MACsec para Cloud Interconnect te ayuda a proteger el tráfico en las conexiones de Cloud Interconnect, concretamente entre tu router on-premise y los routers perimetrales de Google. MACsec para Cloud Interconnect usa el estándar IEEE 802.1AE Media Access Control Security (MACsec) para cifrar el tráfico entre tu router local y los routers perimetrales de Google.
MACsec para Cloud Interconnect no proporciona cifrado en tránsito dentro de Google. Para aumentar la seguridad, te recomendamos que uses MACsec con otros protocolos de seguridad de red, como Seguridad IP (IPsec) y Seguridad en la capa de transporte (TLS). Para obtener más información sobre cómo usar IPsec para proteger el tráfico de red a Google Cloud, consulta la información general sobre la VPN de alta disponibilidad mediante Cloud Interconnect. Para obtener más información sobre el cifrado en Cross-Site Interconnect, consulta las opciones de cifrado.
MACsec para Cloud Interconnect está disponible para circuitos de 10 y 100 Gbps. Sin embargo, para solicitar MACsec para Cloud Interconnect en circuitos de 10 Gbps, debes ponerte en contacto con tu gestor de cuentas.
MACsec para Cloud Interconnect admite todas las funciones de vinculación de VLAN, incluidas IPv4, IPv6 e IPsec.
En los siguientes diagramas se muestra cómo cifra MACsec el tráfico:
- En la figura 1 se muestra el cifrado de tráfico de MACsec en Interconexión dedicada. El cifrado que se muestra en este diagrama también se aplica a Cross-Site Interconnect.
- En la figura 2 se muestra el cifrado de tráfico de MACsec en Partner Interconnect.
Para usar MACsec en Partner Interconnect, póngase en contacto con su proveedor de servicios para asegurarse de que el tráfico de su red esté cifrado a través de la red de su proveedor.
No hay ningún coste adicional por usar MACsec para Cloud Interconnect.
Cómo funciona MACsec para Cloud Interconnect
MACsec para Cloud Interconnect ayuda a proteger el tráfico entre tu router local y el router perimetral de emparejamiento de Google. Puedes usar la CLI de Google Cloud (CLI de gcloud) o la consola para generar una clave de asociación de conectividad (CAK) GCM-AES-256 y un nombre de clave de asociación de conectividad (CKN). Google Cloud Configura el router para que use los valores de CAK y CKN para configurar MACsec. Después de habilitar MACsec en tu router y en Cloud Interconnect, MACsec cifra el tráfico entre tu router on-premise y el router perimetral de peering de Google.
Recomendamos una estrategia de seguridad por capas para el cifrado. En la capa 2, MACsec cifra el tráfico entre routers adyacentes. En la capa 3, IPsec protege el tráfico entre las redes on-premise de los clientes y las redes de VPC. Puedes aumentar la protección con protocolos de seguridad a nivel de aplicación.
Routers on-premise compatibles
Puedes usar routers locales con MACsec para Cloud Interconnect que admitan las especificaciones de MACsec que se indican en la siguiente tabla.
| Ajuste | Valor |
|---|---|
| Paquete de cifrado MACsec |
|
| Algoritmo criptográfico CAK | AES_256_CMAC |
| Prioridad del servidor de claves | 15 |
| Intervalo de cambio de clave de asociación segura (SAK) | 28.800 segundos |
| Desfase de confidencialidad de MACsec | 0 |
| Tamaño de la ventana | 64 |
| Indicador de valor de comprobación de integridad (ICV) | yes |
| Identificador de canal seguro (SCI) | habilitada |
MACsec para Cloud Interconnect admite la rotación de claves sin interrupciones para un máximo de cinco claves.
Varios routers fabricados por Cisco, Juniper y Arista cumplen las especificaciones. No podemos recomendar routers específicos. Te recomendamos que te pongas en contacto con el proveedor de tu router para determinar qué modelo se adapta mejor a tus necesidades.
Antes de usar MACsec para Cloud Interconnect
Asegúrate de que cumples los siguientes requisitos:
Conocer las interconexiones básicas de la red para poder pedir y configurar circuitos de red.
Consulta las diferencias y los requisitos de Interconexión dedicada y Partner Interconnect.
Tener acceso de administrador a tu router perimetral local.
Comprueba que MACsec esté disponible en tu centro de datos de colocación.
