O MACsec para Cloud Interconnect ajuda a proteger o tráfego nas conexões do Cloud Interconnect, especificamente entre o roteador local e os roteadores de borda do Google. O MACsec para Cloud Interconnect usa o padrão 802.1AE Media Access Control Security (MACsec) do IEEE para criptografar o tráfego entre seu roteador local e os roteadores de borda do Google.
O MACsec para Cloud Interconnect não fornece criptografia em trânsito no Google. Para maior segurança, recomendamos o uso de MACsec com outros protocolos de segurança de rede, como a segurança de IP (IPsec) e a Transport Layer Security (TLS). Para mais informações sobre como usar o IPsec para proteger o tráfego de rede no Google Cloud, consulte a Visão geral da VPN de alta disponibilidade sobre o Cloud Interconnect.
O MACsec para Cloud Interconnect está disponível para circuitos de 10‐Gbps e 100-Gbps. No entanto, para solicitar o MACsec para o Cloud Interconnect de circuitos de 10 Gbps, entre em contato com o gerente da sua conta.
O MACsec para o Cloud Interconnect tem suporte para todos os recursos de anexo da VLAN, incluindo IPv4, IPv6 e IPsec.
Os diagramas a seguir mostram como a MACsec criptografa o tráfego. A Figura 1 mostra o MAC criptografando o tráfego na Interconexão dedicada. A Figura 2 mostra o MAC criptografando o tráfego no Partner Interconnect.
Para usar o MACsec no Partner Interconnect, trabalhe com seu provedor de serviços para garantir que o tráfego de rede seja criptografado por meio da rede dos provedores.
Como o MACsec para o Cloud Interconnect funciona
O MACsec para Cloud Interconnect ajuda a proteger o tráfego entre o roteador local e o roteador de borda de peering do Google. Use a Google Cloud CLI (CLI gcloud) ou o console do Google Cloud para gerar os valores de chave de associação de conectividade (CAK, na sigla em inglês) do GCM-AES-256 e o nome da chave de associação de conectividade (CKN, na sigla em inglês). Configure o roteador para usar os valores CAK e CKN para configurar o MAC. Depois de ativar o MACsec no roteador e no Cloud Interconnect, o MACsec criptografa o tráfego entre o roteador local e o roteador de borda de peering do Google.
Roteadores locais compatíveis
É possível usar roteadores locais com MACsec para o Cloud Interconnect compatíveis com as especificações MACsec listadas na tabela a seguir.
| Configuração | Valor |
|---|---|
| Pacote de criptografia MACsec |
|
| Algoritmo criptográfico CAK | AES_256_CMAC |
| Prioridade do servidor de chaves | 15 |
| Intervalo de rechaveamento da chave de associação segura (SAK) | 28800 segundos |
| Compensação de confidencialidade MACsec | 0 |
| Tamanho da janela | 64 |
| Indicador do valor de verificação de integridade (ICV) | sim |
| Identificador de canal seguro (SCI, na sigla em inglês) | ativado |
O MACsec para Cloud Interconnect é compatível com rotação de chaves sem interrupções para até cinco chaves.
Vários roteadores fabricados pela Cisco, Juniper e Arista atendem às especificações. Não podemos recomendar roteadores específicos. Recomendamos que você consulte seu fornecedor de roteador para determinar qual modelo atende melhor às suas necessidades.
Antes de usar o MACsec para o Cloud Interconnect
Verifique se você atende aos seguintes requisitos:
Entenda as interconexões básicas de rede para ordenar e configurar circuitos de rede.
Entenda as diferenças entre e os requisitos da Interconexão dedicada e da Interconexão por parceiro.
Tenha acesso de administrador ao roteador de borda no local.
Verifique se o MACsec está disponível na instalação de colocation.
MACsec para as etapas de configuração do Cloud Interconnect
Depois de verificar se o MACsec para o Cloud Interconnect está disponível na instalação de colocation, verifique se você já tem uma conexão do Cloud Interconnect compatível com MACsec. Caso contrário, solicite uma conexão do Cloud Interconnect com capacidade para MACsec.
