MACsec untuk Cloud Interconnect membantu Anda mengamankan traffic pada koneksi Cloud Interconnect, khususnya antara router lokal dan router edge Google. MACsec untuk Cloud Interconnect menggunakan standar IEEE 802.1AE Media Access Control Security (MACsec) untuk mengenkripsi traffic antara router lokal Anda dan router edge Google.
MACsec untuk Cloud Interconnect tidak menyediakan enkripsi saat transit di dalam Google. Untuk keamanan yang lebih kuat, sebaiknya gunakan MACsec dengan protokol keamanan jaringan lain, seperti IP Security (IPsec) dan Transport Layer Security (TLS). Untuk mengetahui informasi selengkapnya tentang penggunaan IPsec untuk mengamankan traffic jaringan ke Google Cloud, lihat ringkasan VPN dengan ketersediaan tinggi melalui Cloud Interconnect.
MACsec untuk Cloud Interconnect tersedia untuk sirkuit 10-Gbps dan 100-Gbps. Namun, untuk memesan MACsec untuk Cloud Interconnect untuk sirkuit 10-Gbps, Anda harus menghubungi account manager Anda.
Diagram berikut menunjukkan cara MACsec mengenkripsi traffic. Gambar 1 menunjukkan MACsec yang mengenkripsi traffic pada Dedicated Interconnect. Gambar 2 menunjukkan MACsec yang mengenkripsi traffic pada Partner Interconnect.
Untuk menggunakan MACsec pada Partner Interconnect, bekerja samalah dengan penyedia layanan Anda untuk memastikan bahwa traffic jaringan Anda dienkripsi melalui jaringan penyedia Anda.
Cara kerja MACsec untuk Cloud Interconnect
MACsec untuk Cloud Interconnect membantu mengamankan traffic antara router lokal dan router edge peering Google. Anda menggunakan Google Cloud CLI (gcloud CLI) atau Google Cloud Console untuk membuat nilai kunci pengaitan konektivitas (CAK) dan nama kunci asosiasi konektivitas (CKN) GCM-AES-256. Anda mengonfigurasi router untuk menggunakan nilai CAK dan CKN untuk mengonfigurasi MACsec. Setelah Anda mengaktifkan MACsec di router dan di Cloud Interconnect, MACsec mengenkripsi traffic antara router lokal dan router edge peering Google.
Router lokal yang didukung
Anda dapat menggunakan router lokal dengan MACsec untuk Cloud Interconnect yang mendukung spesifikasi MACsec yang tercantum dalam tabel berikut.
| Setelan | Nilai |
|---|---|
| Paket penyandian MACsec |
|
| Algoritme kriptografi CAK | AES_256_CMAC |
| Prioritas server kunci | 15 |
| Interval penetapan ulang kunci asosiasi aman (SAK) | 28800 detik |
| Offset kerahasiaan MACsec | 0 |
| Ukuran jendela | 64 |
| Indikator nilai pemeriksaan integritas (ICV) | ya |
| ID Saluran Aman (SCI) | diaktifkan |
MACsec untuk Cloud Interconnect mendukung rotasi kunci tanpa hit hingga lima kunci.
Beberapa router yang diproduksi oleh Cisco, Juniper, dan Arista memenuhi spesifikasi ini. Kami tidak dapat merekomendasikan router tertentu. Sebaiknya konsultasikan dengan vendor router untuk menentukan model yang paling sesuai dengan kebutuhan Anda.
Sebelum Anda menggunakan MACsec untuk Cloud Interconnect
Pastikan Anda memenuhi persyaratan berikut:
Pahami interkoneksi jaringan dasar, sehingga Anda dapat memesan dan mengonfigurasi sirkuit jaringan.
Pahami perbedaan antara dan persyaratan untuk Dedicated Interconnect dan Partner Interconnect.
Miliki akses administrator ke router edge lokal Anda.
Periksa apakah MACsec tersedia di fasilitas kolokasi Anda.
Langkah-langkah penyiapan MACsec untuk Cloud Interconnect
Setelah memastikan bahwa MACsec untuk Cloud Interconnect tersedia di fasilitas kolokasi, periksa apakah Anda sudah memiliki koneksi Cloud Interconnect yang mendukung MACsec. Jika tidak, pesan koneksi Cloud Interconnect yang mendukung MACsec.
