Visão geral do MACsec para Cloud Interconnect

O MACsec para Cloud Interconnect ajuda a proteger o tráfego nas conexões do Cloud Interconnect, especificamente entre o roteador local e os roteadores de borda do Google. O MACsec para Cloud Interconnect usa o padrão 802.1AE Media Access Control Security (MACsec) do IEEE para criptografar o tráfego entre seu roteador local e os roteadores de borda do Google.

O MACsec para Cloud Interconnect não fornece criptografia em trânsito no Google. Para maior segurança, recomendamos o uso de MACsec com outros protocolos de segurança de rede, como a segurança de IP (IPsec) e a Transport Layer Security (TLS). Para mais informações sobre como usar o IPsec para proteger o tráfego de rede no Google Cloud, consulte a Visão geral da VPN de alta disponibilidade sobre o Cloud Interconnect.

O MACsec para Cloud Interconnect está disponível para circuitos de 10‐Gbps e 100-Gbps. No entanto, para solicitar o MACsec para o Cloud Interconnect de circuitos de 10 Gbps, entre em contato com o gerente da sua conta.

Os diagramas a seguir mostram como a MACsec criptografa o tráfego. A Figura 1 mostra o MAC criptografando o tráfego na Interconexão dedicada. A Figura 2 mostra o MAC criptografando o tráfego no Partner Interconnect.

Figura 1. A MACsec criptografa o tráfego na Interconexão dedicada entre o roteador de borda de peering do Google e um roteador local. — **Figura 1.** A MACsec criptografa o tráfego na Interconexão dedicada entre o roteador de borda de peering do Google e um roteador local (clique para ampliar).

Figura 2. A MACsec criptografa o tráfego no Partner Interconnect entre o roteador de borda de peering do Google e o roteador de borda do peering do provedor de serviços. — **Figura 2.** A MACsec criptografa o tráfego na Interconexão por parceiro entre o roteador de borda de peering do Google e o roteador de borda do peering do provedor de serviços (clique para ampliar).

Para usar o MACsec no Partner Interconnect, trabalhe com seu provedor de serviços para garantir que o tráfego de rede seja criptografado por meio da rede dos provedores.

Como o MACsec para o Cloud Interconnect funciona

O MACsec para Cloud Interconnect ajuda a proteger o tráfego entre o roteador local e o roteador de borda de peering do Google. Use a Google Cloud CLI (CLI gcloud) ou o console do Google Cloud para gerar os valores de chave de associação de conectividade (CAK, na sigla em inglês) do GCM-AES-256 e o nome da chave de associação de conectividade (CKN, na sigla em inglês). Configure o roteador para usar os valores CAK e CKN para configurar o MAC. Depois de ativar o MACsec no roteador e no Cloud Interconnect, o MACsec criptografa o tráfego entre o roteador local e o roteador de borda de peering do Google.

Roteadores locais compatíveis

É possível usar roteadores locais com MACsec para o Cloud Interconnect compatíveis com as especificações MACsec listadas na tabela a seguir.

Configuração	Valor
Pacote de criptografia MACsec	GCM-AES-256-XPN GCM-AES-256 Atenção: o pacote de criptografia GCM-AES-256 é compatível com links de alta largura de banda, mas não é recomendado para isso porque pode causar pacotes descartados quando o plano de controle fica sobrecarregado. Recomendamos o uso de GCM-AES-256-XPN para evitar pacotes descartados.
Algoritmo criptográfico CAK	AES_256_CMAC
Prioridade do servidor de chaves	15
Intervalo de rechaveamento da chave de associação segura (SAK)	28800 segundos
Compensação de confidencialidade MACsec	0
Tamanho da janela	64
Indicador do valor de verificação de integridade (ICV)	sim
Identificador de canal seguro (SCI, na sigla em inglês)	ativado

O MACsec para Cloud Interconnect é compatível com rotação de chaves sem interrupções para até cinco chaves.

Vários roteadores fabricados pela Cisco, Juniper e Arista atendem às especificações. Não podemos recomendar roteadores específicos. Recomendamos que você consulte seu fornecedor de roteador para determinar qual modelo atende melhor às suas necessidades.

Antes de usar o MACsec para o Cloud Interconnect

Verifique se você atende aos seguintes requisitos:

Entenda as interconexões básicas de rede para ordenar e configurar circuitos de rede.
Entenda as diferenças entre e os requisitos da Interconexão dedicada e da Interconexão por parceiro.
Tenha acesso de administrador ao roteador de borda no local.
Verifique se o MACsec está disponível na instalação de colocation.

MACsec para as etapas de configuração do Cloud Interconnect

Depois de verificar se o MACsec para o Cloud Interconnect está disponível na instalação de colocation, verifique se você já tem uma conexão do Cloud Interconnect compatível com MACsec. Caso contrário, solicite uma conexão do Cloud Interconnect com capacidade para MACsec.

