향상된 보안 기본값을 제공하기 위해 Cloud VPN은 기본 IKE 암호화 순서로 변경사항을 출시하므로 Cloud VPN이 먼저 더 안전한 암호화 알고리즘을 선호합니다.
또한 Google에서는 DH 알고리즘 그룹 22에 대한 지원을 중단하고 있습니다. 자세한 내용은 지원 중단된 구성을 참조하세요.
암호화 알고리즘의 새로운 기본 순서로 인해 새 암호화 선택 및 키 갱신이 발생하면 이러한 변경사항으로 인해 Cloud VPN 연결의 트래픽이 중단될 수 있습니다.
이 문서의 나머지 부분에서는 VPN 암호화 변경사항을 계획하고 구현하는 데 도움이 됩니다.
주문 수정
Cloud VPN이 VPN 연결을 시작하면 지원되는 암호화 테이블의 순서를 사용하여 Cloud VPN 문서에 설명된 대로 암호화를 선택합니다.
현재 암호화는 보안을 기준으로 정렬되지 않습니다. 보안 수준이 낮은 일부 알고리즘이 더 안전한 보안 알고리즘보다 먼저 나열됩니다. Cloud VPN 암호화 변경이 구현된 후에는 Cloud VPN 알고리즘 환경설정이 변경되므로 보다 안전한 암호화 알고리즘이 선호됩니다. 암호화 순서 수정은 모든 Cloud VPN 게이트웨이에 점진적으로 출시될 계획입니다.
다음 표는 기존 IKEv2 DH 알고리즘 순서와 새 순서를 보여줍니다.
| 기존 IKEv2 DH 알고리즘 순서 | 새로운 IKEv2 DH 알고리즘 순서 |
|---|---|
| MODP_2048_BIT | CURVE_25519 |
| MODP_2048_224 | ECP_256_BIT |
| MODP_2048_256 | ECP_384_BIT |
| MODP_1536_BIT | ECP_521_BIT |
| MODP_3072_BIT | MODP_3072_BIT |
| MODP_4096_BIT | MODP_4096_BIT |
| MODP_8192_BIT | MODP_6144_BIT |
| MODP_1024_BIT | MODP_8192_BIT |
| MODP_1024_160 | MODP_2048_BIT |
| ECP_256_BIT | MODP_2048_224 |
| ECP_384_BIT | MODP_2048_256 |
| ECP_521_BIT | MODP_1536_BIT |
| CURVE_25519 | MODP_1024_BIT |
다음 표는 기존 IKEv2 의사 랜덤 함수 알고리즘과 새로운 순서를 보여줍니다.
| 기존 IKEv2 의사 랜덤 함수 알고리즘 순서 | 새로운 IKEv2 의사 랜덤 함수 알고리즘 순서 |
|---|---|
| PRF_AES128_XCBC | PRF_HMAC_SHA2_256 |
| PRF_AES128_CMAC | PRF_HMAC_SHA2_384 |
| PRF_HMAC_SHA1 | PRF_HMAC_SHA2_512 |
| PRF_HMAC_MD5 | PRF_HMAC_SHA1 |
| PRF_HMAC_SHA2_256 | PRF_HMAC_MD5 |
| PRF_HMAC_SHA2_384 | PRF_AES128_CMAC |
| PRF_HMAC_SHA2_512 | PRF_AES128_XCBC |
다음 표는 기존 무결성 알고리즘 순서와 새 순서를 보여줍니다.
| 기존 무결성 알고리즘 순서 | 새 무결성 알고리즘 순서 |
|---|---|
| AUTH_HMAC_SHA2_256_128 | AUTH_HMAC_SHA2_256_128 |
| AUTH_HMAC_SHA2_384_192 | AUTH_HMAC_SHA2_384_192 |
| AUTH_HMAC_SHA2_512_256 | AUTH_HMAC_SHA2_512_256 |
| AUTH_HMAC_MD5_96 | AUTH_HMAC_SHA1_96 |
| AUTH_HMAC_SHA1_96 | AUTH_HMAC_MD5_96 |
다음 표에서는 기존 암호화 알고리즘 순서와 새 알고리즘 순서를 보여줍니다.
| 기존 암호화 알고리즘 순서 | 새 암호화 알고리즘 순서 |
|---|---|
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 128 |
ENCR_AES_CBC, 192 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 256 |
ENCR_AES_CBC, 192 |
새로운 암호화 최대 전송 단위(MTU)로 인해 변경사항이 구현되면 Cloud VPN 연결에서 중단된 트래픽이 발생할 수 있습니다. 특히 피어 기기가 이전과 다른 알고리즘을 선택하면 암호화된 ESP 패킷의 최대 페이로드 크기가 줄어들어 트래픽 중단이 발생할 수 있습니다. 트래픽 중단 방지에 대한 자세한 내용은 권장사항을 참조하세요.
Cloud VPN 페이로드 MTU는 선택한 암호화에 따라 달라집니다. 잠재적인 중단은 전체 페이로드 용량을 사용하는 트래픽에만 영향을 미칩니다. 네트워크가 새 최대 Cloud VPN 페이로드 MTU에 맞게 조정될 때까지 모든 중단이 일시적으로 발생할 수 있습니다.
지원 중단된 구성
Cloud VPN은 Diffie-Hellman(DH) 알고리즘 그룹 22에 대한 지원을 중단합니다. RFC 8247에 게시된 대로 DH 그룹 22는 더 이상 강력하거나 안전한 알고리즘으로 간주되지 않습니다.
현재 연결에서 DH 알고리즘 그룹 22를 사용하는 경우 변경사항이 적용되면 Cloud VPN 연결에서 트래픽 중단이 발생합니다.
지원되는 구성
Cloud VPN은 이전에 DH 알고리즘 그룹 19, 20, 21에 대한 지원이 추가되었습니다.
DH 알고리즘 그룹 19, 20, 21의 알고리즘을 사용하려면 변경사항이 적용된 후 알고리즘을 제안하고 수락하도록 피어 VPN 게이트웨이를 구성할 수 있습니다. 하지만 이렇게 변경하면 Cloud VPN 연결을 통한 트래픽이 중단될 수 있습니다.
권장사항
DH 그룹 22를 적용하지 않고 MTU 변경 중에 잠재적인 일시적인 트래픽 중단을 허용할 수 있는 경우 추가 작업이 필요하지 않습니다.
트래픽 중단을 방지하기 위해서는 각 암호화 역할에 대해 지원되는 암호화 하나만 제안하고 수락하도록 피어 VPN 게이트웨이를 구성하는 것이 좋습니다. 각 암호화 역할에 지원되는 암호화를 하나만 제안하고 허용하는 VPN 게이트웨이는 Google의 새로운 암호화 알고리즘 제안 순서에 영향을 받지 않습니다.
이 변경 후에는 기존 터널에 대해 DH 그룹 22가 Cloud VPN에서 더 이상 지원되지 않습니다. 암호화 알고리즘 제안 집합에 지원되는 다른 DH 그룹이 포함되어 있지 않으면 라우터와 Cloud VPN이 VPN 터널을 설정할 수 없습니다.
MTU에 대한 자세한 내용은 MTU 고려사항을 참조하세요.
결제 변경사항
Cloud VPN 암호화 변경사항에 대한 결제 변경사항이 없습니다.
지원 채널
질문이 있거나 도움이 필요한 경우 Google Cloud 지원팀에 문의하세요.