MACsec para Cloud Interconnect te ayuda a proteger el tráfico en las conexiones de Cloud Interconnect, específicamente entre tu router local y los routers perimetrales de Google. MACsec para Cloud Interconnect usa 802.1AE Media Access Security (MACsec) estándar de IEEE para encriptar el tráfico entre tu router local y los routers perimetrales de Google.
El MACsec para Cloud Interconnect no proporciona encriptación en tránsito dentro de Google. Para obtener mayor seguridad, te recomendamos usar MACsec con otros protocolos de seguridad de red, como la seguridad IP (IPsec) y la seguridad de la capa de transporte (TLS). Si deseas obtener más información sobre el uso de IPsec para proteger el tráfico de red a Google Cloud, consulta la descripción general de VPN con alta disponibilidad en Cloud Interconnect.
MACsec para Cloud Interconnect está disponible para circuitos de 10 Gbps y 100 Gbps. Sin embargo, a fin de pedir MACsec para Cloud Interconnect para circuitos de 10 Gbps, debes comunicarte con el administrador de cuentas.
En los siguientes diagramas, se muestra cómo MACsec encripta el tráfico. En la figura 1, se muestra el tráfico de encriptación de MACsec en la interconexión dedicada. En la figura 2, se muestra el tráfico de encriptación de MACsec en la interconexión de socio.
Para usar MACsec en la interconexión de socio, trabaja con tu proveedor de servicios para asegurarte de que el tráfico de red esté encriptado a través de la red de tus proveedores.
Cómo funciona MACsec para Cloud Interconnect
MACsec para Cloud Interconnect ayuda a proteger el tráfico entre tu router local y el router perimetral de intercambio de tráfico de Google. Usa la CLI de Google Cloud (CLI de gcloud) o la consola de Google Cloud para generar un valor de clave de asociación de conectividad (CAK) y nombre de clave de asociación de conectividad (CKN) de GCM-AES-256. Configura tu router para usar los valores CAK y CKN y así configurar MACsec. Después de habilitar MACsec en tu router y en Cloud Interconnect, MACsec encripta el tráfico entre tu router local y el router perimetral de intercambio de tráfico de Google.
Router locales compatibles
Puedes usar routers locales con MACsec para Cloud Interconnect que admitan las especificaciones MACsec que se enumeran en la siguiente tabla.
| Configuración | Valor |
|---|---|
| Conjunto de cifrado MACsec |
|
| Algoritmo criptográfico de CAK | AES_256_CMAC |
| Prioridad del servidor de claves | 15 |
| Intervalo de cambio de clave de clave de asociación segura (SAK) | 28800 segundos |
| Compensación de confidencialidad de MACsec | 0 |
| Tamaño de ventana | 64 |
| Indicador de valor de verificación de integridad (ICV) | sí |
| Identificador de canal seguro (SCI) | habilitada |
MACsec para Cloud Interconnect admite la rotación de claves sin hits para hasta cinco claves.
Varios routers fabricados por Cisco, Juniper y Arista satisfacen las especificaciones. No podemos recomendar routers específicos. Te recomendamos que consultes con tu proveedor de routers para determinar qué modelo se adapta mejor a tus necesidades.
Antes de usar MACsec para Cloud Interconnect
Asegúrate de cumplir con los siguientes requisitos:
Comprende las interconexiones de red básicas para que puedas ordenar y configurar circuitos de red.
Comprende las diferencias y los requisitos de la interconexión dedicada y la interconexión de socio.
Consigue acceso de administrador a tu router perimetral local.
Verifica que MACsec esté disponible en tu instalación de colocación.
Pasos de MACsec para Cloud Interconnect
Después de verificar que MACsec para Cloud Interconnect esté disponible en tu instalación de colocación, verifica si ya tienes una conexión de Cloud Interconnect con capacidad MACsec. De lo contrario, solicita una conexión de Cloud Interconnect compatible con MACsec.