Pasos para configurar MACsec para Cloud Interconnect
Una vez que hayas verificado que MACsec para Cloud Interconnect está disponible en tu instalación de colocación, comprueba si ya tienes una conexión Cloud Interconnect compatible con MACsec. Si no es así, solicita una conexión de Cloud Interconnect compatible con MACsec. Si usas Cross-Site Interconnect, tus conexiones serán compatibles con MACsec de forma predeterminada.
Una vez que se hayan completado las pruebas de tu conexión de Cloud Interconnect y esté lista para usarse, puedes configurar MACsec creando claves precompartidas de MACsec y configurando tu router local. A continuación, puede habilitar MACsec y verificar que está habilitado en su enlace y que funciona. Por último, puedes monitorizar tu conexión MACsec para asegurarte de que funciona correctamente.
Disponibilidad de MACsec
MACsec para Cloud Interconnect se admite en todas las conexiones de Cloud Interconnect de 100 Gbps, independientemente de la ubicación.
MACsec para Cloud Interconnect no está disponible en todas las instalaciones de colocación para circuitos de 10 Gbps. Para obtener más información sobre las funciones disponibles en las instalaciones de coubicación, consulta lo siguiente en función de tu tipo de conexión:
Para saber qué instalaciones de colocación con circuitos de 10 Gbps admiten MACsec para Cloud Interconnect, haz lo siguiente: La disponibilidad de MACsec para circuitos de 10 Gbps solo se muestra en los proyectos incluidos en la lista de permitidos. Para pedir MACsec para Cloud Interconnect en circuitos de 10 Gbps, debes ponerte en contacto con tu gestor de cuentas.
Consola
En la Google Cloud consola, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Haz clic en Configurar conexión física.
Selecciona Interconexión dedicada y, a continuación, haz clic en Continuar.
Selecciona Pedir una nueva interconexión dedicada y, a continuación, haz clic en Continuar.
En el campo Ubicación de Google Cloud, haz clic en Elegir.
En el panel Elegir instalación de colocación, busca la ciudad en la que quieras tener una conexión de Cloud Interconnect. En el campo Ubicación geográfica, seleccione un área geográfica. En la columna Compatibilidad con MACsec del proyecto actual se muestran los tamaños de circuito disponibles para MACsec para Cloud Interconnect.
gcloud
Autentícate en Google Cloud CLI:
gcloud auth loginPara saber si una instalación de colocación admite MACsec para Cloud Interconnect, haz una de las siguientes acciones:
Comprueba si una instalación de colocación específica admite MACsec para Cloud Interconnect:
gcloud compute interconnects locations describe COLOCATION_FACILITYSustituye
COLOCATION_FACILITYpor el nombre de la instalación de colocación que aparece en la tabla de ubicaciones.La salida es similar a la del siguiente ejemplo. Toma nota de la sección
availableFeatures. Las conexiones compatibles con MACsec muestran lo siguiente:- En el caso de los enlaces de 10 Gbps:
linkType: LINK_TYPE_ETHERNET_10G_LRyavailableFeatures: IF_MACSEC - En el caso de los enlaces de 100 Gbps:
linkType: LINK_TYPE_ETHERNET_100G_LR; todos los enlaces de 100 Gbps son compatibles con MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- En el caso de los enlaces de 10 Gbps:
Lista de todas las instalaciones de colocación que admiten MACsec para Cloud Interconnect en circuitos de 10 Gbps:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"El resultado debería ser similar al siguiente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Lista todas las instalaciones de colocación que tienen enlaces de 100 Gbps y, por lo tanto, ofrecen MACsec de forma predeterminada:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"El resultado debería ser similar al siguiente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Compatibilidad con MACsec en conexiones de Cloud Interconnect
MACsec para Cloud Interconnect se admite en las conexiones de Cloud Interconnect de 100 Gbps.
Si tienes una conexión de 10 Gbps, consulta la disponibilidad de MACsec en tu centro de colocación. Si tu instalación de colocación admite MACsec, verifica que Cloud Interconnect sea compatible con MACsec.
¿Puedo habilitar MACsec si mi conexión de Interconnect de Cloud no lo admite?
Si tu centro de colocación no admite MACsec, puedes hacer una de las siguientes acciones:
Solicita una nueva conexión de Cloud Interconnect y MACsec como función obligatoria.
Ponte en contacto con tu gestor de cuentas de Google Cloud para programar la migración de tu conexión de Cloud Interconnect a puertos compatibles con MACsec.
La migración física de las conexiones puede tardar varias semanas en completarse debido a las limitaciones de programación. Las migraciones requieren una ventana de mantenimiento en la que las conexiones de Cloud Interconnect no tengan tráfico de producción.