Ringkasan MACsec untuk Cloud Interconnect

MACsec untuk Cloud Interconnect membantu Anda mengamankan traffic pada koneksi Cloud Interconnect, khususnya antara router lokal dan router edge Google. MACsec untuk Cloud Interconnect menggunakan standar IEEE 802.1AE Media Access Control Security (MACsec) untuk mengenkripsi traffic antara router lokal Anda dan router edge Google.

MACsec untuk Cloud Interconnect tidak menyediakan enkripsi saat transit di dalam Google. Untuk keamanan yang lebih kuat, sebaiknya gunakan MACsec dengan protokol keamanan jaringan lain, seperti IP Security (IPsec) dan Transport Layer Security (TLS). Untuk mengetahui informasi selengkapnya tentang penggunaan IPsec untuk mengamankan traffic jaringan ke Google Cloud, lihat ringkasan VPN dengan ketersediaan tinggi melalui Cloud Interconnect.

MACsec untuk Cloud Interconnect tersedia untuk sirkuit 10-Gbps dan 100-Gbps. Namun, untuk memesan MACsec untuk Cloud Interconnect untuk sirkuit 10-Gbps, Anda harus menghubungi account manager Anda.

Diagram berikut menunjukkan cara MACsec mengenkripsi traffic. Gambar 1 menunjukkan MACsec yang mengenkripsi traffic pada Dedicated Interconnect. Gambar 2 menunjukkan MACsec yang mengenkripsi traffic pada Partner Interconnect.

Gambar 1. MACsec mengenkripsi traffic pada Dedicated Interconnect antara router edge peering Google dan router lokal.
Gambar 1. MACsec mengenkripsi traffic pada Dedicated Interconnect antara router edge peering Google dan router lokal (klik untuk memperbesar).


Gambar 2. MACsec mengenkripsi traffic pada Partner Interconnect antara router edge peering Google dan router edge peering penyedia layanan.
Gambar 2. MACsec mengenkripsi traffic pada Partner Interconnect antara router edge peering Google dan router edge peering penyedia layanan (klik untuk memperbesar).

Untuk menggunakan MACsec pada Partner Interconnect, bekerja samalah dengan penyedia layanan Anda untuk memastikan bahwa traffic jaringan Anda dienkripsi melalui jaringan penyedia Anda.

Cara kerja MACsec untuk Cloud Interconnect

MACsec untuk Cloud Interconnect membantu mengamankan traffic antara router lokal dan router edge peering Google. Anda menggunakan Google Cloud CLI (gcloud CLI) atau Google Cloud Console untuk membuat nilai kunci pengaitan konektivitas (CAK) dan nama kunci asosiasi konektivitas (CKN) GCM-AES-256. Anda mengonfigurasi router untuk menggunakan nilai CAK dan CKN untuk mengonfigurasi MACsec. Setelah Anda mengaktifkan MACsec di router dan di Cloud Interconnect, MACsec mengenkripsi traffic antara router lokal dan router edge peering Google.

Router lokal yang didukung

Anda dapat menggunakan router lokal dengan MACsec untuk Cloud Interconnect yang mendukung spesifikasi MACsec yang tercantum dalam tabel berikut.

Setelan Nilai
Paket penyandian MACsec
  • GCM-AES-256-XPN
  • GCM-AES-256
Algoritme kriptografi CAK AES_256_CMAC
Prioritas server kunci 15
Interval penetapan ulang kunci asosiasi aman (SAK) 28800 detik
Offset kerahasiaan MACsec 0
Ukuran jendela 64
Indikator nilai pemeriksaan integritas (ICV) ya
ID Saluran Aman (SCI) diaktifkan

MACsec untuk Cloud Interconnect mendukung rotasi kunci tanpa hit hingga lima kunci.

Beberapa router yang diproduksi oleh Cisco, Juniper, dan Arista memenuhi spesifikasi ini. Kami tidak dapat merekomendasikan router tertentu. Sebaiknya konsultasikan dengan vendor router untuk menentukan model yang paling sesuai dengan kebutuhan Anda.

Sebelum Anda menggunakan MACsec untuk Cloud Interconnect

Pastikan Anda memenuhi persyaratan berikut:

  • Pahami interkoneksi jaringan dasar, sehingga Anda dapat memesan dan mengonfigurasi sirkuit jaringan.

  • Pahami perbedaan antara dan persyaratan untuk Dedicated Interconnect dan Partner Interconnect.

  • Miliki akses administrator ke router edge lokal Anda.

  • Periksa apakah MACsec tersedia di fasilitas kolokasi Anda.

Langkah-langkah penyiapan MACsec untuk Cloud Interconnect

Setelah memastikan bahwa MACsec untuk Cloud Interconnect tersedia di fasilitas kolokasi, periksa apakah Anda sudah memiliki koneksi Cloud Interconnect yang mendukung MACsec. Jika tidak, pesan koneksi Cloud Interconnect yang mendukung MACsec.

Setelah koneksi Cloud Interconnect menyelesaikan pengujian dan siap digunakan, Anda dapat menyiapkan MACsec dengan membuat kunci MACsec yang dibagikan sebelumnya dan mengonfigurasi router lokal Anda. Kemudian Anda dapat mengaktifkan MACsec dan memverifikasi bahwa MACsec diaktifkan untuk link Anda dan telah beroperasi. Terakhir, Anda dapat memantau koneksi MACsec untuk memastikannya beroperasi dengan benar.