Una vez que tu conexión de Cloud Interconnect complete las pruebas y esté lista para usarse, puedes configurar MACsec mediante la creación de claves precompartidas de MACsec y la configuración de tu router local. Luego, puedes habilitar MACsec y verificar que esté habilitado para tu vínculo y que esté en funcionamiento. Por último, puedes supervisar tu conexión MACsec para asegurarte de que funciona de forma correcta.
Disponibilidad de MACsec
MACsec para Cloud Interconnect es compatible con todas las conexiones de Cloud Interconnect de 100 Gbps, sin importar la ubicación.
MACsec para Cloud Interconnect no está disponible en todas las instalaciones de colocación para circuitos de 10 Gbps. Para obtener más información sobre las funciones disponibles en las instalaciones de colocación, consulta la tabla Ubicaciones.
Para descubrir qué instalaciones de colocación con circuitos de 10 Gbps admiten MACsec para Cloud Interconnect, haz lo siguiente. La disponibilidad de MACsec para circuitos de 10 Gbps solo se muestra en los proyectos incluidos en la lista de entidades permitidas. Para pedir MACsec para Cloud Interconnect para circuitos de 10 Gbps, debes comunicarte con el administrador de cuentas.
Console
En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.
Haz clic en Configurar conexión física.
Selecciona Interconexión dedicada y, a continuación, Continuar.
Selecciona Pedir una nueva interconexión dedicada y, a continuación, Continuar.
En el campo Ubicación de Google Cloud, haz clic en Elegir.
En el panel Elegir una instalación de colocación, busca la ciudad en la que quieres tener una conexión de Cloud Interconnect. En el campo Ubicación geográfica, selecciona un área geográfica. En la columna Compatibilidad con MACsec para el proyecto actual, se muestran los tamaños de circuitos disponibles para MACsec para Cloud Interconnect.
gcloud
Autentica en la CLI de Google Cloud:
gcloud auth loginPara descubrir si una instalación de colocación admite MACsec para Cloud Interconnect, realiza una de las siguientes acciones:
Verifica que una instalación de colocación específica admita MACsec para Cloud Interconnect:
gcloud compute interconnects locations describe COLOCATION_FACILITYReemplaza
COLOCATION_FACILITYpor el nombre de la instalación de colocación que se muestra en la tabla de ubicaciones.El resultado es similar al siguiente ejemplo. Las conexiones compatibles con MACsec muestran lo siguiente:
- Para vínculos de 10 Gbps:
linkType: LINK_TYPE_ETHERNET_10G_LRyavailableFeatures: IF_MACSEC - Para vínculos de 100 Gbps:
linkType: LINK_TYPE_ETHERNET_100G_LR; todos los vínculos de 100 Gbps son compatibles con MACsec.
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- Para vínculos de 10 Gbps:
Enumera todas las instalaciones de colocación que admiten MACsec para Cloud Interconnect en circuitos de 10 Gbps:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"El resultado es similar a este:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Enumera todas las instalaciones de colocación que tienen vínculos de 100 Gbps y, por lo tanto, ofrecen MACsec de forma predeterminada:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"El resultado es similar a este:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Compatibilidad con MACsec para conexiones de Cloud Interconnect existentes
MACsec para Cloud Interconnect es compatible con conexiones de Cloud Interconnect existentes de 100 Gbps.
Si tienes una conexión de 10 Gbps, verifica la disponibilidad de MACsec en la instalación de colocación. Si la compatibilidad con MACsec está disponible en tu instalación de colocación, verifica que Cloud Interconnect sea compatible con MACsec.
¿Puedo habilitar MACsec si mi conexión existente de Cloud Interconnect no es compatible?
Si tu instalación de colocación no admite MACsec, puedes realizar una de las siguientes acciones:
Solicita una nueva conexión de Cloud Interconnect y solicita MACsec como una función obligatoria.
Comunícate con tu administrador de cuentas de Google Cloud para programar una migración de tu conexión de Cloud Interconnect existente a puertos compatibles con MACsec.
La migración física de las conexiones puede tomar varias semanas en completarse debido a restricciones de programación. Las migraciones requieren un período de mantenimiento que requiera que las conexiones de Cloud Interconnect estén libres de tráfico de producción.