MACsec pour Cloud Interconnect vous aide à sécuriser le trafic sur les connexions Cloud Interconnect, en particulier entre votre routeur sur site et les routeurs périphériques de Google. MACSec pour Cloud Interconnect utilise la norme IEEE 802.1AE Media Access Control (MACsec) pour chiffrer le trafic entre votre routeur sur site et les routeurs périphériques de Google.
MACsec pour Cloud Interconnect ne fournit pas de chiffrement en transit au sein de Google. Pour renforcer la sécurité, nous vous recommandons d'utiliser MACsec avec d'autres protocoles de sécurité réseau, tels que le protocole IPSec (IP Security) et le protocole TLS (Transport Layer Security). Pour en savoir plus sur comment sécuriser votre trafic réseau vers Google Cloud à l'aide d'IPsec, consultez la page Présentation du VPN haute disponibilité via Cloud Interconnect.
MACsec pour Cloud Interconnect est disponible pour les circuits de 10 Gbit/s et de 100 Gbit/s. Toutefois, pour commander MACsec pour Cloud Interconnect pour des circuits de 10 Gbit/s, vous devez contacter votre responsable de compte.
MACsec pour Cloud Interconnect est compatible avec toutes les fonctionnalités des rattachements de VLAN, y compris IPv4, IPv6 et IPsec.
Les schémas suivants montrent comment MACsec chiffre le trafic. La figure 1 illustre le chiffrement MACsec sur Dedicated Interconnect. La figure 2 illustre le chiffrement MACsec sur Partner Interconnect.
Pour utiliser MACsec sur l'interconnexion partenaire, contactez votre fournisseur de services pour vous assurer que votre trafic réseau est chiffré lorsqu'il passe par le réseau de votre fournisseur.
Fonctionnement de MACsec pour Cloud Interconnect
Le protocole MACsec pour Cloud Interconnect permet de sécuriser le trafic entre votre routeur sur site et le routeur d'appairage de Google. Vous utilisez Google Cloud CLI (gcloud CLI) ou la console Google Cloud pour générer des valeurs de clé d'association de connectivité (CAK) GCM-AES-256 et de nom de clé d'association de connectivité (CKN). Configurez votre routeur de manière à ce qu'il utilise les valeurs CAK et CKN pour configurer MACsec. Une fois que vous avez activé MACsec sur votre routeur et dans Cloud Interconnect, MACsec chiffre votre trafic entre votre routeur sur site et le routeur périphérique d'appairage de Google.
Routeurs sur site compatibles
Vous pouvez utiliser des routeurs sur site avec MACsec pour Cloud Interconnect à condition qu'ils soient compatibles avec les spécifications MACsec répertoriées dans le tableau suivant.
| Paramètre | Valeur |
|---|---|
| Suite de chiffrement MACsec |
|
| Algorithme de chiffrement CAK | AES_256_CMAC |
| Priorité du serveur de clés | 15 |
| Intervalle de renouvellement de clé de la clé d'association sécurisée (SAK) | 28800 secondes |
| Décalage de confidentialité MACsec | 0 |
| Taille de la fenêtre | 64 |
| Indicateur de valeur de vérification d'intégrité (ICV) | oui |
| Identifiant de canal sécurisé | activé |
MACsec pour Cloud Interconnect est compatible avec la rotation des clés sans discontinuité (hitless) pour cinq clés maximum.
Plusieurs routeurs fabriqués par Cisco, Juniper et Arista répondent aux spécifications. Nous ne pouvons pas recommander de routeurs spécifiques. Nous vous recommandons de consulter votre fournisseur de routeur pour déterminer le modèle qui répond le mieux à vos besoins.
Avant d'utiliser MACsec pour Cloud Interconnect
Assurez-vous de remplir les conditions suivantes :
Vous comprenez les interconnexions réseau de base afin de pouvoir commander et configurer des circuits réseau.
Vous comprenez les différences et les prérequis spécifiques des interconnexions dédiée et partenaire.
Vous disposez d'un accès administrateur à votre routeur de périphérie sur site.
Vérifiez que MACsec est disponible dans votre installation hébergée en colocation.
Étapes de configuration de MACsec pour Cloud Interconnect
Après avoir vérifié que MACsec pour Cloud Interconnect est disponible dans votre installation hébergée en colocation, vérifiez si vous disposez déjà d'une connexion Cloud Interconnect compatible avec MACsec. Si ce n'est pas le cas, commandez une connexion Cloud Interconnect compatible avec MACsec.
