Ruota le chiavi MACsec

Questa pagina descrive come ruotare le chiavi per MACsec per Cloud Interconnect.

Per ruotare le chiavi, completa i seguenti passaggi:

  1. Crea una nuova chiave con una data di inizio successiva alle chiavi esistenti.
  2. Aggiungi la nuova chiave al router on-premise.
  3. Attendi l'ora di inizio della nuova chiave.
  4. Verifica che la nuova chiave sia attiva.
  5. Elimina la chiave più vecchia.

Puoi creare fino a cinque chiavi precondivise con le ore di inizio che specifichi. Le ore di inizio delle chiavi devono essere in ordine crescente e non entro sei ore dall'ora di inizio della chiave precedente. Per ruotare una chiave che non vuoi più utilizzare, rimuovila.

Le chiavi precondivise non scadono. Quando configuri più di una chiave, tutte le chiavi devono avere un'ora di inizio configurata.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per recuperare le chiavi MACsec, chiedi all'amministratore di concederti il ruolo IAM Compute Network Admin (roles/compute.networkAdmin) sul tuo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Se scegli di utilizzare ruoli personalizzati, assicurati che il ruolo personalizzato per l'amministrazione di MACsec per Cloud Interconnect includa l'autorizzazione IAM compute.interconnects.getMacsecConfig.

(Facoltativo) Aggiorna l'ora di inizio della chiave esistente

Se hai una chiave senza ora di inizio e tenti di crearne una nuova, Cloud Interconnect visualizza un errore. Per correggere l'ora di inizio, seleziona una delle seguenti opzioni per impostare un'ora di inizio per la chiave esistente:

Console

  1. Nella Google Cloud console, vai alla scheda Connessioni fisiche di Cloud Interconnect.

    Vai a Connessioni fisiche

  2. Seleziona la connessione che vuoi modificare.

  3. Nella scheda MACsec , vai alla sezione Chiavi precondivise e fai clic su Chiavi precondivise gestite.

  4. Nel campo Ora di inizio, seleziona o inserisci una nuova ora di inizio.

  5. Fai clic su Invia.

gcloud 

gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time=START_TIME

Sostituisci quanto segue:

  • INTERCONNECT_CONNECTION_NAME: il nome della connessione Cloud Interconnect
  • KEY_NAME: il nome della chiave da aggiornare
  • START_TIME: l'ora a partire dalla quale questa chiave è valida in formato ISO 8601, ad esempio 2023-07-01T21:00:01.000Z

Crea una nuova chiave

  1. Per aggiungere una nuova chiave, seleziona una delle seguenti opzioni:

    Console

    1. Nella Google Cloud console, vai alla scheda Connessioni fisiche di Cloud Interconnect.

      Vai a Connessioni fisiche

    2. Seleziona la connessione che vuoi modificare.

    3. Nella scheda MACsec , vai alla sezione Chiavi precondivise e fai clic su Chiavi precondivise gestite.

    4. Fai clic su Aggiungi chiave.

    5. Specifica i dettagli della chiave precondivisa:

      • Nome chiave:un nome per la chiave. Questo nome viene visualizzato nella Google Cloud console e viene utilizzato da gcloud CLI per fare riferimento alla chiave, ad esempio psk-2.

      • Ora di inizio:l'ora a partire dalla quale la chiave è valida. Assicurati che l'ora di inizio della nuova chiave precondivisa sia almeno sei ore dopo l'ora di inizio della chiave precedente.

    6. Per aggiungere altre chiavi precondivise, fai clic su Aggiungi chiave. Le chiavi precondivise consecutive devono avere ore di inizio distanti almeno sei ore.

    7. Fai clic su Invia.

    gcloud 

    gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time="START_TIME"

    Sostituisci quanto segue:

    • INTERCONNECT_CONNECTION_NAME: il nome della connessione Cloud Interconnect
    • KEY_NAME: un nome per la chiave
    • START_TIME: l'ora a partire dalla quale questa chiave è valida in formato ISO 8601, ad esempio 2023-07-01T21:00:01.000Z

    Come best practice, ti consigliamo di impostare un'ora di inizio per tutte le chiavi che crei per MACsec per Cloud Interconnect.

