. Per una maggiore sicurezza, ti consigliamo di utilizzare MACsec con altri protocolli di sicurezza di rete, come IP Security (IPsec) e Transport Layer Security (TLS). Per ulteriori informazioni sull'utilizzo di IPsec per proteggere il traffico di rete, consulta la panoramica della VPN ad alta affidabilità su Cloud Interconnect. Google CloudPer ulteriori informazioni sulla crittografia in Cross-Site Interconnect, consulta Opzioni di crittografia.
MACsec per Cloud Interconnect è disponibile per i circuiti da 10 Gbps, 100 Gbps e 400 Gbps. Tuttavia, per ordinare MACsec per Cloud Interconnect per circuiti da 10 Gbps, devi contattare il tuo account manager.
MACsec per Cloud Interconnect supporta tutte le funzionalità collegamento VLAN, inclusi IPv4, IPv6 e IPsec.
I seguenti diagrammi mostrano come MACsec cripta il traffico:
- La Figura 1 mostra MACsec che cripta il traffico su Dedicated Interconnect. La crittografia mostrata in questo diagramma si applica anche a Cross-Site Interconnect.
- La Figura 2 mostra MACsec che cripta il traffico su Partner Interconnect.
Per utilizzare MACsec su Partner Interconnect, collabora con il tuo provider di servizi per assicurarti che il traffico di rete sia criptato tramite la rete dei provider.
L'utilizzo di MACsec per Cloud Interconnect non comporta costi aggiuntivi.
Come funziona MACsec per Cloud Interconnect
MACsec per Cloud Interconnect aiuta a proteggere il traffico tra il router on-premise e il router edge di peering di Google. Utilizza Google Cloud CLI (gcloud CLI) o la Google Cloud console per generare i valori della chiave di associazione della connettività (CAK) GCM-AES-256 e del nome della chiave di associazione della connettività (CKN) . Configura il router in modo che utilizzi i valori CAK e CKN per configurare MACsec. Dopo aver abilitato MACsec sul router e in Cloud Interconnect, MACsec cripta il traffico tra il router on-premise e il router edge di peering di Google.
Ti consigliamo un approccio di sicurezza a più livelli per la crittografia. Al livello 2, MACsec cripta il traffico tra i router adiacenti. Al livello 3, IPsec protegge il traffico tra le reti on-premise dei clienti e le reti VPC. Puoi ottenere un'ulteriore protezione con i protocolli di sicurezza a livello di applicazione.
Router on-premise supportati
Puoi utilizzare i router on-premise con MACsec per Cloud Interconnect che supportano le specifiche MACsec elencate nella tabella seguente.
| Impostazione | Valore |
|---|---|
| Suite di cifrari MACsec |
|
| Algoritmo di crittografia CAK | AES_256_CMAC |
| Priorità del server di chiavi | 15 |
| Intervallo di ricodifica della chiave di associazione sicura (SAK) | 28800 secondi |
| Offset di riservatezza MACsec | 0 |
| Dimensione schermo | 64 |
| Indicatore del valore di verifica dell'integrità (ICV) | sì |
| Identificatore del canale sicuro (SCI) | abilitato |
MACsec per Cloud Interconnect supporta rotazione della chiave senza interruzioni per un massimo di cinque chiavi.
Diversi router prodotti da Cisco, Juniper e Arista soddisfano le specifiche. Non possiamo consigliare router specifici. Ti consigliamo di consultare il fornitore del router per determinare il modello più adatto alle tue esigenze.
Prima di utilizzare MACsec per Cloud Interconnect
Assicurati di soddisfare i seguenti requisiti:
Comprendere le interconnessioni di rete di base, in modo da poter ordinare e configurare i circuiti di rete.
Comprendere le differenze tra Dedicated Interconnect e Partner Interconnect e i relativi requisiti.
Avere accesso come amministratore al router edge on-premise.
Verificare che MACsec sia disponibile nella struttura di colocation.
Passaggi di configurazione di MACsec per Cloud Interconnect
Dopo aver verificato che MACsec per Cloud Interconnect è disponibile nella struttura di colocation, controlla se hai già una connessione Cloud Interconnect compatibile con MACsec. In caso contrario, ordina una connessione Cloud Interconnect compatibile con MACsec. Se utilizzi Cross-Site Interconnect, le connessioni sono compatibili con MACsec per impostazione predefinita.
