Visão geral do MACsec para Cloud Interconnect

O MACsec para Cloud Interconnect ajuda a proteger o tráfego nas conexões do Cloud Interconnect, especificamente entre o roteador local e os roteadores de borda do Google. O MACsec para Cloud Interconnect usa o padrão 802.1AE Media Access Control Security (MACsec) do IEEE para criptografar o tráfego entre seu roteador local e os roteadores de borda do Google.

O MACsec para Cloud Interconnect não fornece criptografia em trânsito no Google. Para maior segurança, recomendamos o uso de MACsec com outros protocolos de segurança de rede, como a segurança de IP (IPsec) e a Transport Layer Security (TLS). Para mais informações sobre como usar o IPsec para proteger o tráfego de rede no Google Cloud, consulte a Visão geral da VPN de alta disponibilidade sobre o Cloud Interconnect.

O MACsec para Cloud Interconnect está disponível para circuitos de 10‐Gbps e 100-Gbps. No entanto, para solicitar o MACsec para o Cloud Interconnect de circuitos de 10 Gbps, entre em contato com o gerente da sua conta.

O MACsec para o Cloud Interconnect tem suporte para todos os recursos de anexo da VLAN, incluindo IPv4, IPv6 e IPsec.

Os diagramas a seguir mostram como a MACsec criptografa o tráfego. A Figura 1 mostra o MAC criptografando o tráfego na Interconexão dedicada. A Figura 2 mostra o MAC criptografando o tráfego no Partner Interconnect.

Figura 1. A MACsec criptografa o tráfego na Interconexão dedicada entre o roteador de borda de peering do Google e um roteador local.
Figura 1. A MACsec criptografa o tráfego na Interconexão dedicada entre o roteador de borda de peering do Google e um roteador local (clique para ampliar).


Figura 2. A MACsec criptografa o tráfego no Partner Interconnect entre o roteador de borda de peering do Google e o roteador de borda do peering do provedor de serviços.
Figura 2. A MACsec criptografa o tráfego na Interconexão por parceiro entre o roteador de borda de peering do Google e o roteador de borda do peering do provedor de serviços (clique para ampliar).

Para usar o MACsec no Partner Interconnect, trabalhe com seu provedor de serviços para garantir que o tráfego de rede seja criptografado por meio da rede dos provedores.

Como o MACsec para o Cloud Interconnect funciona

O MACsec para Cloud Interconnect ajuda a proteger o tráfego entre o roteador local e o roteador de borda de peering do Google. Use a Google Cloud CLI (CLI gcloud) ou o console do Google Cloud para gerar os valores de chave de associação de conectividade (CAK, na sigla em inglês) do GCM-AES-256 e o nome da chave de associação de conectividade (CKN, na sigla em inglês). Configure o roteador para usar os valores CAK e CKN para configurar o MAC. Depois de ativar o MACsec no roteador e no Cloud Interconnect, o MACsec criptografa o tráfego entre o roteador local e o roteador de borda de peering do Google.

Roteadores locais compatíveis

É possível usar roteadores locais com MACsec para o Cloud Interconnect compatíveis com as especificações MACsec listadas na tabela a seguir.

Configuração Valor
Pacote de criptografia MACsec
  • GCM-AES-256-XPN
  • GCM-AES-256
Algoritmo criptográfico CAK AES_256_CMAC
Prioridade do servidor de chaves 15
Intervalo de rechaveamento da chave de associação segura (SAK) 28800 segundos
Compensação de confidencialidade MACsec 0
Tamanho da janela 64
Indicador do valor de verificação de integridade (ICV) sim
Identificador de canal seguro (SCI, na sigla em inglês) ativado

O MACsec para Cloud Interconnect é compatível com rotação de chaves sem interrupções para até cinco chaves.

Vários roteadores fabricados pela Cisco, Juniper e Arista atendem às especificações. Não podemos recomendar roteadores específicos. Recomendamos que você consulte seu fornecedor de roteador para determinar qual modelo atende melhor às suas necessidades.

Antes de usar o MACsec para o Cloud Interconnect

Verifique se você atende aos seguintes requisitos:

  • Entenda as interconexões básicas de rede para ordenar e configurar circuitos de rede.

  • Entenda as diferenças entre e os requisitos da Interconexão dedicada e da Interconexão por parceiro.

  • Tenha acesso de administrador ao roteador de borda no local.

  • Verifique se o MACsec está disponível na instalação de colocation.

MACsec para as etapas de configuração do Cloud Interconnect

Depois de verificar se o MACsec para o Cloud Interconnect está disponível na instalação de colocation, verifique se você já tem uma conexão do Cloud Interconnect compatível com MACsec. Caso contrário, solicite uma conexão do Cloud Interconnect com capacidade para MACsec.

Depois que a conexão do Cloud Interconnect concluir o teste e estiver pronta para uso, será possível configurar o MACsec criando chaves pré-compartilhadas do MACsec e configurando seu roteador local. Em seguida, é possível ativar o MACsec e verificar se ele está ativado para seu link e se está operacional. Por fim, você pode monitorar sua conexão MACsec para garantir que ela esteja funcionando corretamente.