Une fois votre connexion Cloud Interconnect prête à l'emploi, vous pouvez configurer MACsec en créant des clés pré-partagées MACsec et en configurant votre routeur sur site. Vous pouvez ensuite activer MACsec et vérifier qu'il est activé pour votre liaison et bien opérationnel. Enfin, vous pouvez surveiller votre connexion MACsec pour vous assurer qu'elle fonctionne correctement.
Disponibilité de MACsec
MACsec pour Cloud Interconnect est compatible avec toutes les connexions Cloud Interconnect 100 Gbit/s, quel que soit l'emplacement.
MACsec pour Cloud Interconnect n'est pas systématiquement disponible dans les installations hébergées en colocation pour des circuits de 10 Gbit/s. Pour en savoir plus sur les fonctionnalités disponibles dans les installations hébergées en colocation, consultez le tableau des emplacements.
Pour découvrir quelles installations hébergées en colocation avec des circuits de 10 Gbit/s sont compatibles avec MACsec pour Cloud Interconnect, procédez comme suit : La disponibilité MACsec pour les circuits de 10 Gbit/s ne s'affiche que pour les projets sur liste d'autorisation. Pour commander MACsec pour Cloud Interconnect pour des circuits de 10 Gbit/s, vous devez contacter votre responsable de compte.
Console
Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.
Cliquez sur Configurer la connexion physique.
Sélectionnez Interconnexion dédiée, puis cliquez sur Continuer.
Sélectionnez Commander une nouvelle interconnexion dédiée, puis cliquez sur Continuer.
Dans le champ Emplacement Google Cloud, cliquez sur Choisir.
Dans le volet Choisir une installation hébergée en colocation, recherchez la ville dans laquelle vous souhaitez créer une connexion Cloud Interconnect. Dans le champ Emplacement géographique, sélectionnez une zone géographique. La colonne Compatibilité MACsec pour le projet en cours indique les tailles de circuit disponibles pour MACsec pour Cloud Interconnect.
gcloud
Authentifiez-vous sur Google Cloud CLI :
gcloud auth loginPour savoir si une installation hébergée en colocation est compatible avec MACsec pour Cloud Interconnect, effectuez l'une des opérations suivantes :
Vérifiez si une installation hébergée en colocation spécifique est compatible avec MACsec pour Cloud Interconnect :
gcloud compute interconnects locations describe COLOCATION_FACILITYRemplacez
COLOCATION_FACILITYpar le nom de l'installation hébergée en colocation tel qu'indiqué dans le tableau des emplacements.Le résultat ressemble à ce qui suit. Notez la section
availableFeatures. Les connexions compatibles avec MACsec affichent les éléments suivants :- Pour les liaisons 10 Gbit/s :
linkType: LINK_TYPE_ETHERNET_10G_LRetavailableFeatures: IF_MACSEC - Pour les liaisons 100 Gbit/s :
linkType: LINK_TYPE_ETHERNET_100G_LR. Toutes les liaisons 100 Gbit/s sont compatibles avec MACsec.
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- Pour les liaisons 10 Gbit/s :
Répertoriez toutes les installations hébergées en colocation compatibles avec MACsec pour Cloud Interconnect sur des circuits 10 Gbit/s :
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"Le résultat ressemble à ce qui suit :
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Répertoriez toutes les installations hébergées en colocation comportant des liaisons 100 Gbit/s et proposant donc MACsec par défaut :
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"Le résultat ressemble à ce qui suit :
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Compatibilité MACsec sur les connexions Cloud Interconnect existantes
MACsec pour Cloud Interconnect est compatible avec les connexions Cloud Interconnect existantes de 100 Gbit/s.
Si vous disposez d'une connexion 10 Gbit/s, vérifiez la disponibilité MACsec dans votre installation hébergée en colocation. Si la compatibilité MACsec est disponible dans votre installation hébergée en colocation, vérifiez que Cloud Interconnect est compatible avec MACsec.
Puis-je activer MACsec si ma connexion Cloud Interconnect existante ne le permet pas ?
Si votre installation hébergée en colocation n'est pas compatible avec MACsec, vous pouvez effectuer l'une des opérations suivantes :
Demandez une nouvelle connexion Cloud Interconnect et stipulez MACsec en tant que fonctionnalité requise.
Contactez votre responsable de compte Google Cloud pour planifier une migration de votre connexion Cloud Interconnect existante vers des ports compatibles avec MACsec.
En raison de contraintes de planification, la migration physique des connexions peut prendre plusieurs semaines. Les migrations impliquent un intervalle de maintenance nécessitant que vos connexions Cloud Interconnect soient libres de tout trafic de production.