Depois que a conexão do Cloud Interconnect concluir o teste e estiver pronta para uso, será possível configurar o MACsec criando chaves pré-compartilhadas do MACsec e configurando seu roteador local. Em seguida, é possível ativar o MACsec e verificar se ele está ativado para seu link e se está operacional. Por fim, você pode monitorar sua conexão MACsec para garantir que ela esteja funcionando corretamente.

Disponibilidade do MACsec

O MACsec para Cloud Interconnect é compatível com todas as conexões de 100‐Gbps do Cloud Interconnect, independentemente da localização.

O MACsec para Cloud Interconnect não está disponível em todas as instalações de colocation para circuitos de 10 Gbps. Para mais informações sobre os recursos disponíveis nas instalações de colocation, consulte a tabela de locais.

Para descobrir quais instalações de colocation com circuitos de 10‐Gbps são compatíveis com o MAC para o Cloud Interconnect, faça o seguinte. A disponibilidade do MACsec para circuitos de 10 Gbps é exibida apenas para projetos na lista de permissões. Para solicitar o MACsec para o Cloud Interconnect de circuitos de 10 Gbps, entre em contato com o gerente da sua conta.

Console

No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

Acessar Conexões físicas
Clique em Configurar conexão física.
Selecione Interconexão dedicada e clique em Continuar.
Selecione Solicitar nova Interconexão dedicada e clique em Continuar.
No campo Local do Google Cloud, clique em Escolher.
No painel Escolher instalação de colocation, encontre a cidade em que você quer uma conexão do Cloud Interconnect. No campo Localização geográfica, selecione uma área geográfica. A coluna Suporte a MACsec para projeto atual mostra os tamanhos de circuitos disponíveis para o MACsec para o Cloud Interconnect.

gcloud

Faça a autenticação na Google Cloud CLI:
```
gcloud auth login
```

Para descobrir se uma instalação de colocation é compatível com MACsec para o Cloud Interconnect, siga um destes procedimentos:

Verifique se uma instalação de colocation específica é compatível com MACsec para o Cloud Interconnect:

gcloud compute interconnects locations describe COLOCATION_FACILITY

Substitua COLOCATION_FACILITY pelo nome da instalação de localização listado na tabela de locais.

O resultado é semelhante à seguinte amostra: As conexões compatíveis com MACsec exibem o seguinte:

Para links de 10 Gbps: linkType: LINK_TYPE_ETHERNET_10G_LR e availableFeatures: IF_MACSEC
Para links de 100 Gbps: linkType: LINK_TYPE_ETHERNET_100G_LR. Todos os links de 100 Gbps são compatíveis com MACsec

address: |-
  Equinix
  47 Bourke Road
  Alexandria
  Sydney, New South Wales 2015
  Australia
availabilityZone: zone1
availableFeatures:
- IF_MACSEC
availableLinkTypes:
- LINK_TYPE_ETHERNET_10G_LR
- LINK_TYPE_ETHERNET_100G_LR
city: Sydney
continent: C_ASIA_PAC
creationTimestamp: '2019-12-05T12:56:15.000-08:00'
description: Equinix Sydney (SY3)
facilityProvider: Equinix
facilityProviderFacilityId: SY3
id: '1173'
kind: compute#interconnectLocation
name: syd-zone1-1605
peeringdbFacilityId: '1605'
regionInfos:
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605
status: AVAILABLE

Liste todas as instalações de colocation compatíveis com o MAC para o Cloud Interconnect em circuitos de 10 Gbps:

gcloud compute interconnects locations list \
    --filter "availableFeatures: (IF_MACSEC)"

O resultado será assim:

NAME                  DESCRIPTION              FACILITY_PROVIDER
... <stripped>
syd-zone1-1605        Equinix Sydney (SY3)     Equinix
... <stripped>

Liste todas as instalações de colocation com links de 100 Gbps e, portanto, ofereça MACsec por padrão:

gcloud compute interconnects locations list \
    --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"

O resultado será assim:

NAME                  DESCRIPTION              FACILITY_PROVIDER
... <stripped>
syd-zone1-1605        Equinix Sydney (SY3)     Equinix
... <stripped>

Compatibilidade com MACsec em conexões do Cloud Interconnect

O MACsec para Cloud Interconnect é compatível com conexões do Cloud Interconnect de 100 Gbps.

Se você tiver uma conexão de 10‐Gbps, verifique a disponibilidade do MACsec em sua instalação de colocation. Se o suporte a MACsec estiver disponível na instalação de colocation, verifique se o Cloud Interconnect é compatível com MACsec.

Posso ativar o MACsec se minha conexão do Cloud Interconnect não for compatível?

Se a instalação de colocation não for compatível com MACsec, siga um destes procedimentos:

Solicite uma nova conexão do Cloud Interconnect e solicite o MACsec como um recurso obrigatório.
Entre em contato com o gerente da sua conta do Google Cloud para programar uma migração da conexão atual do Cloud Interconnect para portas compatíveis com MACsec.

A migração física das conexões pode levar várias semanas para ser concluída devido às restrições de programação. As migrações exigem uma janela de manutenção que exija que suas conexões do Cloud Interconnect estejam livres de qualquer tráfego de produção.