Merotasi kunci MACsec

Halaman ini menjelaskan cara merotasi kunci untuk MACsec untuk Cloud Interconnect.

Untuk merotasi kunci, Anda harus menyelesaikan langkah berikut:

  1. Buat kunci baru dengan tanggal mulai setelah kunci yang ada.
  2. Tambahkan kunci baru ke router lokal.
  3. Tunggu waktu mulai kunci baru.
  4. Pastikan kunci baru aktif.
  5. Hapus kunci terlama.

Anda dapat membuat hingga lima kunci pra-bagi dengan waktu mulai yang Anda tentukan. Waktu mulai kunci harus dalam urutan meningkat, dan tidak dalam waktu enam jam setelah waktu mulai kunci sebelumnya. Untuk merotasi kunci yang tidak ingin digunakan lagi, Anda dapat menghapus kunci tersebut.

Pre-shared key tidak memiliki masa berlaku. Ketika Anda mengonfigurasi lebih dari satu kunci, maka semua kunci harus memiliki waktu mulai yang dikonfigurasi.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna mengambil kunci MACsec, minta administrator untuk memberi Anda peran IAM Admin Jaringan Compute (roles/compute.networkAdmin) di project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Jika Anda memilih untuk menggunakan peran khusus, pastikan bahwa peran khusus Anda untuk mengelola MACsec untuk Cloud Interconnect menyertakan izin IAM compute.interconnects.getMacsecConfig.

Opsional: Perbarui waktu mulai kunci yang ada

IJika Anda memiliki kunci tanpa waktu mulai dan mencoba membuat kunci baru, Cloud Interconnect akan menampilkan error. Untuk memperbaiki waktu mulai, pilih salah satu opsi berikut untuk menetapkan waktu mulai untuk kunci yang ada:

Konsol

  1. Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.

    Buka Koneksi fisik

  2. Pilih koneksi yang ingin Anda ubah.

  3. Di tab MACsec, buka bagian Kunci pra-bagi, lalu klik Kunci pra-bagi yang ditangani.

  4. Di kolom Waktu mulai, pilih atau masukkan waktu mulai baru.

  5. Klik Kirim.

gcloud

gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time=START_TIME

Ganti kode berikut:

  • INTERCONNECT_CONNECTION_NAME: nama koneksi Cloud Interconnect Anda
  • KEY_NAME: nama kunci yang akan diupdate
  • START_TIME: waktu berlakunya kunci ini dalam format ISO 8601—misalnya, 2023-07-01T21:00:01.000Z

Buat kunci baru

  1. Untuk menambahkan kunci baru, pilih salah satu opsi berikut:

    Konsol

    1. Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.

      Buka Koneksi fisik

    2. Pilih koneksi yang ingin Anda ubah.

    3. Di tab MACsec, buka bagian Kunci pra-bagi, lalu klik Kunci pra-bagi yang ditangani.

    4. Klik Tambahkan Kunci.

    5. Tentukan detail kunci pra-bagi:

      • Nama Kunci: nama untuk kunci. Nama ini ditampilkan di Google Cloud Console dan digunakan oleh gcloud CLI untuk mereferensikan kunci, seperti psk-2.

      • Waktu mulai: waktu kunci menjadi valid. Pastikan waktu mulai kunci pra-bagi yang baru setidaknya enam jam setelah waktu mulai kunci sebelumnya.

    6. Untuk menambahkan kunci pra-bagi tambahan, klik Tambahkan kunci. Kunci pra-bagi secara berurutan harus memiliki waktu mulai setidaknya dengan selang enam jam.

    7. Klik Submit.

    gcloud

    gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
        --key-name=KEY_NAME \
        --start-time="START_TIME"
    

    Ganti kode berikut:

    • INTERCONNECT_CONNECTION_NAME: nama koneksi Cloud Interconnect Anda
    • KEY_NAME: nama untuk kunci
    • START_TIME: waktu berlakunya kunci ini dalam format ISO 8601—misalnya, 2023-07-01T21:00:01.000Z

    Sebagai praktik terbaik, sebaiknya tetapkan waktu mulai untuk semua kunci tyang Anda buat untuk MACsec untuk Cloud Interconnect.

  2. Untuk mencantumkan kunci yang sudah ada dan mencatat kunci pengaitan konektivitas (CAK) kunci baru dan nama kunci asosiasi konektivitas (CKN), pilih salah satu opsi berikut:

    Konsol

    1. Di bagian Kunci pra-bagi, cari nama kunci pra-bagi yang Anda tambahkan, lalu klik View. Jendela akan menampilkan kunci pengaitan konektivitas (CAK) dan nama kunci asosiasi konektivitas (CKN). Klik Salin di samping salah satu nilai untuk menyalin nilai ke papan klip komputer.