  2. Per elencare le chiavi esistenti e annotare la chiave di associazione della connettività (CAK) e il nome della chiave di associazione della connettività (CKN) della nuova chiave, seleziona una delle seguenti opzioni:

    Console

    1. Nella sezione Chiavi precondivise, trova il nome della chiave precondivisa che hai aggiunto, quindi fai clic su Visualizza. Viene visualizzata una finestra con la chiave di associazione della connettività (CAK) e il nome della chiave di associazione della connettività (CKN). Fai clic su Copia accanto a uno dei due valori per copiarlo negli appunti del computer.

    2. Fai clic su Chiudi.

    gcloud 

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    L'output è simile al seguente:

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    In questo esempio, key2 è la chiave appena aggiunta.

  3. Aggiungi i valori di ora di inizio, CAK e CKN della nuova chiave alla configurazione del router on-premise.

I router di edge di Google utilizzano la chiave con l'ora di inizio più recente e passano automaticamente alla chiave successiva con il passare del tempo. Tutte le chiavi configurate hanno tempi di scadenza infiniti. Ciò significa che, per completare una rotazione della chiave, devi rimuovere la vecchia chiave che non vuoi utilizzare.

Verifica la chiave attiva

Completa i seguenti passaggi:

  1. Per elencare le chiavi esistenti, seleziona una delle seguenti opzioni:

    Console

    1. Nella Google Cloud console, vai alla scheda Connessioni fisiche di Cloud Interconnect.

      Vai a Connessioni fisiche

    2. Seleziona la connessione che vuoi visualizzare.

    3. Nella scheda MACsec, la sezione Chiavi precondivise elenca tutte le chiavi precondivise per questa connessione.

    gcloud 

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    L'output è simile al seguente:

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    Prendi nota del valore CKN della chiave elencata prima dell'ultima chiave.

  2. Per verificare che la chiave attiva sia elencata prima di rimuovere la vecchia chiave, seleziona una delle seguenti opzioni:

    Console

    • Nella sezione Chiavi precondivise, verifica che la nuova chiave mostri uno Stato chiave Attiva, in uso.

    gcloud 

    gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

    L'output è simile al seguente; cerca macsec:

    bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
  googleDemarc: fake-local-demarc-0
  lacpStatus:
    googleSystemId: '00:11:22:33:44:55'
    neighborSystemId: '55:44:33:22:11:00'
    state: ACTIVE
  macsec:
    ckn: 0202020289abcdef...0123456789abcdef
    operational: true
  operationalStatus: LINK_OPERATIONAL_STATUS_UP
  receivingOpticalPower:
    state: OK
    value: -2.49
  transmittingOpticalPower:
    state: OK
    value: -0.88
macAddress: 00:11:22:33:44:55

    Il comando gcloud compute interconnects get-diagnostics mostra il valore CKN della chiave attiva. Se hai configurato più di una chiave, viene selezionata come chiave attiva quella con l'ora di inizio più recente. I router di edge di Google rifiutano tutte le nuove sessioni MACsec che tentano di utilizzare le chiavi precedenti.

Rimuovi la vecchia chiave

Come misura di sicurezza, MACsec per Cloud Interconnect impedisce di rimuovere l'ultima chiave attiva.

Per rimuovere la vecchia chiave, completa i seguenti passaggi:

  1. Rimuovi la vecchia chiave dalla configurazione del router on-premise. In questo modo, la vecchia chiave non viene utilizzata dal router on-premise prima di eliminarla da Cloud Interconnect.

  2. Per rimuovere la vecchia chiave dalla configurazione della connessione Cloud Interconnect, seleziona una delle seguenti opzioni:

    Console

    1. Nella Google Cloud console, vai alla scheda Connessioni fisiche di Cloud Interconnect.

      Vai a Connessioni fisiche

    2. Seleziona la connessione che vuoi visualizzare.

    3. Nella scheda MACsec , vai a Chiavi precondivise, seleziona la chiave che vuoi eliminare e fai clic su Elimina.

    4. Nella sezione Chiavi precondivise, verifica che la nuova chiave mostri uno Stato chiave Attiva, in uso e che la chiave che volevi eliminare non sia più elencata.

    gcloud

    1. Esegui questo comando:

      gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME

      Sostituisci quanto segue:

      • INTERCONNECT_CONNECTION_NAME: il nome della connessione Cloud Interconnect
      • KEY_NAME: il nome della chiave

    2. Per verificare di aver rimosso la chiave corretta, esegui questo comando:

      gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

      L'output è simile al seguente:

      preSharedKeys:
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

Passaggi successivi