Setelah koneksi Cloud Interconnect menyelesaikan pengujian dan siap digunakan, Anda dapat menyiapkan MACsec dengan membuat kunci MACsec yang dibagikan sebelumnya dan mengonfigurasi router lokal Anda. Kemudian Anda dapat mengaktifkan MACsec dan memverifikasi bahwa MACsec diaktifkan untuk link Anda dan telah beroperasi. Terakhir, Anda dapat memantau koneksi MACsec untuk memastikannya beroperasi dengan benar.
Ketersediaan MACsec
MACsec untuk Cloud Interconnect didukung di semua koneksi 100-Gbps Cloud Interconnect, terlepas dari lokasinya.
MACsec untuk Cloud Interconnect tidak tersedia di semua fasilitas kolokasi untuk sirkuit 10-Gbps. Untuk mengetahui informasi selengkapnya tentang fitur yang tersedia di fasilitas kolokasi, lihat Tabel lokasi.
Untuk menemukan fasilitas kolokasi dengan sirkuit 10-Gbps yang mendukung MACsec untuk Cloud Interconnect, lakukan hal berikut. Ketersediaan MACsec untuk sirkuit 10‐Gbps hanya ditampilkan untuk project yang diizinkan. Untuk memesan MACsec untuk Cloud Interconnect untuk sirkuit 10‐Gbps, Anda harus menghubungi Account Manager Anda.
Konsol
Di konsol Google Cloud, buka tab Koneksi fisik Cloud Interconnect.
Klik Siapkan koneksi fisik.
Pilih Dedicated Interconnect, lalu klik Lanjutkan.
Pilih Pesan Dedicated Interconnect baru, lalu klik Lanjutkan.
Di kolom lokasi Google Cloud, klik Pilih.
Di panel Pilih fasilitas kolokasi, temukan kota tempat Anda menginginkan koneksi Cloud Interconnect. Di kolom Lokasi geografis, pilih area geografis. Kolom Dukungan MACsec untuk project saat ini menunjukkan ukuran sirkuit yang tersedia bagi MACsec untuk Cloud Interconnect.
gcloud
Lakukan autentikasi ke Google Cloud CLI:
gcloud auth loginUntuk mengetahui apakah fasilitas kolokasi mendukung MACsec untuk Cloud Interconnect, lakukan salah satu hal berikut:
Verifikasi bahwa fasilitas kolokasi tertentu mendukung MACsec untuk Cloud Interconnect:
gcloud compute interconnects locations describe COLOCATION_FACILITYGanti
COLOCATION_FACILITYdengan nama fasilitas kolokasi yang tercantum di tabel lokasi.Outputnya mirip dengan contoh berikut ini. Koneksi yang mendukung MACsec menampilkan hal berikut:
- Untuk link 10 Gbps:
linkType: LINK_TYPE_ETHERNET_10G_LRdanavailableFeatures: IF_MACSEC - Untuk link 100 Gbps:
linkType: LINK_TYPE_ETHERNET_100G_LR; semua link 100 Gbps mendukung MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- Untuk link 10 Gbps:
Daftar semua fasilitas kolokasi yang mendukung MACsec untuk Cloud Interconnect pada sirkuit 10-Gbps:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"Outputnya mirip dengan hal berikut ini:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Cantumkan semua fasilitas kolokasi yang memiliki link 100-Gbps, sehingga menawarkan MACsec secara default:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"Outputnya mirip dengan hal berikut ini:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Dukungan MACsec pada koneksi Cloud Interconnect yang ada
MACsec untuk Cloud Interconnect didukung pada koneksi Cloud Interconnect 100-Gbps yang sudah ada.
Jika Anda memiliki koneksi 10-Gbps, periksa ketersediaan MACsec di fasilitas kolokasi Anda. Jika dukungan MACsec tersedia di fasilitas kolokasi Anda, pastikan Cloud Interconnect mendukung MACsec.
Dapatkah saya mengaktifkan MACsec jika koneksi Cloud Interconnect yang ada tidak mendukungnya?
Jika fasilitas kolokasi Anda tidak mendukung MACsec, Anda dapat melakukan salah satu hal berikut:
Minta koneksi Cloud Interconnect baru dan minta MACsec sebagai fitur yang diperlukan.
Hubungi Account Manager Google Cloud Anda untuk menjadwalkan migrasi koneksi Cloud Interconnect yang ada ke port yang mendukung MACsec.
Penyelesaian migrasi koneksi secara fisik dapat memerlukan waktu beberapa minggu karena keterbatasan penjadwalan. Migrasi memerlukan masa pemeliharaan yang mengharuskan koneksi Cloud Interconnect Anda bebas dari traffic produksi apa pun.