MACsec per Cloud Interconnect ti aiuta a proteggere il traffico su Cloud Interconnect in particolare tra il router on-premise e il perimetro di Google di rete. MACsec per Cloud Interconnect utilizza lo standard IEEE 802.1AE Media Access Control Security (MACsec) per criptare il traffico tra il router on-premise e il perimetro di Google di rete.
MACsec per Cloud Interconnect non fornisce la crittografia in transito all'interno in tutti i canali Google. Per una maggiore sicurezza, ti consigliamo di utilizzare MACsec con altri protocolli di sicurezza di rete come IP Security (IPsec) e Transport Layer Sicurezza (TLS). Per ulteriori informazioni sull'utilizzo di IPsec per proteggere la rete verso Google Cloud, vedi la VPN ad alta disponibilità su Cloud Interconnect Panoramica.
MACsec per Cloud Interconnect è disponibile per 10 Gbps e Circuiti a 100 Gbps. Tuttavia, per ordinare MACsec per Cloud Interconnect per i circuiti a 10 Gbps, devi contattare il tuo account manager.
MACsec per Cloud Interconnect supporta tutte le funzionalità di collegamento VLAN, inclusi IPv4, IPv6 e IPsec.
I seguenti diagrammi mostrano come MACsec cripta il traffico. La Figura 1 illustra MACsec cripta il traffico su Dedicated Interconnect. La Figura 2 illustra MACsec cripta il traffico su Partner Interconnect.
Per utilizzare MACsec su Partner Interconnect, collabora con il tuo servizio di rete per assicurarti che il traffico di rete sia criptato tramite dei fornitori in ogni rete.
Come funziona MACsec per Cloud Interconnect
MACsec per Cloud Interconnect aiuta a proteggere il traffico tra i tuoi ambienti on-premise e il router perimetrale di peering di Google. Utilizzi Google Cloud CLI (gcloud CLI) o la console Google Cloud per generare un file GCM-AES-256 chiave di associazione della connettività (CAK) e nome della chiave di associazione della connettività (CKN) e i relativi valori. Configura il router in modo che utilizzi i valori CAK e CKN per configurare MACsec. Dopo aver abilitato MACsec sul router e Cloud Interconnect, MACsec cripta il traffico tra i tuoi router on-premise e router perimetrale di peering di Google.
Router on-premise supportati
Puoi utilizzare router on-premise con MACsec per Cloud Interconnect Supportare le specifiche MACsec elencate nella tabella seguente.
| Impostazione | Valore |
|---|---|
| Suite di crittografia MACsec |
|
| Algoritmo crittografico CAK | AES_256_CMAC |
| Priorità server chiavi | 15 |
| Intervallo di riscrittura della chiave di associazione sicura (SAK) | 28.800 secondi |
| Offset di riservatezza MACsec | 0 |
| Dimensione schermo | 64 |
| Indicatore del valore di controllo dell'integrità (ICV) | sì |
| Secure Channel Identifier (SCI) (Identificatore di canale sicuro) | abilitato |
MACsec per Cloud Interconnect supporta rotazione della chiave hitless per un massimo di cinque chiave.
Diversi router prodotti da Cisco, Juniper e Arista soddisfano specifiche. Non possiamo consigliare router specifici. Ti consigliamo di consultati con il fornitore del router per stabilire quale modello si adatta meglio alle tue esigenze.
Prima di utilizzare MACsec per Cloud Interconnect
Assicurati di soddisfare i seguenti requisiti:
Informazioni di base sulla rete interconnections, per poter ordinare e configurare i circuiti di rete.
Comprendi le differenze tra i requisiti di Interconnessione dedicata e Partner Interconnect.
Avere l'accesso amministrativo al router perimetrale on-premise.
Verifica che MACsec sia disponibile presso la tua struttura di colocation.
Procedura di configurazione di MACsec per Cloud Interconnect
Dopo aver verificato che MACsec per Cloud Interconnect sia disponibile di colocation, verifica se hai già una struttura compatibile con MACsec Connessione Cloud Interconnect. In caso contrario, ordina un'istanza compatibile con MACsec Connessione Cloud Interconnect.
