Configurar MACsec

Nesta página, descrevemos como configurar o MACsec para o Cloud Interconnect.

Antes de ativar e usar o MACsec para o Cloud Interconnect, você precisa criar uma ou mais chaves pré-compartilhadas e configurar o roteador local para usá-las. O roteador e o roteador de borda do Google usam as chaves pré-compartilhadas para criptografar o tráfego que transita entre os roteadores.

Antes de começar

Para receber as permissões necessárias para recuperar chaves MACsec, peça ao administrador para conceder a você o papel de Administrador da rede do Compute (roles/compute.networkAdmin) do IAM no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Se você optar por usar papéis personalizados, verifique se o papel personalizado para administrar o MACsec para o Cloud Interconnect inclui a permissão compute.interconnects.getMacsecConfig do IAM.

Verifique se o Cloud Interconnect é compatível com MACsec

Use uma das opções a seguir para verificar se uma conexão atual do Cloud Interconnect é compatível com MACsec. Se for, pule para Criar chaves pré-compartilhadas.

Console

  1. No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

    Acessar Conexões físicas

  2. Clique no nome da conexão que você quer inspecionar.

  3. Clique na guia MACsec.

    As informações do MACsec são exibidas. Se a conexão do Cloud Interconnect for compatível com MACsec e não estiver configurada, a configuração do MACsec exibirá Desativado. Se sua conexão não oferecer suporte a MACsec, o botão Ativar não será acionável e, ao passar o cursor sobre o botão, aparecerá a mensagem "Sua interconexão não oferece suporte ao MACsec. Você precisa de uma porta compatível com MACsec."

gcloud

Execute este comando:

gcloud compute interconnects describe INTERCONNECT_CONNECTION_NAME

Substitua INTERCONNECT_CONNECTION_NAME pelo nome da sua conexão do Cloud Interconnect.

O resultado é semelhante à seguinte amostra: As conexões compatíveis com MACsec exibem o seguinte:

  • Para links de 10 GB: linkType: LINK_TYPE_ETHERNET_10G_LR e availableFeatures: IF_MACSEC
  • Para links de 100 GB: linkType: LINK_TYPE_ETHERNET_100G_LR; todos os links de 100 GB são compatíveis com MACsec
adminEnabled: true
availableFeatures:
- IF_MACSEC
circuitInfos:
- customerDemarcId: fake-peer-demarc-0
  googleCircuitId: LOOP-0
  googleDemarcId: fake-local-demarc-0
creationTimestamp: '2021-10-05T03:39:33.888-07:00'
customerName: Fake Company
description: something important
googleReferenceId: '123456789'
id: '12345678987654321'
interconnectAttachments:
- https://www.googleapis.com/compute/v1/projects/my-project1/regions/us-central1/interconnectAttachments/interconnect-123456-987654321-0
interconnectType: IT_PRIVATE
kind: compute#interconnect
labelFingerprint: 12H17262736_
linkType: LINK_TYPE_ETHERNET_10G_LR
location: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnectLocations/cbf-zone2-65012
macsecEnabled: false
macsecPort: REQUESTED
name: INTERCONNECT_CONNECTION_NAME
operationalStatus: OS_ACTIVE
provisionedLinkCount: 1
requestedLinkCount: 1
selfLink: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/INTERCONNECT_CONNECTION_NAME
selfLinkWithId: https://www.googleapis.com/compute/v1/projects/my-project1/global/interconnects/12345678987654321
state: ACTIVE

Os itens a seguir especificam a configuração MACsec da conexão do Cloud Interconnect:

  • availableFeatures: recurso MACsec na conexão do Cloud Interconnect. Esse parâmetro é mostrado apenas para conexões de 10 GB do Cloud Interconnect, porque conexões de 100 GB do Cloud Interconnect são compatíveis com MACsec por padrão.

  • macsecEnabled: status MACsec para o Cloud Interconnect neste link. O valor será "false" até você ativar o MACsec na interconexão.

