הגדרת MACsec

בדף הזה מוסבר איך להגדיר MACsec ל-Cloud Interconnect.

לפני שמפעילים את MACsec ל-Cloud Interconnect ומשתמשים בו, צריך ליצור מפתח אחד או יותר ששותפו מראש ולהגדיר את הנתב המקומי לשימוש בהם. הנתב שלכם ונתב הקצה של Google משתמשים במפתחות המשותפים מראש כדי להצפין את התעבורה שעוברת בין הנתבים.

לפני שמתחילים

כדי לקבל את ההרשאות שנדרשות לאחזור מפתחות MACsec, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין רשת של Compute (roles/compute.networkAdmin) בפרויקט. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

אם אתם בוחרים להשתמש בתפקידים בהתאמה אישית, ודאו שהתפקיד בהתאמה אישית לניהול MACsec ל-Cloud Interconnect כולל את הרשאת ה-IAM‏ compute.interconnects.getMacsecConfig.

בדיקה אם Cloud Interconnect תומך ב-MACsec

כדי לבדוק אם חיבור Cloud Interconnect קיים תומך ב-MACsec, אפשר להשתמש באחת מהאפשרויות הבאות. אם כן, מדלגים אל יצירת מפתחות ששותפו מראש.

כל החיבורים של Cross-Site Interconnect תומכים ב-MACsec.

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

    כניסה אל Physical connections

  2. לוחצים על שם החיבור שרוצים לבדוק.

  3. לוחצים על הכרטיסייה MACsec.

    מוצג מידע על MACsec. אם חיבור Cloud Interconnect תומך ב-MACsec אבל הוא לא מוגדר, הגדרת MACsec מציגה מושבת. אם החיבור לא תומך ב-MACsec, אי אפשר ללחוץ על הלחצן Enable, ובהעברת העכבר מעל הלחצן מוצגת ההודעה "Your Interconnect does not support MACsec. צריך יציאה עם תמיכה ב-MACsec".

gcloud

מריצים את הפקודה הבאה:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

מחליפים את INTERCONNECT_CONNECTION_NAME בשם של חיבור Cloud Interconnect.

הפלט אמור להיראות כך: בחיבורים עם תמיכה ב-MACsec מוצגים הפרטים הבאים:

  • לקישורים של 10GB: ‏ linkType: LINK_TYPE_ETHERNET_10G_LR ו-availableFeatures: IF_MACSEC
  • לקישורי 100GB: linkType: LINK_TYPE_ETHERNET_100G_LR; כל קישורי 100GB תומכים ב-MACsec
  • לקישורי 400GB: linkType: LINK_TYPE_ETHERNET_400G_LR; כל קישורי 400GB תומכים ב-MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

בפריטים הבאים מפורטת הגדרת MACsec של חיבור Cloud Interconnect:

  • availableFeatures: יכולת MACsec בחיבור Cloud Interconnect. הפרמטר הזה מוצג רק עבור חיבורי Cloud Interconnect של 10GB, כי חיבורי Cloud Interconnect של 100GB ו-400GB תומכים ב-MACsec כברירת מחדל.

  • macsecEnabled: סטטוס MACsec עבור Cloud Interconnect בקישור הזה. הערך יהיה false עד שתפעילו את MACsec בחיבור ההדדי.

בקשה לחיבור Cloud Interconnect עם תמיכה ב-MACsec

חיבור Cloud Interconnect בנפח 100GB או 400GB תומך ב-MACsec כברירת מחדל. עם זאת, חיבור של 10GB לא תומך ב-MACsec כברירת מחדל, אלא אם מדובר בחיבור Cross-Site Interconnect. אם החיבור הקיים לא תומך ב-MACsec, צריך לבקש חיבור חדש לפני שממשיכים.

בוחרים באחת מהאפשרויות הבאות:

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

    כניסה אל Physical connections

  2. לוחצים על הגדרת חיבור פיזי.

  3. בוחרים באפשרות Dedicated Interconnect ולוחצים על המשך.

  4. בוחרים באפשרות הזמנת חיבור Dedicated Interconnect חדש ולוחצים על המשך.

  5. מציינים את פרטי החיבור:

    • שם: שם לחיבור. השם הזה מוצג במסוף Google Cloud ומשמש את Google Cloud CLI להפניה לחיבור, כמו my-interconnect.

