Merotasi kunci MACsec

Halaman ini menjelaskan cara merotasi kunci untuk MACsec untuk Cloud Interconnect.

Untuk merotasi kunci, Anda harus menyelesaikan langkah berikut:

  1. Buat kunci baru dengan tanggal mulai setelah kunci yang ada.
  2. Tambahkan kunci baru ke router lokal.
  3. Tunggu waktu mulai kunci baru.
  4. Pastikan kunci baru aktif.
  5. Hapus kunci terlama.

Anda dapat membuat hingga lima kunci pra-bagi dengan waktu mulai yang Anda tentukan. Waktu mulai kunci harus dalam urutan meningkat, dan tidak dalam waktu enam jam setelah waktu mulai kunci sebelumnya. Untuk merotasi kunci yang tidak ingin digunakan lagi, Anda dapat menghapus kunci tersebut.

Kunci pra-bagi berlaku selamanya. Ketika Anda mengonfigurasi lebih dari satu kunci, maka semua kunci harus memiliki waktu mulai yang dikonfigurasi.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk mengambil kunci MACsec, minta administrator untuk memberi Anda Admin Jaringan Compute (roles/compute.networkAdmin) Peran IAM di project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Jika Anda memilih untuk menggunakan peran khusus, pastikan bahwa peran khusus Anda untuk mengelola MACsec untuk Cloud Interconnect menyertakan izin IAM compute.interconnects.getMacsecConfig.

Opsional: Perbarui waktu mulai kunci yang ada

IJika Anda memiliki kunci tanpa waktu mulai dan mencoba membuat kunci baru, Cloud Interconnect akan menampilkan error. Untuk memperbaiki waktu mulai, pilih salah satu opsi berikut untuk menetapkan waktu mulai untuk kunci yang ada:

Konsol

  1. Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.

    Buka Koneksi fisik

  2. Pilih koneksi yang ingin Anda ubah.

  3. Di tab MACsec, buka bagian Kunci pra-bagi, lalu klik Kunci pra-bagi yang ditangani.

  4. Di kolom Waktu mulai, pilih atau masukkan waktu mulai baru.

  5. Klik Kirim.

gcloud 

gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time=START_TIME

Ganti kode berikut:

  • INTERCONNECT_CONNECTION_NAME: nama koneksi Cloud Interconnect Anda
  • KEY_NAME: nama kunci yang akan diupdate
  • START_TIME: waktu berlakunya kunci ini dalam format ISO 8601—misalnya, 2023-07-01T21:00:01.000Z

Buat kunci baru

  1. Untuk menambahkan kunci baru, pilih salah satu opsi berikut:

    Konsol

    1. Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.

      Buka Koneksi fisik

    2. Pilih koneksi yang ingin Anda ubah.

    3. Di tab MACsec, buka bagian Kunci pra-bagi, lalu klik Kunci pra-bagi yang ditangani.

    4. Klik Tambahkan Kunci.

    5. Tentukan detail kunci pra-bagi:

      • Nama Kunci: nama untuk kunci. Nama ini ditampilkan di Google Cloud Console dan digunakan oleh gcloud CLI untuk mereferensikan kunci, seperti psk-2.

      • Waktu mulai: waktu kunci menjadi valid. Pastikan waktu mulai kunci pra-bagi yang baru setidaknya enam jam setelah waktu mulai kunci sebelumnya.

    6. Untuk menambahkan kunci pra-bagi tambahan, klik Tambahkan kunci. Kunci pra-bagi secara berurutan harus memiliki waktu mulai setidaknya dengan selang enam jam.

    7. Klik Submit.

    gcloud 

    gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time="START_TIME"

    Ganti kode berikut:

    • INTERCONNECT_CONNECTION_NAME: nama koneksi Cloud Interconnect Anda
    • KEY_NAME: nama untuk kunci
    • START_TIME: waktu berlakunya kunci ini dalam format ISO 8601—misalnya, 2023-07-01T21:00:01.000Z

    Sebagai praktik terbaik, sebaiknya tetapkan waktu mulai untuk semua kunci tyang Anda buat untuk MACsec untuk Cloud Interconnect.

  2. Untuk mencantumkan kunci yang sudah ada dan mencatat kunci pengaitan konektivitas (CAK) kunci baru dan nama kunci asosiasi konektivitas (CKN), pilih salah satu opsi berikut:

    Konsol

    1. Di bagian Kunci pra-bagi, cari nama kunci pra-bagi yang Anda tambahkan, lalu klik View. Jendela akan menampilkan kunci pengaitan konektivitas (CAK) dan nama kunci asosiasi konektivitas (CKN). Klik Salin di samping salah satu nilai untuk menyalin nilai ke papan klip komputer.