Solicitar uma conexão do Cloud Interconnect habilitada para MACsec

Uma conexão do Cloud Interconnect de 100 GB é compatível com MACsec por padrão. No entanto, uma conexão de 10 GB não é compatível com MACsec por padrão. Se a conexão atual não for compatível com MACsec, será necessário solicitar uma nova conexão antes de continuar.

Selecione uma das seguintes opções:

Console

  1. No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

    Acessar Conexões físicas

  2. Clique em Configurar conexão física.

  3. Selecione Interconexão dedicada e clique em Continuar.

  4. Selecione Solicitar nova Interconexão dedicada e clique em Continuar.

  5. Especifique os detalhes da conexão:

    • Nome: um nome para a conexão. Esse nome é exibido no console do Google Cloud e é usado pela Google Cloud CLI para fazer referência à conexão, como my-interconnect.

    • Local do Google Cloud: o local físico em que a conexão é criada. A rede local precisa encontrar a rede do Google Cloud neste local. No menu suspenso Localização geográfica, limite a lista de locais disponíveis por área geográfica.

    • A coluna Suporte de MACsec para projeto atual exibe os tamanhos de circuitos disponíveis para o MACsec para o Cloud Interconnect.

    • Capacidade: a capacidade total da interconexão, que é determinada pelo número e tamanho dos circuitos que você solicitou.

      Selecione uma das opções mostradas.

    • Solicitar uma porta com suporte a MACsec: se você estiver solicitando um link físico de 10 Gbps, selecione essa opção ao solicitar sua conexão do Cloud Interconnect para conexões compatíveis com MACsec. Se você estiver solicitando um link físico de 100 Gbps, uma porta compatível com MACsec será selecionada automaticamente e não poderá desmarcar.

      Você pode fornecer uma descrição opcional da conexão no campo Descrição. Essa descrição é para seu uso.

  6. Clique em Próxima.

  7. Se precisar de redundância, especifique os detalhes da conexão duplicada e clique em Próximo.

  8. Especifique seus dados de contato:

    • Nome da empresa: o nome da sua organização a ser incluído na procuração como a parte autorizada a solicitar uma conexão.

    • Suporte técnico: endereço de e-mail que recebe as notificações sobre a interconexão. Não é necessário inserir seu endereço. Você está incluído em todas as notificações. Só é possível especificar um endereço.

      Se você estiver criando uma conexão por meio da federação de identidade da força de trabalho, é necessário especificar um contato técnico. A federação de identidade da força de trabalho está em Visualização.

  9. Revise seu pedido. Verifique se os detalhes da conexão de interconexão dedicada e os dados de contato estão corretos. Se tudo estiver certo, clique em Fazer pedido. Caso contrário, volte e edite os dados da conexão.

  10. Na página de confirmação do pedido, revise as próximas etapas e clique em Concluído.

gcloud

O comando a seguir demonstra como solicitar uma conexão do Cloud Interconnect habilitada para MACsec em um link de 10 GB. O MACsec em conexões de 10 GB é compatível, mas você precisa entrar em contato com a equipe da sua conta do Google Cloud para permitir que seus projetos do Google Cloud criem uma conexão habilitada para MAC em links de 10 GB.

gcloud compute interconnects create INTERCONNECT_CONNECTION_NAME \
    --customer-name=CUSTOMER_NAME \
    --interconnect-type=DEDICATED \
    --link-type=LINK_TYPE_ETHERNET_10G_LR \
    --location="INTERCONNECT_CONNECTION_LOCATION" \
    --requested-link-count=LINK_COUNT \
    --requested-features=IF_MACSEC

Substitua:

  • INTERCONNECT_CONNECTION_NAME: um nome para a conexão do Cloud Interconnect;

  • CUSTOMER_NAME: o nome do cliente para a carta de autorização (LOA) que emitimos para essa conexão

  • INTERCONNECT_CONNECTION_LOCATION: um local de conexão do Cloud Interconnect listado na tabela de locais

  • LINK_COUNT: o número de conexões do Cloud Interconnect que você quer

Depois de solicitar uma conexão do Cloud Interconnect com capacidade para MACsec, uma conexão do Cloud Interconnect é provisionada para você.