Depois que a conexão do Cloud Interconnect concluir o teste e estiver pronta para uso, será possível configurar o MACsec criando chaves pré-compartilhadas do MACsec e configurando seu roteador local. Em seguida, é possível ativar o MACsec e verificar se ele está ativado para seu link e se está operacional. Por fim, você pode monitorar sua conexão MACsec para garantir que ela esteja funcionando corretamente.
Disponibilidade do MACsec
O MACsec para Cloud Interconnect é compatível com todas as conexões de 100‐Gbps do Cloud Interconnect, independentemente da localização.
O MACsec para Cloud Interconnect não está disponível em todas as instalações de colocation para circuitos de 10 Gbps. Para mais informações sobre os recursos disponíveis nas instalações de colocation, consulte a tabela de locais.
Para descobrir quais instalações de colocation com circuitos de 10‐Gbps são compatíveis com o MAC para o Cloud Interconnect, faça o seguinte. A disponibilidade do MACsec para circuitos de 10 Gbps é exibida apenas para projetos na lista de permissões. Para solicitar o MACsec para o Cloud Interconnect de circuitos de 10 Gbps, entre em contato com o gerente da sua conta.
Console
No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.
Clique em Configurar conexão física.
Selecione Interconexão dedicada e clique em Continuar.
Selecione Solicitar nova Interconexão dedicada e clique em Continuar.
No campo Local do Google Cloud, clique em Escolher.
No painel Escolher instalação de colocation, encontre a cidade em que você quer uma conexão do Cloud Interconnect. No campo Localização geográfica, selecione uma área geográfica. A coluna Suporte a MACsec para projeto atual mostra os tamanhos de circuitos disponíveis para o MACsec para o Cloud Interconnect.
gcloud
Faça a autenticação na Google Cloud CLI:
gcloud auth loginPara descobrir se uma instalação de colocation é compatível com MACsec para o Cloud Interconnect, siga um destes procedimentos:
Verifique se uma instalação de colocation específica é compatível com MACsec para o Cloud Interconnect:
gcloud compute interconnects locations describe COLOCATION_FACILITYSubstitua
COLOCATION_FACILITYpelo nome da instalação de localização listado na tabela de locais.O resultado é semelhante à seguinte amostra: Anote a seção
availableFeatures. As conexões compatíveis com MACsec exibem o seguinte:- Para links de 10 Gbps:
linkType: LINK_TYPE_ETHERNET_10G_LReavailableFeatures: IF_MACSEC - Para links de 100 Gbps:
linkType: LINK_TYPE_ETHERNET_100G_LR. Todos os links de 100 Gbps são compatíveis com MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- Para links de 10 Gbps:
Liste todas as instalações de colocation compatíveis com o MAC para o Cloud Interconnect em circuitos de 10 Gbps:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"O resultado será assim:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Liste todas as instalações de colocation com links de 100 Gbps e, portanto, ofereça MACsec por padrão:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"O resultado será assim:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Compatibilidade com MACsec em conexões do Cloud Interconnect
O MACsec para Cloud Interconnect é compatível com conexões do Cloud Interconnect de 100 Gbps.
Se você tiver uma conexão de 10‐Gbps, verifique a disponibilidade do MACsec em sua instalação de colocation. Se o suporte a MACsec estiver disponível na instalação de colocation, verifique se o Cloud Interconnect é compatível com MACsec.
Posso ativar o MACsec se minha conexão do Cloud Interconnect não for compatível?
Se a instalação de colocation não for compatível com MACsec, siga um destes procedimentos:
Solicite uma nova conexão do Cloud Interconnect e solicite o MACsec como um recurso obrigatório.
Entre em contato com o gerente da sua conta do Google Cloud para programar uma migração da conexão atual do Cloud Interconnect para portas compatíveis com MACsec.
A migração física das conexões pode levar várias semanas para ser concluída devido às restrições de programação. As migrações exigem uma janela de manutenção que exija que suas conexões do Cloud Interconnect estejam livres de qualquer tráfego de produção.