Una volta completati i test della connessione Cloud Interconnect e quando è pronta per l'uso, puoi configurare MACsec creando chiavi precondivise MACsec e configurando il router on-premise. A questo punto, puoi abilitare MACsec e verificare che sia abilitato e operativo per il link. Infine, puoi monitorare la connessione MACsec per assicurarti che funzioni correttamente.
Disponibilità di MACsec
MACsec per Cloud Interconnect è supportato su tutte le connessioni Cloud Interconnect da 100 Gbps e 400 Gbps, indipendentemente dalla località.
MACsec per Cloud Interconnect non è disponibile in tutte le strutture di colocation per i circuiti da 10 Gbps. Per ulteriori informazioni sulle funzionalità disponibili nelle strutture di colocation, consulta le seguenti informazioni, a seconda del tipo di connessione:
Per scoprire quali strutture di colocation con circuiti da 10 Gbps supportano MACsec per Cloud Interconnect, procedi nel seguente modo. La disponibilità di MACsec per i circuiti da 10 Gbps viene visualizzata solo per i progetti consentiti. Per ordinare MACsec per Cloud Interconnect per circuiti da 10 Gbps, devi contattare il tuo account manager.
Console
Nella Google Cloud console, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Fai clic su Configura connessione fisica.
Seleziona Dedicated Interconnect e poi fai clic su Continua.
Seleziona Ordina nuovo Dedicated Interconnect e poi fai clic su Continua.
Nel campo Località Google Cloud, fai clic su Scegli.
Nel riquadro Scegli struttura di colocation, trova la città in cui vuoi una connessione Cloud Interconnect. Nel campo Località geografica, seleziona un'area geografica. La colonna Supporto di MACsec per il progetto attuale mostra le dimensioni dei circuiti disponibili per MACsec per Cloud Interconnect.
gcloud
Esegui l'autenticazione a Google Cloud CLI:
gcloud auth loginPer scoprire se una struttura di colocation supporta MACsec per Cloud Interconnect, procedi in uno dei seguenti modi:
Verifica che una struttura di colocation specifica supporti MACsec per Cloud Interconnect:
gcloud compute interconnects locations describe COLOCATION_FACILITYSostituisci
COLOCATION_FACILITYcon il nome della struttura di colocation elencato nella tabella delle località.L'output è simile al seguente esempio. Prendi nota della sezione
availableFeatures. Le connessioni compatibili con MACsec mostrano quanto segue:- Per i link da 10 Gbps:
linkType: LINK_TYPE_ETHERNET_10G_LReavailableFeatures: IF_MACSEC - Per i link da 100 Gbps:
linkType: LINK_TYPE_ETHERNET_100G_LR; tutti i link da 100 Gbps sono compatibili con MACsec - Per i link da 400 Gbps:
linkType: LINK_TYPE_ETHERNET_400G_LR; tutti i link da 400 Gbps sono compatibili con MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR - LINK_TYPE_ETHERNET_400G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- Per i link da 10 Gbps:
Elenca tutte le strutture di colocation che supportano MACsec per Cloud Interconnect sui circuiti da 10 Gbps:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"L'output è simile al seguente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Elenca tutte le strutture di colocation che dispongono di link da 100 Gbps e che quindi offrono MACsec per impostazione predefinita:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"L'output è simile al seguente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Supporto di MACsec sulle connessioni Cloud Interconnect esistenti
MACsec per Cloud Interconnect è supportato sulle connessioni Cloud Interconnect da 100 Gbps e 400 Gbps esistenti.
Se hai una connessione da 10 Gbps, controlla la disponibilità di MACsec nella struttura di colocation. Se il supporto di MACsec è disponibile nella struttura di colocation, verifica che Cloud Interconnect sia compatibile con MACsec.
Posso abilitare MACsec se la mia connessione Cloud Interconnect esistente non lo supporta?
Se la tua struttura di colocation non supporta MACsec, puoi procedere in uno dei seguenti modi:
Richiedi una nuova connessione Cloud Interconnect e MACsec come funzionalità obbligatoria.
Contatta il tuo Google Cloud account manager per pianificare la migrazione della connessione Cloud Interconnect esistente a porte compatibili con MACsec.
La migrazione fisica delle connessioni può richiedere diverse settimane a causa dei vincoli di pianificazione. Le migrazioni richiedono un periodo di manutenzione in cui le connessioni Cloud Interconnect non devono generare traffico di produzione.