MACsec per Cloud Interconnect ti aiuta a proteggere il traffico sulle connessioni di Cloud Interconnect, in particolare tra il router on-premise e i router perimetrali di Google. MACsec per Cloud Interconnect utilizza lo standard IEEE MACsec (Media Access Control Security) 802.1AE per criptare il traffico tra il router on-premise e i router perimetrali di Google.
MACsec per Cloud Interconnect non fornisce la crittografia dei dati in transito all'interno di Google. Per una maggiore sicurezza, ti consigliamo di utilizzare MACsec con altri protocolli di sicurezza di rete, come IP Security (IPsec) e Transport Layer Security (TLS). Per ulteriori informazioni sull'utilizzo di IPsec per proteggere il traffico di rete verso Google Cloud, consulta la panoramica sulla VPN ad alta disponibilità su Cloud Interconnect.
MACsec per Cloud Interconnect è disponibile per circuiti da 10 e 100 Gbps. Tuttavia, per ordinare MACsec per Cloud Interconnect per circuiti a 10 Gbps, devi contattare il tuo account manager.
I seguenti diagrammi mostrano in che modo MACsec cripta il traffico. La Figura 1 mostra MACsec che cripta il traffico su Dedicated Interconnect. La Figura 2 illustra la crittografia di MACsec del traffico su Partner Interconnect.
Per utilizzare MACsec su Partner Interconnect, collabora con il tuo fornitore di servizi per assicurarti che il traffico di rete sia criptato tramite la rete dei tuoi provider.
Come funziona MACsec per Cloud Interconnect
MACsec per Cloud Interconnect contribuisce a proteggere il traffico tra il tuo router on-premise e il router perimetrale di peering di Google. Puoi utilizzare Google Cloud CLI (gcloud CLI) o la console Google Cloud per generare una chiave di associazione della connettività (CAK) e valori CKN (Nome chiave di associazione della connettività) GCM-AES-256. Configuri il router in modo da utilizzare i valori CAK e CKN per configurare MACsec. Dopo aver abilitato MACsec sul router e in Cloud Interconnect, MACsec cripta il traffico tra il router on-premise e il router perimetrale di peering di Google.
Router on-premise supportati
Puoi utilizzare router on-premise con MACsec per Cloud Interconnect che supportano le specifiche MACsec elencate nella tabella seguente.
Ambientazione | Valore |
---|---|
Suite di crittografia MACsec |
|
Algoritmo crittografico CAK | AES_256_CMAC |
Priorità server delle chiavi | 15 |
Intervallo di rikeying della chiave di associazione sicura (SAK) | 28.800 secondi |
Offset di riservatezza MACsec | 0 |
Dimensione schermo | 64 |
Indicatore del valore di controllo dell'integrità (ICV) | sì |
Identificatore di canale sicuro (SCI) | abilitato |
MACsec per Cloud Interconnect supporta rotazione della chiave senza hit per un massimo di cinque chiavi.
Diversi router prodotti da Cisco, Juniper e Arista soddisfano le specifiche. Non possiamo consigliare router specifici. Ti consigliamo di rivolgerti al tuo fornitore di router per determinare quale modello si adatta meglio alle tue esigenze.
Prima di utilizzare MACsec per Cloud Interconnect
Assicurati di soddisfare i seguenti requisiti:
Informazioni sulle interconnessioni di rete di base per poter ordinare e configurare i circuiti di rete.
Comprendi le differenze e i requisiti per Dedicated Interconnect e Partner Interconnect.
Disporre dell'accesso amministrativo al router perimetrale on-premise.
Verifica che MACsec sia disponibile presso la tua struttura di colocation.
Passaggi di configurazione di MACsec per Cloud Interconnect
Dopo aver verificato che MACsec per Cloud Interconnect è disponibile nella tua struttura di colocation, controlla se hai già una connessione Cloud Interconnect compatibile con MACsec. In caso contrario, ordina una connessione Cloud Interconnect compatibile con MACsec.
