Cloud Interconnect の MACsec は、特にオンプレミス ルーターと Google のエッジルーター間の Cloud Interconnect 接続のトラフィックを保護します。Cloud Interconnect の MACsec は IEEE 標準の 802.1AE Media Access Control Security(MACsec)を使用して、オンプレミス ルーターと Google のエッジルーター間のトラフィックを暗号化します。
Cloud Interconnect の MACsec は、Google 内のトラフィックで暗号化を行いません。セキュリティを強化するには、IP セキュリティ(IPsec)や Transport Layer Security(TLS)などの他のネットワーク セキュリティ プロトコルと一緒に MACsec を使用することをおすすめします。IPsec を使用して Google Cloud へのネットワーク トラフィックを保護する方法については、Cloud Interconnect を介した HA VPN の概要をご覧ください。
Cloud Interconnect の MACsec は 10 Gbps と 100 Gbps の回線で使用できます。ただし、10 Gbps 回線の Cloud Interconnect で MACsec を注文するには、アカウント マネージャーに連絡する必要があります。
次の図は、MACsec がトラフィックを暗号化する方法を示しています。図 1 は、Dedicated Interconnect でトラフィックを暗号化する MACsec を示しています。図 2 は、Partner Interconnect でトラフィックを暗号化する MACsec を示しています。
Partner Interconnect で MACsec を使用するには、サービス プロバイダと協力して、ネットワーク トラフィックがプロバイダのネットワークを介して暗号化されるようにします。
Cloud Interconnect の MACsec の仕組み
Cloud Interconnect の MACsec は、オンプレミス ルーターと Google のピアリング エッジルーター間のトラフィックを保護します。Google Cloud CLI(gcloud CLI)または Google Cloud コンソールを使用して、GCM-AES-256 Connectivity Association Key(CAK)の値と Connectivity Association Key Name(CKN)の値を生成します。CAK の値と CKN の値を使用して MACsec を構成するようにルーターを構成します。ルーターと Cloud Interconnect で MACsec を有効にすると、MACsec はオンプレミス ルーターと Google のピアリング エッジルーター間のトラフィックを暗号化します。
サポートされているオンプレミス ルーター
次の表に示す MACsec 仕様をサポートする Cloud Interconnect の MACsec でオンプレミス ルーターを使用できます。
| 設定 | 値 |
|---|---|
| MACsec 暗号スイート |
|
| CAK 暗号アルゴリズム | AES_256_CMAC |
| 鍵サーバーの優先値 | 15 |
| 安全な Secure Association Key(SAK)の鍵交換間隔 | 28,800 秒 |
| MACsec 機密性オフセット | 0 |
| 対象期間 | 64 |
| 整合性チェック値(ICV)のインジケーター | yes |
| セキュア チャネル識別子(SCI) | enabled |
Cloud Interconnect の MACsec は、最大 5 つの鍵のヒットレス鍵のローテーションをサポートしています。
Cisco、Juniper、Arista によって製造された複数のルーターがこの仕様に準拠しています。特定のルーターをおすすめすることはありません。ルーターのベンダーに相談して、ニーズに最適なモデルを決定することをおすすめします。
Cloud Interconnect の MACsec を使用する前に
次の要件を満たしていることを確認してください。
ネットワーク回線を注文および構成できるように、基本的なネットワーク相互接続を理解する。
Dedicated Interconnect と Partner Interconnect の違いおよび要件を理解する。
オンプレミスのエッジルーターへの管理者アクセス権を取得する。
コロケーション施設で MACsec が利用可能であることを確認する。
Cloud Interconnect の MACsec の設定手順
コロケーション施設で Cloud Interconnect の MACsec が利用可能であることを確認したら、MACsec 対応の Cloud Interconnect 接続がすでに存在するかどうかを確認します。ない場合は、MACsec 対応の Cloud Interconnect 接続を注文します。
Cloud Interconnect 接続のテストが完了し、使用できるようになったら、MACsec 事前共有キーを作成してオンプレミス ルーターを構成することで、MACsec を設定できます。その後、MACsec を有効にして、リンクに対して有効で動作可能であることを確認できます。最後に、MACsec 接続をモニタリングして正常に動作していることを確認します。