Quando la connessione Cloud Interconnect è pronta per essere testata per l'uso, puoi configurare MACsec creando chiavi precondivise e chiavi la configurazione del router on-premise. Puoi quindi abilitare MACsec e verificare che sia abilitato per il tuo link ed è operativo. Infine, puoi monitorare Connessione MACsec per verificare che funzioni correttamente.
Disponibilità di MACsec
MACsec per Cloud Interconnect è supportato su tutti Connessioni Cloud Interconnect a 100 Gbps, indipendentemente dalla località.
MACsec per Cloud Interconnect non è disponibile in tutte le strutture di colocation per circuiti a 10 Gbps. Per ulteriori informazioni sulle funzionalità disponibili all'indirizzo strutture di colocation, consulta la sezione Locations dalla tabella.
Per scoprire quali strutture di colocation supportano circuiti da 10 Gbps MACsec per Cloud Interconnect, segui questi passaggi. Disponibilità di MACsec per circuiti a 10 Gbps viene visualizzato solo per i progetti nella lista consentita. Per ordinare MACsec per Cloud Interconnect per circuiti da 10 Gbps, devi contattare il tuo account manager.
Console
Nella console Google Cloud, vai a Cloud Interconnect Fisica connessione.
Fai clic su Configura connessione fisica.
Seleziona Dedicated Interconnect e fai clic su Continua.
Seleziona Ordina nuova Dedicated Interconnect e fai clic su Continua.
Nel campo Località Google Cloud, fai clic su Scegli.
Nel riquadro Scegli struttura di colocation, trova la città in cui desideri Connessione Cloud Interconnect in entrata. Nella sezione Posizione geografica seleziona un'area geografica. La La colonna Supporto MACsec per il progetto attuale mostra le dimensioni dei circuiti. disponibili per MACsec per Cloud Interconnect.
gcloud
Esegui l'autenticazione in Google Cloud CLI:
gcloud auth loginPer scoprire se una struttura di colocation supporta MACsec per Cloud Interconnect, esegui una di queste operazioni:
Verifica che una struttura di colocation specifica supporti MACsec per Cloud Interconnect:
gcloud compute interconnects locations describe COLOCATION_FACILITYSostituisci
COLOCATION_FACILITYcon il nome della struttura di colocation nell'elenco tabella delle località.L'output è simile all'esempio seguente. Prendi nota delle Sezione
availableFeatures. Le connessioni compatibili con MACsec visualizzano seguenti:- Per link a 10 Gbps:
linkType: LINK_TYPE_ETHERNET_10G_LReavailableFeatures: IF_MACSEC - Per link da 100 Gbps:
linkType: LINK_TYPE_ETHERNET_100G_LR; tutti i link da 100 Gbps supportano MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- Per link a 10 Gbps:
Elenca tutte le strutture di colocation che supportano MACsec per Cloud Interconnect su circuiti da 10 Gbps:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"L'output è simile al seguente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Elencare tutte le strutture di colocation che hanno collegamenti da 100 Gbps e pertanto offrono MACsec per impostazione predefinita:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"L'output è simile al seguente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Supporto di MACsec sulle connessioni Cloud Interconnect esistenti
MACsec per Cloud Interconnect è supportato su reti a 100 Gbps esistenti e le connessioni Cloud Interconnect.
Se hai una connessione a 10 Gbps, controlla la disponibilità di MACsec nel tuo di colocation. Se l'assistenza di MACsec è disponibile su la tua struttura di colocation, quindi verifica che Cloud Interconnect sia Supporta MACsec.
Posso abilitare MACsec se la mia connessione Cloud Interconnect esistente non la supporta?
Se la tua struttura di colocation non supporta MACsec, puoi eseguire una delle seguenti:
Richiedi una nuova connessione Cloud Interconnect e richiedi MACsec come funzionalità richiesta.
Contatta il tuo account manager Google Cloud per pianificare una migrazione dei tuoi connessione Cloud Interconnect esistente alle porte compatibili con MACsec.
Il completamento della migrazione fisica delle connessioni può richiedere diverse settimane a causa di vincoli di pianificazione. Le migrazioni richiedono un periodo di manutenzione richiede che le connessioni Cloud Interconnect siano prive di per il traffico di produzione.