MACsec per Cloud Interconnect ti aiuta a proteggere il traffico sulle connessioni Cloud Interconnect, in particolare tra il tuo router on-premise e i router perimetrali di Google. MACsec per Cloud Interconnect utilizza lo standard IEEE 802.1AE Media Access Control Security (MACsec) per criptare il traffico tra il router on-premise e i router perimetrali di Google.
MACsec per Cloud Interconnect non fornisce la crittografia in transito all'interno di Google. Per una maggiore sicurezza, ti consigliamo di utilizzare MACsec con altri protocolli di sicurezza di rete, come IP Security (IPsec) e Transport Layer Security (TLS). Per ulteriori informazioni sull'utilizzo di IPsec per proteggere il traffico di rete verso Google Cloud, consulta la panoramica della VPN ad alta disponibilità su Cloud Interconnect.
MACsec per Cloud Interconnect è disponibile per circuiti a 10 Gbps e 100 Gbps. Tuttavia, per ordinare MACsec per Cloud Interconnect per circuiti a 10 Gbps, devi contattare il tuo account manager.
MACsec per Cloud Interconnect supporta tutte le funzionalità di collegamento VLAN, tra cui IPv4, IPv6 e IPsec.
I seguenti diagrammi mostrano come MACsec cripta il traffico. La Figura 1 mostra la crittografia del traffico di MACsec su Dedicated Interconnect. La Figura 2 mostra la crittografia del traffico di MACsec su Partner Interconnect.
Per utilizzare MACsec su Partner Interconnect, collabora con il tuo fornitore di servizi per assicurarti che il traffico di rete sia criptato tramite la rete del provider.
Come funziona MACsec per Cloud Interconnect
MACsec per Cloud Interconnect aiuta a proteggere il traffico tra il router on-premise e il router perimetrale di peering di Google. Puoi utilizzare Google Cloud CLI (gcloud CLI) o la console Google Cloud per generare valori di una chiave di associazione di connettività (CAK) e un nome di chiave di associazione di connettività (CKN) GCM-AES-256. Devi configurare il router in modo che utilizzi i valori CAK e CKN per configurare MACsec. Dopo aver abilitato MACsec sul router e in Cloud Interconnect, MACsec cripta il traffico tra il tuo router on-premise e il router perimetrale di peering di Google.
Router on-premise supportati
Puoi utilizzare router on-premise con MACsec per Cloud Interconnect che supportano le specifiche MACsec elencate nella tabella seguente.
| Impostazione | Valore |
|---|---|
| Suite di crittografia MACsec |
|
| Algoritmo crittografico CAK | AES_256_CMAC |
| Priorità server chiavi | 15 |
| Intervallo di riscrittura della chiave di associazione sicura (SAK) | 28.800 secondi |
| Offset di riservatezza MACsec | 0 |
| Dimensione schermo | 64 |
| Indicatore del valore di controllo dell'integrità (ICV) | sì |
| Secure Channel Identifier (SCI) (Identificatore di canale sicuro) | abilitato |
MACsec per Cloud Interconnect supporta rotazione della chiave hitless per un massimo di cinque chiavi.
Diversi router prodotti da Cisco, Juniper e Arista soddisfano le specifiche. Non possiamo consigliare router specifici. Ti consigliamo di rivolgerti al fornitore di router per determinare quale modello è più adatto alle tue esigenze.
Prima di utilizzare MACsec per Cloud Interconnect
Assicurati di soddisfare i seguenti requisiti:
Comprendere le interconnessioni di rete di base per poter ordinare e configurare i circuiti di rete.
Comprendi le differenze tra Dedicated Interconnect e Partner Interconnect e i relativi requisiti.
Avere l'accesso amministrativo al router perimetrale on-premise.
Verifica che MACsec sia disponibile presso la tua struttura di colocation.
Procedura di configurazione di MACsec per Cloud Interconnect
Dopo aver verificato che MACsec per Cloud Interconnect è disponibile presso la tua struttura di colocation, controlla se disponi già di una connessione Cloud Interconnect compatibile con MACsec. In caso contrario, ordina una connessione Cloud Interconnect compatibile con MACsec.