MACsec の可用性
Cloud Interconnect の MACsec は、ロケーションに関係なく、すべての Cloud Interconnect 100 Gbps 接続でサポートされています。
Cloud Interconnect の MACsec は、10 Gbps 回線の一部のコロケーション施設では使用できません。コロケーション施設で使用できる機能の詳細については、ロケーション表をご覧ください。
Cloud Interconnect の MACsec をサポートする 10 Gbps 回線があるコロケーション施設を確認するには、次のようにします。10 Gbps 回線用の MACsec の利用可否は、許可リストに登録されているプロジェクトにのみ表示されます。10 Gbps 回線の Cloud Interconnect 用に MACsec を注文するには、アカウント マネージャーに連絡してください。
コンソール
Google Cloud コンソールで、Cloud Interconnect の [物理接続] タブに移動します。
[物理接続を設定] をクリックします。
[Dedicated Interconnect] を選択し、[続行] をクリックします。
[新しい専用の相互接続を注文] を選択し、[続行] をクリックします。
[Google Cloud のロケーション] フィールドで、[選択] をクリックします。
[コロケーション施設の選択] ペインで、Cloud Interconnect 接続が必要な都市を探します。[地域] フィールドで、地域を選択します。[現在のプロジェクトに対する MACsec サポート] 列には、Cloud Interconnect の MACsec に使用できる回線サイズが表示されます。
gcloud
Google Cloud CLI に対して認証を行います。
gcloud auth loginコロケーション施設が Cloud Interconnect の MACsec をサポートしているかどうかを確認するには、次のいずれかを行います。
特定のコロケーション施設が Cloud Interconnect で MACsec をサポートしていることを確認します。
gcloud compute interconnects locations describe COLOCATION_FACILITYCOLOCATION_FACILITYは、ロケーション表に表示されているコロケーション施設の名前に置き換えます。出力は次のようになります。MACsec 対応の接続では、次のように表示されます。
- 10 Gbps リンクの場合:
linkType: LINK_TYPE_ETHERNET_10G_LRとavailableFeatures: IF_MACSEC - 100 Gbps リンクの場合:
linkType: LINK_TYPE_ETHERNET_100G_LR。100 Gbps リンクはすべて MACsec 対応
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- 10 Gbps リンクの場合:
10 Gbps 回線上の Cloud Interconnect の MACsec をサポートするすべてのコロケーション施設を一覧表示します。
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"出力は次のようになります。
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>100 Gbps のリンクを持つすべてのコロケーション施設が一覧表示されます。デフォルトでは MACsec が提供されます。
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"出力は次のようになります。
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
既存の Cloud Interconnect 接続での MACsec サポート
Cloud Interconnect の MACsec は、既存の 100 Gbps の Cloud Interconnect 接続でサポートされています。
10 Gbps 接続がある場合は、コロケーション施設で MACsec の可用性を確認します。コロケーション施設で MACsec サポートを使用できる場合は、Cloud Interconnect が MACsec 対応であることを確認してください。
既存の Cloud Interconnect 接続が MACsec をサポートしていない場合、MACsec を有効にできますか?
コロケーション施設が MACsec をサポートしていない場合は、次のいずれかを行えます。
新しい Cloud Interconnect 接続をリクエストし、必須機能として MACsec をリクエストします。
既存の Cloud Interconnect 接続を MACsec 対応ポートに移行するようにスケジュールするには、Google Cloud アカウント マネージャーにお問い合わせください。
スケジューリングの制約により、接続を物理的に移行するには数週間かかることがあります。移行にはメンテナンスの時間枠が必要です。この時間枠では、Cloud Interconnect 接続を本番環境のトラフィックから解放する必要があります。