    • המיקום ב-Google Cloud: המיקום הפיזי שבו נוצר החיבור. הרשת המקומית שלכם צריכה לעמוד בדרישות של הרשת שלGoogle Cloudבמיקום הזה. אפשר להגביל את רשימת המיקומים הזמינים לפי אזור גיאוגרפי בתפריט הנפתח מיקום גיאוגרפי.

    • בעמודה MACsec support for current project מוצגים הגדלים של המעגלים שזמינים ל-MACsec ב-Cloud Interconnect.

    • קיבולת: הקיבולת הכוללת של החיבור, שנקבעת לפי מספר המעגלים והגודל שלהם שהזמנתם.

      בוחרים אחת מהאפשרויות שמוצגות.

    • הזמנת יציאה עם תמיכה ב-MACsec: אם מזמינים קישור פיזי של 10‎ Gbps, צריך לבחור באפשרות הזו כשמזמינים את חיבור Cloud Interconnect לחיבורים עם תמיכה ב-MACsec. אם אתם מזמינים קישור פיזי של 100‎ Gbps או 400‎ Gbps, יציאה עם תמיכה ב-MACsec נבחרת עבורכם באופן אוטומטי ואי אפשר לבטל את הבחירה בה.

      אפשר להוסיף תיאור לחיבור בשדה Description. התיאור הזה מיועד לשימוש שלכם.

  6. לוחצים על הבא.

  7. אם נדרשת יתירות, מציינים את הפרטים של החיבור הכפול ולוחצים על הבא.

  8. מציינים את הפרטים ליצירת קשר:

    • שם החברה: שם הארגון שצריך להזין במכתב ההרשאה כצד שמורשה לבקש חיבור.

    • איש קשר טכני: כתובת אימייל שאליה נשלחות התראות לגבי החיבור הזה. אין צורך להזין את הכתובת שלכם, אתם נכללים בכל ההתראות. אפשר לציין רק כתובת אחת.

      אם אתם יוצרים חיבור דרך איחוד שירותי אימות הזהות של כוח עבודה, אתם חייבים לציין איש קשר טכני. איחוד שירותי אימות הזהות של כוח העבודה נמצא בתצוגה מקדימה.

  9. בודקים את ההזמנה. בודקים שפרטי החיבור של Dedicated Interconnect והפרטים ליצירת קשר נכונים. אם הכל נראה בסדר, לוחצים על ביצוע ההזמנה. אם לא, חוזרים אחורה ועורכים את פרטי החיבור.

  10. בדף אישור ההזמנה, בודקים את השלבים הבאים ולוחצים על סיום.

gcloud

הפקודה הבאה מדגימה איך לבקש חיבור Cloud Interconnect עם תמיכה ב-MACsec בקישור של 10GB. יש תמיכה ב-MACsec בחיבורים של 10GB, אבל צריך לפנות לGoogle Cloud צוות התמיכה בחשבון Google Cloud כדי להפעיל את הפרויקטים וליצור חיבור עם יכולת MACsec בקישורים של 10GB.

gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
    --customer-name=CUSTOMER_NAME \
    --interconnect-type=DEDICATED \
    --link-type=LINK_TYPE_ETHERNET_10G_LR \
    --location="INTERCONNECT_CONNECTION_LOCATION" \
    --requested-link-count=LINK_COUNT \
    --requested-features=MACSEC

מחליפים את מה שכתוב בשדות הבאים:

  • INTERCONNECT_CONNECTION_NAME: שם לחיבור Cloud Interconnect

  • CUSTOMER_NAME: שם הלקוח שמופיע במכתב ההרשאה (LOA) שאנחנו מנפיקים לחיבור הזה

  • INTERCONNECT_CONNECTION_LOCATION: מיקום של חיבור Cloud Interconnect שמופיע בטבלת המיקומים

  • LINK_COUNT: מספר החיבורים של Cloud Interconnect שרוצים

אחרי שתבקשו חיבור Cloud Interconnect עם תמיכה ב-MACsec, יוקצה לכם חיבור Cloud Interconnect.

