Panoramica di MACsec per Cloud Interconnect

MACsec per Cloud Interconnect ti aiuta a proteggere il traffico sulle connessioni di Cloud Interconnect, in particolare tra il router on-premise e i router perimetrali di Google. MACsec per Cloud Interconnect utilizza lo standard IEEE MACsec (Media Access Control Security) 802.1AE per criptare il traffico tra il router on-premise e i router perimetrali di Google.

MACsec per Cloud Interconnect non fornisce la crittografia dei dati in transito all'interno di Google. Per una maggiore sicurezza, ti consigliamo di utilizzare MACsec con altri protocolli di sicurezza di rete, come IP Security (IPsec) e Transport Layer Security (TLS). Per ulteriori informazioni sull'utilizzo di IPsec per proteggere il traffico di rete verso Google Cloud, consulta la panoramica sulla VPN ad alta disponibilità su Cloud Interconnect.

MACsec per Cloud Interconnect è disponibile per circuiti da 10 e 100 Gbps. Tuttavia, per ordinare MACsec per Cloud Interconnect per circuiti a 10 Gbps, devi contattare il tuo account manager.

I seguenti diagrammi mostrano in che modo MACsec cripta il traffico. La Figura 1 mostra MACsec che cripta il traffico su Dedicated Interconnect. La Figura 2 illustra la crittografia di MACsec del traffico su Partner Interconnect.

Figura 1. MACsec cripta il traffico su Dedicated Interconnect tra il router perimetrale di peering di Google e un router on-premise. — **Figura 1.** MACsec cripta il traffico su Dedicated Interconnect tra il router perimetrale di peering di Google e un router on-premise (fai clic per ingrandire).

Figura 2. MACsec cripta il traffico su Partner Interconnect tra il router perimetrale di peering di Google e il router perimetrale di peering del fornitore di servizi. — **Figura 2.** MACsec cripta il traffico su Partner Interconnect tra il router perimetrale di peering di Google e il router perimetrale di peering del fornitore di servizi (fai clic per ingrandire).

Per utilizzare MACsec su Partner Interconnect, collabora con il tuo fornitore di servizi per assicurarti che il traffico di rete sia criptato tramite la rete dei tuoi provider.

Come funziona MACsec per Cloud Interconnect

MACsec per Cloud Interconnect contribuisce a proteggere il traffico tra il tuo router on-premise e il router perimetrale di peering di Google. Puoi utilizzare Google Cloud CLI (gcloud CLI) o la console Google Cloud per generare una chiave di associazione della connettività (CAK) e valori CKN (Nome chiave di associazione della connettività) GCM-AES-256. Configuri il router in modo da utilizzare i valori CAK e CKN per configurare MACsec. Dopo aver abilitato MACsec sul router e in Cloud Interconnect, MACsec cripta il traffico tra il router on-premise e il router perimetrale di peering di Google.

Router on-premise supportati

Puoi utilizzare router on-premise con MACsec per Cloud Interconnect che supportano le specifiche MACsec elencate nella tabella seguente.

Ambientazione	Valore
Suite di crittografia MACsec	GCM-AES-256-XPN GCM-AES-256 Attenzione:la suite di crittografia GCM-AES-256 è supportata, ma non consigliata per i link a larghezza di banda elevata, perché può causare la perdita di pacchetti quando il piano di controllo è sovraccarico. Ti consigliamo di utilizzare GCM-AES-256-XPN per evitare la perdita di pacchetti.
Algoritmo crittografico CAK	AES_256_CMAC
Priorità server delle chiavi	15
Intervallo di rikeying della chiave di associazione sicura (SAK)	28.800 secondi
Offset di riservatezza MACsec	0
Dimensione schermo	64
Indicatore del valore di controllo dell'integrità (ICV)	sì
Identificatore di canale sicuro (SCI)	abilitato

MACsec per Cloud Interconnect supporta rotazione della chiave senza hit per un massimo di cinque chiavi.

Diversi router prodotti da Cisco, Juniper e Arista soddisfano le specifiche. Non possiamo consigliare router specifici. Ti consigliamo di rivolgerti al tuo fornitore di router per determinare quale modello si adatta meglio alle tue esigenze.

Prima di utilizzare MACsec per Cloud Interconnect

Assicurati di soddisfare i seguenti requisiti:

Informazioni sulle interconnessioni di rete di base per poter ordinare e configurare i circuiti di rete.
Comprendi le differenze e i requisiti per Dedicated Interconnect e Partner Interconnect.
Disporre dell'accesso amministrativo al router perimetrale on-premise.
Verifica che MACsec sia disponibile presso la tua struttura di colocation.

Passaggi di configurazione di MACsec per Cloud Interconnect

Dopo aver verificato che MACsec per Cloud Interconnect è disponibile nella tua struttura di colocation, controlla se hai già una connessione Cloud Interconnect compatibile con MACsec. In caso contrario, ordina una connessione Cloud Interconnect compatibile con MACsec.

Quando la connessione Cloud Interconnect ha completato il test ed è pronta per l'uso, puoi configurare MACsec creando chiavi precondivise MACsec e configurando il router on-premise. Puoi quindi abilitare MACsec e verificare che sia abilitato per il tuo link e operativo. Infine, puoi monitorare la connessione MACsec per assicurarti che funzioni correttamente.