Quando la connessione Cloud Interconnect ha completato il test ed è pronta per l'uso, puoi configurare MACsec creando chiavi precondivise MACsec e configurando il router on-premise. Puoi quindi abilitare MACsec e verificare che sia abilitato per il tuo link e operativo. Infine, puoi monitorare la connessione MACsec per assicurarti che funzioni correttamente.
Disponibilità di MACsec
MACsec per Cloud Interconnect è supportato su tutte le connessioni a 100 Gbps di Cloud Interconnect, indipendentemente dalla località.
MACsec per Cloud Interconnect non è disponibile in tutte le strutture di colocation per i circuiti a 10 Gbps. Per ulteriori informazioni sulle funzionalità disponibili nelle strutture di colocation, consulta la tabella Località.
Per scoprire quali strutture di colocation con circuiti a 10 Gbps supportano MACsec per Cloud Interconnect: La disponibilità di MACsec per i circuiti a 10 Gbps viene visualizzata solo per i progetti inclusi nella lista consentita. Per ordinare MACsec per Cloud Interconnect per circuiti a 10 Gbps, devi contattare il tuo account manager.
Console
Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.
Fai clic su Configura connessione fisica.
Seleziona Dedicated Interconnect e fai clic su Continue (Continua).
Seleziona Ordina nuova Dedicated Interconnect, quindi fai clic su Continua.
Nel campo Località Google Cloud, fai clic su Scegli.
Nel riquadro Scegli struttura di colocation, trova la città in cui vuoi avere una connessione Cloud Interconnect. Nel campo Località geografica, seleziona un'area geografica. La colonna Supporto MACsec per il progetto attuale mostra le dimensioni dei circuiti disponibili per MACsec per Cloud Interconnect.
gcloud
Esegui l'autenticazione in Google Cloud CLI:
gcloud auth login
Per scoprire se una struttura di colocation supporta MACsec per Cloud Interconnect, esegui una delle seguenti operazioni:
Verifica che una struttura di colocation specifica supporti MACsec per Cloud Interconnect:
gcloud compute interconnects locations describe COLOCATION_FACILITY
Sostituisci
COLOCATION_FACILITY
con il nome della struttura di colocation elencato nella tabella delle località.L'output è simile al seguente esempio. Le connessioni compatibili con MACsec mostrano quanto segue:
- Per i link a 10 Gbps:
linkType: LINK_TYPE_ETHERNET_10G_LR
eavailableFeatures: IF_MACSEC
- Per i link da 100 Gbps:
linkType: LINK_TYPE_ETHERNET_100G_LR
; tutti i link da 100 Gbps supportano MACsec
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE
- Per i link a 10 Gbps:
Elenca tutte le strutture di colocation che supportano MACsec per Cloud Interconnect su circuiti a 10 Gbps:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"
L'output è simile al seguente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Elenca tutte le strutture di colocation che hanno link a 100 Gbps, quindi offrono MACsec per impostazione predefinita:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"
L'output è simile al seguente:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
Supporto di MACsec sulle connessioni Cloud Interconnect esistenti
MACsec per Cloud Interconnect è supportato sulle connessioni Cloud Interconnect a 100 Gbps esistenti.
Se disponi di una connessione a 10 Gbps, controlla la disponibilità di MACsec presso la tua struttura di colocation. Se nella tua struttura di colocation è disponibile il supporto per MACsec, verifica che Cloud Interconnect sia compatibile con MACsec.
Posso abilitare MACsec se la mia connessione Cloud Interconnect esistente non lo supporta?
Se la tua struttura di colocation non supporta MACsec, puoi eseguire una delle seguenti operazioni:
Richiedi una nuova connessione Cloud Interconnect e richiedi MACsec come funzionalità obbligatoria.
Contatta il tuo account manager Google Cloud per pianificare una migrazione della tua connessione Cloud Interconnect esistente alle porte compatibili con MACsec.
La migrazione fisica delle connessioni può richiedere diverse settimane a causa di vincoli di pianificazione. Le migrazioni richiedono un periodo di manutenzione in cui le connessioni Cloud Interconnect sono prive di traffico di produzione.