מידע נוסף על הקצאת הרשאות זמין במאמרים הבאים:

יצירת מפתחות ששותפו מראש

אחרי הקצאת חיבור Cloud Interconnect עם תמיכה ב-MACsec, צריך ליצור את המפתחות המשותפים מראש ש-MACsec משתמש בהם כדי להצפין את התעבורה שעוברת בין נתבי הקצה של Google לבין הנתב שלכם. יצירת מפתחות לא מפעילה את MACsec. כדי להפעיל את MACsec, צריך להגדיר את הנתב המקומי ואז להפעיל את MACsec.

כדי להשתמש ב-MACsec ב-Cloud Interconnect, צריך לפחות מפתח אחד עם שעת התחלה של עכשיו או לפני כן. למפתחות שיוצרים עבור MACsec ל-Cloud Interconnect יש תוקף אינסופי. אפשר להגדיר עד חמישה מפתחות לכל חיבור.

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את החיבור שרוצים לשנות.

  3. בכרטיסייה MACsec, עוברים לקטע מפתחות משותפים מראש ולוחצים על מפתחות משותפים מראש בניהול.

  4. מציינים את הפרטים של המפתח ששותף מראש:

    • שם מפתח 1: שם המפתח. השם הזה מוצג במסוף Google Cloud ומשמש את ה-CLI של gcloud כדי להפנות למפתח, כמו psk-1.

    • שעת התחלה 1: השעה שבה המפתח תקף.

  5. כדי להוסיף עוד מפתחות ששותפו מראש, לוחצים על הוספת מפתח. שעות ההתחלה של מפתחות משותפים רצופים צריכות להיות בהפרש של שש שעות לפחות.

  6. לוחצים על שליחה.

gcloud 

gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
     --key-name=KEY_NAME --start-time="START_TIME"

מחליפים את מה שכתוב בשדות הבאים:

  • KEY_NAME: שם המפתח
  • START_TIME: השעה שבה המפתח הזה תקף, בפורמט ISO 8601 – לדוגמה, 2023-07-01T21:00:01.000Z

קבלת מפתחות ששותפו מראש

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Physical connections של Cloud Interconnect.

    כניסה אל Physical connections

  2. בוחרים את החיבור שרוצים לראות.

  3. בכרטיסייה MACsec, עוברים לקטע מפתחות משותפים מראש, מוצאים את השם של המפתח המשותף מראש ולוחצים על הצגה. בחלון מוצגים מפתח שיוך הקישוריות (CAK) ושם מפתח שיוך הקישוריות (CKN). לוחצים על העתקה ליד אחד מהערכים כדי להעתיק אותו ללוח של המחשב.

  4. לוחצים על Close.

gcloud

מריצים את הפקודה הבאה:

gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

הפלט אמור להיראות כך:

preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
  ckn: 0101016789abcdef...0123456789abcdef
  name: key1
  startTime: 2023-07-01T21:00:01.000Z

רושמים את מפתח שיוך הקישוריות (CAK) ואת שם מפתח שיוך הקישוריות (CKN) של הגדרת הנתב.

אם מופיעה השגיאה 'ההרשאות נדחו', צריך לוודא שיש לכם את ההרשאות הנכונות. מידע נוסף מופיע במאמר לפני שמתחילים.

הגדרת הנתב המקומי

כדי להגדיר את הערכים הבאים בנתב שלכם כך שיהיה תואם לנתבים של Google, צריך לעיין במסמכי התיעוד של ספק הנתב.

בשלב הזה, MACsec לא מופעל בצד של Google. כדי למנוע שיבוש בתנועה, אל תפעילו את MACsec בנתב בזמן שאתם מגדירים את הערכים האלה.

הגדרה ערך
סט אלגוריתמים להצפנה (cipher suite) של MACsec
  • GCM-AES-256-XPN
  • GCM-AES-256
אלגוריתם קריפטוגרפי של CAK AES_256_CMAC
סדר העדיפות של שרת המפתחות 15
מרווח הזמן בין החלפות של מפתח שיוך מאובטח (SAK) ‫28,800 שניות
היסט הסודיות של MACsec 0
גודל החלון 64
אינדיקטור של ערך בדיקת תקינות (ICV) כן
CAK הערך שרשמתם קודם כשקיבלתם מפתחות ששותפו מראש.
CKN הערך שרשמתם קודם כשקיבלתם מפתחות ששותפו מראש.
מזהה ערוץ מאובטח (SCI) מופעל

מה השלב הבא?