Disponibilità di MACsec

MACsec per Cloud Interconnect è supportato su tutte le connessioni a 100 Gbps di Cloud Interconnect, indipendentemente dalla località.

MACsec per Cloud Interconnect non è disponibile in tutte le strutture di colocation per i circuiti a 10 Gbps. Per ulteriori informazioni sulle funzionalità disponibili nelle strutture di colocation, consulta la tabella Località.

Per scoprire quali strutture di colocation con circuiti a 10 Gbps supportano MACsec per Cloud Interconnect: La disponibilità di MACsec per i circuiti a 10 Gbps viene visualizzata solo per i progetti inclusi nella lista consentita. Per ordinare MACsec per Cloud Interconnect per circuiti a 10 Gbps, devi contattare il tuo account manager.

Console

Nella console Google Cloud, vai alla scheda Connessioni fisiche di Cloud Interconnect.

Vai a Connessioni fisiche
Fai clic su Configura connessione fisica.
Seleziona Dedicated Interconnect e fai clic su Continue (Continua).
Seleziona Ordina nuova Dedicated Interconnect, quindi fai clic su Continua.
Nel campo Località Google Cloud, fai clic su Scegli.
Nel riquadro Scegli struttura di colocation, trova la città in cui vuoi avere una connessione Cloud Interconnect. Nel campo Località geografica, seleziona un'area geografica. La colonna Supporto MACsec per il progetto attuale mostra le dimensioni dei circuiti disponibili per MACsec per Cloud Interconnect.

gcloud

Esegui l'autenticazione in Google Cloud CLI:
```
gcloud auth login
```

Per scoprire se una struttura di colocation supporta MACsec per Cloud Interconnect, esegui una delle seguenti operazioni:

Verifica che una struttura di colocation specifica supporti MACsec per Cloud Interconnect:

gcloud compute interconnects locations describe COLOCATION_FACILITY

Sostituisci COLOCATION_FACILITY con il nome della struttura di colocation elencato nella tabella delle località.

L'output è simile al seguente esempio. Le connessioni compatibili con MACsec mostrano quanto segue:

Per i link a 10 Gbps: linkType: LINK_TYPE_ETHERNET_10G_LR e availableFeatures: IF_MACSEC
Per i link da 100 Gbps: linkType: LINK_TYPE_ETHERNET_100G_LR; tutti i link da 100 Gbps supportano MACsec

address: |-
  Equinix
  47 Bourke Road
  Alexandria
  Sydney, New South Wales 2015
  Australia
availabilityZone: zone1
availableFeatures:
- IF_MACSEC
availableLinkTypes:
- LINK_TYPE_ETHERNET_10G_LR
- LINK_TYPE_ETHERNET_100G_LR
city: Sydney
continent: C_ASIA_PAC
creationTimestamp: '2019-12-05T12:56:15.000-08:00'
description: Equinix Sydney (SY3)
facilityProvider: Equinix
facilityProviderFacilityId: SY3
id: '1173'
kind: compute#interconnectLocation
name: syd-zone1-1605
peeringdbFacilityId: '1605'
regionInfos:
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605
status: AVAILABLE

Elenca tutte le strutture di colocation che supportano MACsec per Cloud Interconnect su circuiti a 10 Gbps:

gcloud compute interconnects locations list \
    --filter "availableFeatures: (IF_MACSEC)"

L'output è simile al seguente:

NAME                  DESCRIPTION              FACILITY_PROVIDER
... <stripped>
syd-zone1-1605        Equinix Sydney (SY3)     Equinix
... <stripped>

Elenca tutte le strutture di colocation che hanno link a 100 Gbps, quindi offrono MACsec per impostazione predefinita:

gcloud compute interconnects locations list \
    --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"

L'output è simile al seguente:

NAME                  DESCRIPTION              FACILITY_PROVIDER
... <stripped>
syd-zone1-1605        Equinix Sydney (SY3)     Equinix
... <stripped>

Supporto di MACsec sulle connessioni Cloud Interconnect esistenti

MACsec per Cloud Interconnect è supportato sulle connessioni Cloud Interconnect a 100 Gbps esistenti.

Se disponi di una connessione a 10 Gbps, controlla la disponibilità di MACsec presso la tua struttura di colocation. Se nella tua struttura di colocation è disponibile il supporto per MACsec, verifica che Cloud Interconnect sia compatibile con MACsec.

Posso abilitare MACsec se la mia connessione Cloud Interconnect esistente non lo supporta?

Se la tua struttura di colocation non supporta MACsec, puoi eseguire una delle seguenti operazioni:

Richiedi una nuova connessione Cloud Interconnect e richiedi MACsec come funzionalità obbligatoria.
Contatta il tuo account manager Google Cloud per pianificare una migrazione della tua connessione Cloud Interconnect esistente alle porte compatibili con MACsec.

La migrazione fisica delle connessioni può richiedere diverse settimane a causa di vincoli di pianificazione. Le migrazioni richiedono un periodo di manutenzione in cui le connessioni Cloud Interconnect sono prive di traffico di produzione.