Ketersediaan MACsec

MACsec untuk Cloud Interconnect didukung di semua koneksi 100-Gbps Cloud Interconnect, terlepas dari lokasinya.

MACsec untuk Cloud Interconnect tidak tersedia di semua fasilitas kolokasi untuk sirkuit 10-Gbps. Untuk mengetahui informasi selengkapnya tentang fitur yang tersedia di fasilitas kolokasi, lihat Tabel lokasi.

Untuk menemukan fasilitas kolokasi dengan sirkuit 10-Gbps yang mendukung MACsec untuk Cloud Interconnect, lakukan hal berikut. Ketersediaan MACsec untuk sirkuit 10‐Gbps hanya ditampilkan untuk project yang diizinkan. Untuk memesan MACsec untuk Cloud Interconnect untuk sirkuit 10‐Gbps, Anda harus menghubungi Account Manager Anda.

Konsol

  1. Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.

    Buka Koneksi fisik

  2. Klik Siapkan koneksi fisik.

  3. Pilih Dedicated Interconnect, lalu klik Lanjutkan.

  4. Pilih Pesan Dedicated Interconnect baru, lalu klik Lanjutkan.

  5. Di kolom lokasi Google Cloud, klik Pilih.

  6. Di panel Pilih fasilitas kolokasi, temukan kota tempat Anda menginginkan koneksi Cloud Interconnect. Di kolom Lokasi geografis, pilih area geografis. Kolom Dukungan MACsec untuk project saat ini menunjukkan ukuran sirkuit yang tersedia bagi MACsec untuk Cloud Interconnect.

gcloud

  1. Lakukan autentikasi ke Google Cloud CLI:

    gcloud auth login
    
  2. Untuk mengetahui apakah fasilitas kolokasi mendukung MACsec untuk Cloud Interconnect, lakukan salah satu hal berikut:

    • Verifikasi bahwa fasilitas kolokasi tertentu mendukung MACsec untuk Cloud Interconnect:

      gcloud compute interconnects locations describe COLOCATION_FACILITY
      

      Ganti COLOCATION_FACILITY dengan nama fasilitas kolokasi yang tercantum di tabel lokasi.

      Outputnya mirip dengan contoh berikut ini. Koneksi yang mendukung MACsec menampilkan hal berikut:

      • Untuk link 10 Gbps: linkType: LINK_TYPE_ETHERNET_10G_LR dan availableFeatures: IF_MACSEC
      • Untuk link 100 Gbps: linkType: LINK_TYPE_ETHERNET_100G_LR; semua link 100 Gbps mendukung MACsec
      address: |-
        Equinix
        47 Bourke Road
        Alexandria
        Sydney, New South Wales 2015
        Australia
      availabilityZone: zone1
      availableFeatures:
      - IF_MACSEC
      availableLinkTypes:
      - LINK_TYPE_ETHERNET_10G_LR
      - LINK_TYPE_ETHERNET_100G_LR
      city: Sydney
      continent: C_ASIA_PAC
      creationTimestamp: '2019-12-05T12:56:15.000-08:00'
      description: Equinix Sydney (SY3)
      facilityProvider: Equinix
      facilityProviderFacilityId: SY3
      id: '1173'
      kind: compute#interconnectLocation
      name: syd-zone1-1605
      peeringdbFacilityId: '1605'
      regionInfos:
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7
      selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605
      status: AVAILABLE
      
    • Daftar semua fasilitas kolokasi yang mendukung MACsec untuk Cloud Interconnect pada sirkuit 10-Gbps:

      gcloud compute interconnects locations list \
          --filter "availableFeatures: (IF_MACSEC)"
      

      Outputnya mirip dengan hal berikut ini:

      NAME                  DESCRIPTION              FACILITY_PROVIDER
      ... <stripped>
      syd-zone1-1605        Equinix Sydney (SY3)     Equinix
      ... <stripped>
      
    • Cantumkan semua fasilitas kolokasi yang memiliki link 100-Gbps, sehingga menawarkan MACsec secara default:

      gcloud compute interconnects locations list \
          --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"
      

      Outputnya mirip dengan hal berikut ini:

      NAME                  DESCRIPTION              FACILITY_PROVIDER
      ... <stripped>
      syd-zone1-1605        Equinix Sydney (SY3)     Equinix
      ... <stripped>
      

Dukungan MACsec pada koneksi Cloud Interconnect yang ada

MACsec untuk Cloud Interconnect didukung pada koneksi Cloud Interconnect 100-Gbps yang sudah ada.

Jika Anda memiliki koneksi 10-Gbps, periksa ketersediaan MACsec di fasilitas kolokasi Anda. Jika dukungan MACsec tersedia di fasilitas kolokasi Anda, pastikan Cloud Interconnect mendukung MACsec.

Dapatkah saya mengaktifkan MACsec jika koneksi Cloud Interconnect yang ada tidak mendukungnya?

Jika fasilitas kolokasi Anda tidak mendukung MACsec, Anda dapat melakukan salah satu hal berikut:

  • Minta koneksi Cloud Interconnect baru dan minta MACsec sebagai fitur yang diperlukan.

  • Hubungi Account Manager Google Cloud Anda untuk menjadwalkan migrasi koneksi Cloud Interconnect yang ada ke port yang mendukung MACsec.

Penyelesaian migrasi koneksi secara fisik dapat memerlukan waktu beberapa minggu karena keterbatasan penjadwalan. Migrasi memerlukan masa pemeliharaan yang mengharuskan koneksi Cloud Interconnect Anda bebas dari traffic produksi apa pun.

Apa langkah selanjutnya?