    2. Klik Close.

    gcloud

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
    

    Output-nya mirip dengan yang berikut ini:

    preSharedKeys:
    - name: key1
      ckn: 0101010189abcdef...0123456789abcdef
      cak: 0123456789abcdef...0123456789abcdef
      startTime: 2023-07-01T12:12:12Z
    - name: key2
      ckn: 0202020289abcdef...0123456789abcdef
      cak: 0123456889abcdef...0123456789abcdef
      startTime: 2023-08-01T12:12:12Z
    

    Dalam contoh ini, key2 adalah kunci yang baru ditambahkan.

  3. Tambahkan nilai waktu mulai, CAK, dan CKN kunci baru ke konfigurasi router lokal Anda.

Router edge Google menggunakan kunci dengan waktu mulai terbaru dan secara otomatis beralih ke kunci berikutnya seiring waktu. Semua kunci yang dikonfigurasi memiliki waktu habis masa berlaku yang tidak terbatas. Artinya, untuk menyelesaikan rotasi kunci, Anda harus menghapus kunci lama yang tidak ingin digunakan.

Verifikasi kunci aktif

Selesaikan langkah berikut:

  1. Untuk mencantumkan kunci yang ada, pilih salah satu opsi berikut:

    Konsol

    1. Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.

      Buka Koneksi fisik

    2. Pilih koneksi yang ingin Anda lihat.

    3. Pada tab MACsec, bagian Kunci pra-bagi, mencantumkan semua kunci pra-bagi untuk koneksi ini.

    gcloud

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
    

    Output-nya mirip dengan yang berikut ini:

    preSharedKeys:
    - name: key1
      ckn: 0101010189abcdef...0123456789abcdef
      cak: 0123456789abcdef...0123456789abcdef
      startTime: 2023-07-01T12:12:12Z
    - name: key2
      ckn: 0202020289abcdef...0123456789abcdef
      cak: 0123456889abcdef...0123456789abcdef
      startTime: 2023-08-01T12:12:12Z
    

    Perhatikan nilai CKN untuk kunci yang tercantum sebelum kunci terakhir.

  2. Untuk memastikan bahwa kunci aktif tercantum sebelum menghapus kunci lama, pilih salah satu opsi berikut:

    Konsol

    • Di bagian kunci pra-bagi, pastikan kunci baru menampilkan Status kunci Yang aktif sedang digunakan.

    gcloud

    gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
    

    Outputnya mirip dengan berikut ini; cari macsec:

    bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
    bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
    links:
    - circuitId: LOOP-0
      googleDemarc: fake-local-demarc-0
      lacpStatus:
        googleSystemId: '00:11:22:33:44:55'
        neighborSystemId: '55:44:33:22:11:00'
        state: ACTIVE
      macsec:
        ckn: 0202020289abcdef...0123456789abcdef
        operational: true
      operationalStatus: LINK_OPERATIONAL_STATUS_UP
      receivingOpticalPower:
        state: OK
        value: -2.49
      transmittingOpticalPower:
        state: OK
        value: -0.88
    macAddress: 00:11:22:33:44:55
    

    Perintah gcloud compute interconnects get-diagnostics menampilkan nilai CKN kunci aktif. Jika Anda mengonfigurasi lebih dari satu kunci, maka kunci dengan waktu mulai terbaru akan dipilih sebagai kunci aktif. Router edge Google menolak setiap sesi MACsec baru yang mencoba menggunakan kunci lama.

Hapus kunci lama

Sebagai tindakan pencegahan keamanan, MACsec untuk Cloud Interconnect mencegah Anda menghapus kunci aktif terakhir.

Untuk menghapus kunci lama, selesaikan langkah-langkah berikut:

  1. Hapus kunci lama dari konfigurasi router lokal. Hal ini untuk memastikan bahwa kunci lama tidak digunakan oleh router lokal sebelum Anda menghapus kunci lama dari Cloud Interconnect.

  2. Untuk menghapus kunci lama dari konfigurasi koneksi Cloud Interconnect, pilih salah satu opsi berikut:

    Konsol

    1. Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.

      Buka Koneksi fisik

    2. Pilih koneksi yang ingin Anda lihat.

    3. Di tab MACsec, buka Kunci pra-bagi, pilih kunci yang ingin Anda hapus, lalu klik Delete.

    4. Di bagian kunci Pra-bagi pastikan bahwa kunci baru menampilkan Status kunci yang Aktif, sedang digunakan dan bahwa kunci yang ingin Anda hapus tidak lagi terdaftar.

    gcloud

    1. Jalankan perintah berikut:

      gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \
          --key-name=KEY_NAME
      

      Ganti kode berikut:

      • INTERCONNECT_CONNECTION_NAME: nama koneksi Cloud Interconnect Anda
      • KEY_NAME: nama kunci Anda.
    2. Untuk memastikan bahwa Anda telah menghapus kunci yang benar, jalankan perintah berikut:

      gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
      

      Output-nya mirip dengan yang berikut ini:

      preSharedKeys:
      - name: key2
        ckn: 0202020289abcdef...0123456789abcdef
        cak: 0123456889abcdef...0123456789abcdef
        startTime: 2023-08-01T12:12:12Z
      

Apa langkah selanjutnya?