    2. Klik Close.

    gcloud 

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    Outputnya mirip dengan hal berikut ini:

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    Dalam contoh ini, key2 adalah kunci yang baru ditambahkan.

  3. Tambahkan nilai waktu mulai, CAK, dan CKN kunci baru ke konfigurasi router lokal Anda.

Router edge Google menggunakan kunci dengan waktu mulai terbaru dan secara otomatis beralih ke kunci berikutnya seiring waktu. Semua kunci yang dikonfigurasi memiliki waktu habis masa berlaku yang tidak terbatas. Artinya, untuk menyelesaikan rotasi kunci, Anda harus menghapus kunci lama yang tidak ingin digunakan.

Verifikasi kunci aktif

Selesaikan langkah berikut:

  1. Untuk mencantumkan kunci yang ada, pilih salah satu opsi berikut:

    Konsol

    1. Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.

      Buka Koneksi fisik

    2. Pilih koneksi yang ingin Anda lihat.

    3. Pada tab MACsec, bagian Kunci pra-bagi, mencantumkan semua kunci pra-bagi untuk koneksi ini.

    gcloud 

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    Outputnya mirip dengan hal berikut ini:

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    Perhatikan nilai CKN untuk kunci yang tercantum sebelum kunci terakhir.

  2. Untuk memastikan bahwa kunci aktif tercantum sebelum menghapus kunci lama, pilih salah satu opsi berikut:

    Konsol

    • Di bagian kunci pra-bagi, pastikan kunci baru menampilkan Status kunci Yang aktif sedang digunakan.

    gcloud 

    gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

    Outputnya mirip dengan hal berikut ini:

    bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
  googleDemarc: fake-local-demarc-0
  lacpStatus:
    googleSystemId: '00:11:22:33:44:55'
    neighborSystemId: '55:44:33:22:11:00'
    state: ACTIVE
  macsec:
    ckn: 0202020289abcdef...0123456789abcdef
    operational: true
  operationalStatus: LINK_OPERATIONAL_STATUS_UP
  receivingOpticalPower:
    state: OK
    value: -2.49
  transmittingOpticalPower:
    state: OK
    value: -0.88
macAddress: 00:11:22:33:44:55

    Perintah gcloud compute interconnects get-diagnostics menampilkan nilai CKN kunci aktif. Jika Anda mengonfigurasi lebih dari satu kunci, maka kunci dengan waktu mulai terbaru akan dipilih sebagai kunci aktif. Router edge Google menolak setiap sesi MACsec baru yang mencoba menggunakan kunci lama.

Hapus kunci lama

Sebagai tindakan pencegahan keamanan, MACsec untuk Cloud Interconnect mencegah Anda menghapus kunci aktif terakhir.

Untuk menghapus kunci lama, selesaikan langkah-langkah berikut:

  1. Hapus kunci lama dari konfigurasi router lokal. Hal ini untuk memastikan bahwa kunci lama tidak digunakan oleh router lokal sebelum Anda menghapus kunci lama dari Cloud Interconnect.

  2. Untuk menghapus kunci lama dari konfigurasi koneksi Cloud Interconnect, pilih salah satu opsi berikut:

    Konsol

    1. Di Google Cloud Console, buka tab Physical connections Cloud Interconnect.

      Buka Koneksi fisik

    2. Pilih koneksi yang ingin Anda lihat.

    3. Di tab MACsec, buka Kunci pra-bagi, pilih kunci yang ingin Anda hapus, lalu klik Delete.

    4. Di bagian kunci Pra-bagi pastikan bahwa kunci baru menampilkan Status kunci yang Aktif, sedang digunakan dan bahwa kunci yang ingin Anda hapus tidak lagi terdaftar.

    gcloud

    1. Jalankan perintah berikut:

      gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME

      Ganti kode berikut:

      • INTERCONNECT_CONNECTION_NAME: nama koneksi Cloud Interconnect Anda
      • KEY_NAME: nama kunci Anda.

    2. Untuk memastikan bahwa Anda telah menghapus kunci yang benar, jalankan perintah berikut:

      gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

      Output-nya mirip dengan yang berikut ini:

      preSharedKeys:
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

Apa langkah selanjutnya?