Disponibilidade do MACsec

O MACsec para Cloud Interconnect é compatível com todas as conexões de 100‐Gbps do Cloud Interconnect, independentemente da localização.

O MACsec para Cloud Interconnect não está disponível em todas as instalações de colocation para circuitos de 10 Gbps. Para mais informações sobre os recursos disponíveis nas instalações de colocation, consulte a tabela de locais.

Para descobrir quais instalações de colocation com circuitos de 10‐Gbps são compatíveis com o MAC para o Cloud Interconnect, faça o seguinte. A disponibilidade do MACsec para circuitos de 10 Gbps é exibida apenas para projetos na lista de permissões. Para solicitar o MACsec para o Cloud Interconnect de circuitos de 10 Gbps, entre em contato com o gerente da sua conta.

Console

  1. No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

    Acessar Conexões físicas

  2. Clique em Configurar conexão física.

  3. Selecione Interconexão dedicada e clique em Continuar.

  4. Selecione Solicitar nova Interconexão dedicada e clique em Continuar.

  5. No campo Local do Google Cloud, clique em Escolher.

  6. No painel Escolher instalação de colocation, encontre a cidade em que você quer uma conexão do Cloud Interconnect. No campo Localização geográfica, selecione uma área geográfica. A coluna Suporte a MACsec para projeto atual mostra os tamanhos de circuitos disponíveis para o MACsec para o Cloud Interconnect.

gcloud

  1. Faça a autenticação na Google Cloud CLI:

    gcloud auth login
    
  2. Para descobrir se uma instalação de colocation é compatível com MACsec para o Cloud Interconnect, siga um destes procedimentos:

    • Verifique se uma instalação de colocation específica é compatível com MACsec para o Cloud Interconnect:

      gcloud compute interconnects locations describe COLOCATION_FACILITY
      

      Substitua COLOCATION_FACILITY pelo nome da instalação de localização listado na tabela de locais.

      O resultado é semelhante à seguinte amostra: Anote a seção availableFeatures. As conexões compatíveis com MACsec exibem o seguinte:

      • Para links de 10 Gbps: linkType: LINK_TYPE_ETHERNET_10G_LR e availableFeatures: IF_MACSEC
      • Para links de 100 Gbps: linkType: LINK_TYPE_ETHERNET_100G_LR. Todos os links de 100 Gbps são compatíveis com MACsec
      address: |-
        Equinix
        47 Bourke Road
        Alexandria
        Sydney, New South Wales 2015
        Australia
      availabilityZone: zone1
      availableFeatures:
      - IF_MACSEC
      availableLinkTypes:
      - LINK_TYPE_ETHERNET_10G_LR
      - LINK_TYPE_ETHERNET_100G_LR
      city: Sydney
      continent: C_ASIA_PAC
      creationTimestamp: '2019-12-05T12:56:15.000-08:00'
      description: Equinix Sydney (SY3)
      facilityProvider: Equinix
      facilityProviderFacilityId: SY3
      id: '1173'
      kind: compute#interconnectLocation
      name: syd-zone1-1605
      peeringdbFacilityId: '1605'
      regionInfos:
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7
      selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605
      status: AVAILABLE
      
    • Liste todas as instalações de colocation compatíveis com o MAC para o Cloud Interconnect em circuitos de 10 Gbps:

      gcloud compute interconnects locations list \
          --filter "availableFeatures: (IF_MACSEC)"
      

      O resultado será assim:

      NAME                  DESCRIPTION              FACILITY_PROVIDER
      ... <stripped>
      syd-zone1-1605        Equinix Sydney (SY3)     Equinix
      ... <stripped>
      
    • Liste todas as instalações de colocation com links de 100 Gbps e, portanto, ofereça MACsec por padrão:

      gcloud compute interconnects locations list \
          --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"
      

      O resultado será assim:

      NAME                  DESCRIPTION              FACILITY_PROVIDER
      ... <stripped>
      syd-zone1-1605        Equinix Sydney (SY3)     Equinix
      ... <stripped>
      

Compatibilidade com MACsec em conexões do Cloud Interconnect

O MACsec para Cloud Interconnect é compatível com conexões do Cloud Interconnect de 100 Gbps.

Se você tiver uma conexão de 10‐Gbps, verifique a disponibilidade do MACsec em sua instalação de colocation. Se o suporte a MACsec estiver disponível na instalação de colocation, verifique se o Cloud Interconnect é compatível com MACsec.

Posso ativar o MACsec se minha conexão do Cloud Interconnect não for compatível?

Se a instalação de colocation não for compatível com MACsec, siga um destes procedimentos:

  • Solicite uma nova conexão do Cloud Interconnect e solicite o MACsec como um recurso obrigatório.

  • Entre em contato com o gerente da sua conta do Google Cloud para programar uma migração da conexão atual do Cloud Interconnect para portas compatíveis com MACsec.

A migração física das conexões pode levar várias semanas para ser concluída devido às restrições de programação. As migrações exigem uma janela de manutenção que exija que suas conexões do Cloud Interconnect estejam livres de qualquer tráfego de produção.

A seguir