Rota claves MACsec

En esta página, se describe cómo rotar claves para MACsec para Cloud Interconnect.

Para rotar las claves, completa lo siguiente:

  1. Crea una clave nueva con una fecha de inicio posterior a la existente.
  2. Agrega la clave nueva a tu router local.
  3. Espera la hora de inicio de la clave nueva.
  4. Verifica que la clave nueva esté activa.
  5. Borra la clave más antigua.

Puedes crear hasta cinco claves precompartidas con las horas de inicio que especifiques. Las horas de inicio de las claves deben estar en orden creciente y no dentro de las seis horas posteriores a la hora de inicio de la clave anterior. Para rotar una clave que ya no deseas usar, debes quitarla.

Las claves precompartidas no vencen. Cuando configuras más de una clave, todas las claves deben tener configurada una hora de inicio.

Roles obligatorios

Para obtener los permisos que necesitas para recuperar claves MACsec, pídele a tu administrador que te otorgue el rol de IAM de administrador de red de Compute (roles/compute.networkAdmin) en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Si eliges usar funciones personalizadas, asegúrate de que tu función personalizada para administrar MACsec para Cloud Interconnect incluya el compute.interconnects.getMacsecConfig permiso de IAM.

Opcional: actualiza la hora de inicio de la clave existente

Si tienes una clave sin una hora de inicio y, luego, intentas crear una clave nueva, Cloud Interconnect mostrará un error. A fin de corregir la hora de inicio, selecciona una de las siguientes opciones a fin de establecer una hora de inicio para la clave existente:

Console

  1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

    Ir a Conexiones físicas

  2. Selecciona la conexión que deseas modificar.

  3. En la pestaña MACsec, ve a la sección Claves precompartidas y haz clic en Claves administradas y precompartidas.

  4. En el campo Hora de inicio, selecciona o ingresa una nueva hora de inicio.

  5. Haz clic en Enviar.

gcloud

gcloud compute interconnects macsec update-key INTERCONNECT_CONNECTION_NAME \
    --key-name=KEY_NAME \
    --start-time=START_TIME

Reemplaza lo siguiente:

  • INTERCONNECT_CONNECTION_NAME: el nombre de tu conexión de Cloud Interconnect
  • KEY_NAME: es el nombre de la clave que se actualizará.
  • START_TIME: La hora a la que esta clave es válida en el formato ISO 8601, por ejemplo, 2023-07-01T21:00:01.000Z

Crear una clave nueva

  1. Para agregar una clave nueva, selecciona una de las siguientes opciones:

    Console

    1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

      Ir a Conexiones físicas

    2. Selecciona la conexión que deseas modificar.

    3. En la pestaña MACsec, ve a la sección Claves precompartidas y haz clic en Claves administradas y precompartidas.

    4. Haga clic en Agregar clave.

    5. Especifica los detalles de la clave precompartida:

      • Nombre de la clave: es un nombre para la clave. Este nombre se muestra en la consola de Google Cloud y gcloud CLI lo usa para hacer referencia a la clave, como psk-2.

      • Hora de inicio: la hora desde la cual la clave es válida. Asegúrate de que la hora de inicio de la clave precompartida sea de al menos seis horas después de la hora de inicio de la clave anterior.

    6. Para agregar claves precompartidas adicionales, haz clic en Agregar clave. Las claves consecutivas precompartidas deben tener horas de inicio con al menos seis horas de diferencia.

    7. Haz clic en Enviar.

    gcloud

    gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
        --key-name=KEY_NAME \
        --start-time="START_TIME"
    

    Reemplaza lo siguiente:

    • INTERCONNECT_CONNECTION_NAME: el nombre de tu conexión de Cloud Interconnect
    • KEY_NAME: un nombre para la clave
    • START_TIME: La hora a la que esta clave es válida en el formato ISO 8601, por ejemplo, 2023-07-01T21:00:01.000Z

    Como práctica recomendada, te recomendamos que establezcas una hora de inicio para todas las claves que crees para MACsec para Cloud Interconnect.

  2. Para enumerar las claves existentes y anotar la clave de asociación de conectividad de la clave nueva (CAK) y el nombre de la clave de asociación de conectividad (CKN), selecciona una de las siguientes opciones:

    Console

    1. En la sección Claves precompartidas, busca el nombre de la clave precompartida que agregaste y, luego, haz clic en Ver. Una ventana muestra la clave de asociación de conectividad (CAK) y el nombre de la clave de asociación de conectividad (CKN). Haz clic en Copiar junto a cualquiera de los valores para copiar el valor en el portapapeles de tu computadora.

