Rotar claves MACsec

En esta página se describe cómo rotar las claves de MACsec para Cloud Interconnect.

Para rotar las claves, sigue estos pasos:

  1. Crea una clave con una fecha de inicio posterior a las claves que ya tengas.
  2. Añade la nueva clave a tu router local.
  3. Espera a que llegue la hora de inicio de la nueva clave.
  4. Comprueba que la nueva llave esté activa.
  5. Elimina la clave más antigua.

Puedes crear hasta cinco claves para compartir previamente con las horas de inicio que especifiques. Las horas de inicio de las claves deben estar en orden creciente y no pueden ser posteriores a seis horas de la hora de inicio de la clave anterior. Para rotar una clave que ya no quieras usar, elimínala.

Las claves precompartidas no caducan. Si configura más de una clave, todas deben tener una hora de inicio configurada.

Roles obligatorios

Para obtener los permisos que necesitas para recuperar las claves MACsec, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de red de Compute (roles/compute.networkAdmin) en tu proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Si decides usar roles personalizados, asegúrate de que el rol personalizado para administrar MACsec en Cloud Interconnect incluya el permiso de gestión de identidades y accesos compute.interconnects.getMacsecConfig.

Opcional: Actualizar la hora de inicio de una clave

Si tienes una clave sin hora de inicio e intentas crear una nueva, Cloud Interconnect mostrará un error. Para corregir la hora de inicio, selecciona una de las siguientes opciones para definir una hora de inicio para la clave:

Consola

  1. En la Google Cloud consola, ve a la pestaña Cloud Interconnect > Conexiones físicas.

    Ve a Conexiones físicas.

  2. Selecciona la conexión que quieras modificar.

  3. En la pestaña MACsec, vaya a la sección Claves precompartidas y, a continuación, haga clic en Claves precompartidas gestionadas.

  4. En el campo Hora de inicio, selecciona o introduce una nueva hora de inicio.

  5. Haz clic en Enviar.

gcloud

gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time=START_TIME

Haz los cambios siguientes:

  • INTERCONNECT_CONNECTION_NAME: el nombre de tu conexión de Cloud Interconnect
  • KEY_NAME: el nombre de la clave que se va a actualizar
  • START_TIME: hora a partir de la que esta clave es válida en formato ISO 8601. Por ejemplo, 2023-07-01T21:00:01.000Z.

Crear una clave

  1. Para añadir una clave, selecciona una de las siguientes opciones:

    Consola

    1. En la Google Cloud consola, ve a la pestaña Cloud Interconnect > Conexiones físicas.

      Ve a Conexiones físicas.

    2. Selecciona la conexión que quieras modificar.

    3. En la pestaña MACsec, vaya a la sección Claves precompartidas y, a continuación, haga clic en Claves precompartidas gestionadas.

    4. Haz clic en Añadir clave.

    5. Especifica los detalles de la clave precompartida:

      • Nombre de la clave: el nombre de la clave. Este nombre se muestra en la consola y lo usa gcloud CLI para hacer referencia a la clave, como psk-2.Google Cloud

      • Hora de inicio: la hora a partir de la cual es válida la clave. Asegúrate de que la hora de inicio de la nueva clave compartida previamente sea al menos seis horas posterior a la hora de inicio de la clave anterior.

    6. Para añadir más claves precompartidas, haz clic en Añadir clave. Las claves precompartidas consecutivas deben tener horas de inicio con al menos seis horas de diferencia.

    7. Haz clic en Enviar.

    gcloud

    gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time="START_TIME"

    Haz los cambios siguientes:

    • INTERCONNECT_CONNECTION_NAME: el nombre de tu conexión de Cloud Interconnect
    • KEY_NAME: nombre de la clave
    • START_TIME: la hora a partir de la que esta clave es válida en formato ISO 8601. Por ejemplo, 2023-07-01T21:00:01.000Z.

    Como práctica recomendada, te aconsejamos que definas una hora de inicio para todas las claves que crees para MACsec para Cloud Interconnect.

  2. Para ver una lista de las claves y anotar la clave de asociación de conectividad (CAK) y el nombre de la clave de asociación de conectividad (CKN) de la nueva clave, selecciona una de las siguientes opciones:

    Consola

    1. En la sección Claves precompartidas, busque el nombre de la clave precompartida que haya añadido y, a continuación, haga clic en Ver. En una ventana se muestra la clave de asociación de conectividad (CAK) y el nombre de la clave de asociación de conectividad (CKN). Haz clic en Copiar junto a cualquiera de los valores para copiarlo en el portapapeles de tu ordenador.