Para mais informações sobre provisionamento, consulte a Visão geral do provisionamento da Interconexão dedicada ou a Visão geral do provisionamento da Interconexão por parceiro.

Criar chaves pré-compartilhadas

Depois que a conexão do Cloud Interconnect com capacidade de MACsec for provisionada, crie as chaves pré-compartilhadas que a MACsec usa para criptografar o tráfego que transita entre os roteadores de borda do Google e seu roteador. A criação de chaves não ativa o MAC. Para ativá-lo, configure o roteador local e ative-o.

O MACsec para o Cloud Interconnect exige que você tenha pelo menos uma chave com um horário de início atual ou anterior. As chaves que você cria para o MACsec para o Cloud Interconnect têm validade infinita. É possível ter no máximo cinco chaves por conexão.

Console

  1. No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

    Acessar Conexões físicas

  2. Selecione a conexão que você quer modificar.

  3. Na guia MACsec, acesse a seção Chaves pré-compartilhadas e clique em Chaves pré-compartilhadas gerenciadas.

  4. Especifique os detalhes da chave pré-compartilhada:

    • Nome da chave 1: um nome para a chave. Esse nome é exibido no console do Google Cloud e é usado pela CLI gcloud para fazer referência à chave, como psk-1.

    • Horário de início: é o horário em que a chave passa a estar válida.

  5. Para adicionar outras chaves pré-compartilhadas, clique em Adicionar chave. Chaves pré-compartilhadas consecutivas precisam ter horários de início com pelo menos seis horas de intervalo.

  6. Clique em Enviar.

gcloud

gcloud compute interconnects macsec add-key INTERCONNECT_CONNECTION_NAME \
     --key-name=KEY_NAME --start-time="START_TIME"

Substitua:

  • KEY_NAME: um nome para a chave.
  • START_TIME: o horário de validade dessa chave no formato ISO 8601. Por exemplo, 2023-07-01T21:00:01.000Z.

Receber chaves pré-compartilhadas

Console

  1. No console do Google Cloud, acesse a guia Conexões físicas do Cloud Interconnect.

    Acessar Conexões físicas

  2. Selecione a conexão que você quer ver.

  3. Na guia MACsec, acesse a seção Chaves pré-compartilhadas, encontre o nome da chave pré-compartilhada e clique em Visualizar. Uma janela exibe a chave de associação de conectividade (CAK) e o nome da chave de associação de conectividade (CKN). Clique em Copiar ao lado de um dos valores para copiá-los para a área de transferência do computador.

  4. Clique em Fechar.

gcloud

Execute este comando:

gcloud compute interconnects macsec get-config INTERCONNECT_CONNECTION_NAME

O resultado será assim:

preSharedKeys:
- cak: 0123456789abcdef...0123456789abcdef
  ckn: 0101016789abcdef...0123456789abcdef
  name: key1
  startTime: 2023-07-01T21:00:01.000Z

Anote a chave de associação de conectividade (CAK, na sigla em inglês) e o nome da chave de associação de conectividade (CKN, na sigla em inglês) da configuração do roteador.

Se você receber um erro de permissão negada, verifique se tem as permissões corretas. Para mais informações, consulte Antes de começar.

Configurar o roteador local

Consulte a documentação do fornecedor do roteador para definir os seguintes valores no roteador para compatibilidade com os roteadores do Google.

Neste momento, o MACsec não está ativado para o Google. Para evitar uma interrupção no tráfego, não ative o MACsec no roteador ao definir esses valores.

Configuração Valor
Pacote de criptografia MACsec
  • GCM-AES-256-XPN
  • GCM-AES-256
Algoritmo criptográfico CAK AES_256_CMAC
Prioridade do servidor de chaves 15
Intervalo de rechaveamento da chave de associação segura (SAK) 28800 segundos
Compensação de confidencialidade MACsec 0
Tamanho da janela 64
Indicador do valor de verificação de integridade (ICV) sim
CAK O valor anotado anteriormente quando você tiver chaves pré-compartilhadas.
CKN O valor que você anotou anteriormente quando recebeu chaves pré-compartilhadas.
Identificador de canal seguro (SCI, na sigla em inglês) ativado

A seguir