    2. Haz clic en Cerrar.

    gcloud

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
    

    El resultado es similar a este:

    preSharedKeys:
    - name: key1
      ckn: 0101010189abcdef...0123456789abcdef
      cak: 0123456789abcdef...0123456789abcdef
      startTime: 2023-07-01T12:12:12Z
    - name: key2
      ckn: 0202020289abcdef...0123456789abcdef
      cak: 0123456889abcdef...0123456789abcdef
      startTime: 2023-08-01T12:12:12Z
    

    En este ejemplo, key2 es la clave recién agregada.

  3. Agrega los valores de hora de inicio, CAK y CKN de la clave nueva a la configuración de tu router local.

Los routers perimetrales de Google usan la clave con la hora de inicio más reciente y cambian automáticamente a la siguiente clave a medida que avanza el tiempo. Todas las claves configuradas tienen tiempos de vencimiento infinitos. Esto significa que para completar una rotación de claves, debes quitar la clave anterior que no deseas.

Verifica la clave activa

Completa los siguientes pasos:

  1. Para enumerar las claves existentes, selecciona una de las siguientes opciones:

    Console

    1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

      Ir a Conexiones físicas

    2. Selecciona la conexión que deseas ver.

    3. En la pestaña MACsec, la sección Claves compartidas previamente enumera todas las claves precompartidas para esta conexión.

    gcloud

    gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
    

    El resultado es similar a este:

    preSharedKeys:
    - name: key1
      ckn: 0101010189abcdef...0123456789abcdef
      cak: 0123456789abcdef...0123456789abcdef
      startTime: 2023-07-01T12:12:12Z
    - name: key2
      ckn: 0202020289abcdef...0123456789abcdef
      cak: 0123456889abcdef...0123456789abcdef
      startTime: 2023-08-01T12:12:12Z
    

    Toma nota del valor de CKN de la clave que aparece antes de la última clave.

  2. Para verificar que la clave activa se muestre antes de quitar la clave anterior, selecciona una de las siguientes opciones:

    Console

    • En la sección Claves precompartidas, verifica que la clave nueva muestre un Estado de clave de Activo, en uso.

    gcloud

    gcloud compute interconnects get-diagnostics INTERCONNECT_CONNECTION_NAME
    

    El resultado es similar al siguiente; busca macsec:

    bundleAggregationType: BUNDLE_AGGREGATION_TYPE_STATIC
    bundleOperationalStatus: BUNDLE_OPERATIONAL_STATUS_UP
    links:
    - circuitId: LOOP-0
      googleDemarc: fake-local-demarc-0
      lacpStatus:
        googleSystemId: '00:11:22:33:44:55'
        neighborSystemId: '55:44:33:22:11:00'
        state: ACTIVE
      macsec:
        ckn: 0202020289abcdef...0123456789abcdef
        operational: true
      operationalStatus: LINK_OPERATIONAL_STATUS_UP
      receivingOpticalPower:
        state: OK
        value: -2.49
      transmittingOpticalPower:
        state: OK
        value: -0.88
    macAddress: 00:11:22:33:44:55
    

    El comando gcloud compute interconnects get-diagnostics muestra el valor de CKN de la clave activa. Si tienes más de una clave configurada, se selecciona la clave con la hora de inicio más reciente como clave activa. Los routers perimetrales de Google rechazan todas las sesiones de MACsec nuevas que intenten usar las claves anteriores.

Quita la clave antigua

Como medida de seguridad, MACsec para Cloud Interconnect evita que quites la última clave activa.

Para quitar la clave anterior, completa los siguientes pasos:

  1. Quita la clave antigua de la configuración de tu router local. Esto garantiza que tu router local no use la clave anterior antes de borrar la anterior de Cloud Interconnect.

  2. Para quitar la clave antigua de la configuración de conexión de Cloud Interconnect, selecciona una de las siguientes opciones:

    Console

    1. En la consola de Google Cloud, ve a la pestaña Conexiones físicas de Cloud Interconnect.

      Ir a Conexiones físicas

    2. Selecciona la conexión que deseas ver.

    3. En la pestaña MACsec, ve a Claves precompartidas, selecciona la clave que deseas borrar y, luego, haz clic en Borrar.

    4. En la sección Claves precompartidas, verifica que la clave nueva muestre un Estado de clave de Activa, en uso y que la clave que querías borrar ya no aparezca en la lista.

    gcloud

    1. Ejecuta el comando siguiente:

      gcloud compute interconnects macsec remove-key INTERCONNECT_CONNECTION_NAME \
          --key-name=KEY_NAME
      

      Reemplaza lo siguiente:

      • INTERCONNECT_CONNECTION_NAME: el nombre de tu conexión de Cloud Interconnect
      • KEY_NAME: el nombre de la clave
    2. Para verificar que quitaste la clave correcta, ejecuta el siguiente comando:

      gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME
      

      El resultado es similar a este:

      preSharedKeys:
      - name: key2
        ckn: 0202020289abcdef...0123456789abcdef
        cak: 0123456889abcdef...0123456789abcdef
        startTime: 2023-08-01T12:12:12Z
      

Próximos pasos