Quando la connessione Cloud Interconnect ha completato i test ed è pronta per l'uso, puoi configurare MACsec creando chiavi precondivise MACsec e configurando il router on-premise. Puoi quindi abilitare MACsec e verificare che sia abilitato per il link e sia operativo. Infine, puoi monitorare la connessione MACsec per assicurarti che funzioni correttamente.
Disponibilità di MACsec
MACsec per Cloud Interconnect è supportato su tutte le connessioni Cloud Interconnect a 100 Gbps, indipendentemente dalla località.
MACsec per Cloud Interconnect non è disponibile in tutte le strutture di colocation per i circuiti da 10 Gbps. Per ulteriori informazioni sulle funzionalità disponibili presso le strutture di colocation, consulta la tabella Località.
Per scoprire quali strutture di colocation con circuiti da 10 Gbps supportano MACsec per Cloud Interconnect, procedi nel seguente modo. La disponibilità di MACsec per i circuiti da 10 Gbps viene visualizzata solo per i progetti nella lista consentita. Per ordinare MACsec per Cloud Interconnect per circuiti a 10 Gbps, devi contattare il tuo account manager.
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Fai clic su Configura connessione fisica.
Seleziona Dedicated Interconnect e fai clic su Continua.
Seleziona Ordina nuova Dedicated Interconnect e fai clic su Continua.
Nel campo Località Google Cloud, fai clic su Scegli.
Nel riquadro Scegli struttura di colocation, individua la città in cui desideri una connessione Cloud Interconnect. Nel campo Posizione geografica, seleziona un'area geografica. La colonna Supporto di MACsec per il progetto attuale mostra le dimensioni dei circuiti disponibili per MACsec per Cloud Interconnect.
gcloud
Esegui l'autenticazione in Google Cloud CLI:
gcloud auth loginPer scoprire se una struttura di colocation supporta MACsec per Cloud Interconnect, esegui una delle seguenti operazioni:
Verifica che una struttura di colocation specifica supporti MACsec per Cloud Interconnect:
gcloud compute interconnects locations describe COLOCATION_FACILITYSostituisci
COLOCATION_FACILITYcon il nome della struttura di colocation elencato nella tabella delle località.L'output è simile all'esempio seguente. Le connessioni compatibili con MACsec mostrano quanto segue:
- Per link a 10 Gbps:
linkType: LINK_TYPE_ETHERNET_10G_LReavailableFeatures: IF_MACSEC - Per i link da 100 Gbps:
linkType: LINK_TYPE_ETHERNET_100G_LR; tutti i link da 100 Gbps supportano MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- Per link a 10 Gbps:
Elenca tutte le strutture di colocation che supportano MACsec per Cloud Interconnect su circuiti da 10 Gbps:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"L'output è simile al seguente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Elenca tutte le strutture di colocation che hanno link da 100 Gbps e offri quindi MACsec per impostazione predefinita:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"L'output è simile al seguente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Supporto di MACsec sulle connessioni Cloud Interconnect esistenti
MACsec per Cloud Interconnect è supportato su connessioni Cloud Interconnect a 100 Gbps esistenti.
Se hai una connessione a 10 Gbps, controlla la disponibilità di MACsec presso la tua struttura di colocation. Se il supporto di MACsec è disponibile presso la tua struttura di colocation, verifica che Cloud Interconnect sia compatibile con MACsec.
Posso abilitare MACsec se la mia connessione Cloud Interconnect esistente non la supporta?
Se la tua struttura di colocation non supporta MACsec, puoi eseguire una delle seguenti operazioni:
Richiedi una nuova connessione Cloud Interconnect e richiedi MACsec come funzionalità obbligatoria.
Contatta il tuo account manager Google Cloud per pianificare una migrazione della tua connessione Cloud Interconnect esistente alle porte compatibili con MACsec.
A causa dei vincoli di pianificazione, il completamento della migrazione fisica delle connessioni può richiedere diverse settimane. Le migrazioni richiedono un periodo di manutenzione in cui le connessioni Cloud Interconnect devono essere prive di traffico di produzione.