    2. Haz clic en Cerrar.

    gcloud

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    El resultado debería ser similar al siguiente:

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    En este ejemplo, key2 es la clave que se ha añadido.

  3. Añada los valores de hora de inicio, CAK y CKN de la nueva clave a la configuración del router local.

Los routers perimetrales de Google usan la clave con la hora de inicio más reciente y cambian automáticamente a la siguiente clave a medida que pasa el tiempo. Todas las claves configuradas tienen tiempos de vencimiento infinitos. Esto significa que, para completar la rotación de una clave, debes quitar la clave antigua que no quieras usar.

Verificar la clave activa

Este agente debe seguir estos pasos:

  1. Para ver las claves, selecciona una de las siguientes opciones:

    Consola

    1. En la Google Cloud consola, ve a la pestaña Cloud Interconnect > Conexiones físicas.

      Ve a Conexiones físicas.

    2. Selecciona la conexión que quieras ver.

    3. En la pestaña MACsec, la sección Claves precompartidas muestra todas las claves precompartidas de esta conexión.

    gcloud

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

    El resultado debería ser similar al siguiente:

    preSharedKeys:
- name: key1
  ckn: 0101010189abcdef...0123456789abcdef
  cak: 0123456789abcdef...0123456789abcdef
  startTime: 2023-07-01T12:12:12Z
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

    Anota el valor de CKN de la clave que aparece antes de la última clave.

  2. Para verificar que la clave activa aparece en la lista antes de eliminar la antigua, selecciona una de las siguientes opciones:

    Consola

    • En la sección Pre-shared (Precompartidas), comprueba que la nueva clave tenga el estado Active, in use (Activa, en uso).

    gcloud

    gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME

    El resultado es similar al siguiente. Busca macsec:

    bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
links:
- circuitId: LOOP-0
  googleDemarc: fake-local-demarc-0
  lacpStatus:
    googleSystemId: '00:11:22:33:44:55'
    neighborSystemId: '55:44:33:22:11:00'
    state: ACTIVE
  macsec:
    ckn: 0202020289abcdef...0123456789abcdef
    operational: true
  operationalStatus: LINK_OPERATIONAL_STATUS_UP
  receivingOpticalPower:
    state: OK
    value: -2.49
  transmittingOpticalPower:
    state: OK
    value: -0.88
macAddress: 00:11:22:33:44:55

    El comando gcloud compute interconnects get-diagnostics muestra el valor de CKN de la clave activa. Si tienes configurada más de una clave, se seleccionará como clave activa la que tenga la hora de inicio más reciente. Los routers de borde de Google rechazan cualquier sesión MACsec nueva que intente usar las claves antiguas.

Quita la llave antigua

Como medida de seguridad, MACsec para Cloud Interconnect no te permite eliminar la última clave activa.

Para quitar la clave antigua, sigue estos pasos:

  1. Elimina la clave antigua de la configuración de tu router local. De esta forma, te aseguras de que tu router local no utilice la clave antigua antes de eliminarla de Cloud Interconnect.

  2. Para quitar la clave antigua de la configuración de tu conexión Cloud Interconnect, selecciona una de las siguientes opciones:

    Consola

    1. En la Google Cloud consola, ve a la pestaña Cloud Interconnect > Conexiones físicas.

      Ve a Conexiones físicas.

    2. Selecciona la conexión que quieras ver.

    3. En la pestaña MACsec, vaya a Claves precompartidas, seleccione la clave que quiera eliminar y, a continuación, haga clic en Eliminar.

    4. En la sección Claves precompartidas, comprueba que la nueva clave tenga el Estado de la clave Activa, en uso y que la clave que querías eliminar ya no aparezca en la lista.

    gcloud

    1. Ejecuta el siguiente comando:

      gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME

      Haz los cambios siguientes:

      • INTERCONNECT_CONNECTION_NAME: el nombre de tu conexión de Cloud Interconnect
      • KEY_NAME: el nombre de tu clave

    2. Para comprobar que has eliminado la clave correcta, ejecuta el siguiente comando:

      gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

      El resultado debería ser similar al siguiente:

      preSharedKeys:
- name: key2
  ckn: 0202020289abcdef...0123456789abcdef
  cak: 0123456889abcdef...0123456789abcdef
  startTime: 2023-08-01T12:12:12Z

Siguientes pasos