Cloud VPN 암호화 변경사항

Cloud VPN은 기본적인 보안을 강화하기 위해 Cloud VPN이 더 안전한 암호화 알고리즘을 선호하도록 IKE 암호화의 기본 순서에 대한 변경사항을 출시합니다.

또한 Google은 DH 알고리즘 그룹 22에 대한 지원을 중단합니다. 자세한 내용은 지원 중단된 구성을 참조하세요.

암호화 알고리즘의 새 기본 순서에 따라 새로운 암호화 선택 및 키 갱신이 발생하는 경우 이러한 변경사항으로 인해 Cloud VPN 연결의 트래픽이 중단될 수 있습니다.

이 문서의 나머지 부분에서는 VPN 암호화 변경사항을 계획하고 구현하는 데 도움이 됩니다.

순서 수정

Cloud VPN이 VPN 연결을 시작하면 지원되는 암호화 테이블의 순서를 사용하여 Cloud VPN 문서에 설명된 대로 암호화를 선택합니다.

현재의 암호화 순서는 보안성을 기준으로 하지 않습니다. 보안 수준이 낮은 일부 알고리즘이 더 안전한 보안 알고리즘보다 먼저 나열됩니다. Cloud VPN 암호화 변경사항이 구현된 후에는 Cloud VPN 알고리즘 환경설정이 변경되어 보다 안전한 암호화 알고리즘이 선호됩니다. 암호화 순서 수정은 모든 Cloud VPN 게이트웨이에 점진적으로 출시될 계획입니다.

다음 표에서는 기존의 IKEv2 DH 알고리즘 순서와 새로운 순서를 보여줍니다.

기존 IKEv2 DH 알고리즘 순서 새로운 IKEv2 DH 알고리즘 순서
MODP_2048_BIT CURVE_25519
MODP_2048_224 ECP_256_BIT
MODP_2048_256 ECP_384_BIT
MODP_1536_BIT ECP_521_BIT
MODP_3072_BIT MODP_3072_BIT
MODP_4096_BIT MODP_4096_BIT
MODP_8192_BIT MODP_6144_BIT
MODP_1024_BIT MODP_8192_BIT
MODP_1024_160 MODP_2048_BIT
ECP_256_BIT MODP_2048_224
ECP_384_BIT MODP_2048_256
ECP_521_BIT MODP_1536_BIT
CURVE_25519 MODP_1024_BIT

다음 표는 기존 IKEv2 의사 랜덤 함수 알고리즘과 새로운 순서를 보여줍니다.

기존 IKEv2 의사 랜덤 함수 알고리즘 순서 새로운 IKEv2 의사 랜덤 함수 알고리즘 순서
PRF_AES128_XCBC PRF_HMAC_SHA2_256
PRF_AES128_CMAC PRF_HMAC_SHA2_384
PRF_HMAC_SHA1 PRF_HMAC_SHA2_512
PRF_HMAC_MD5 PRF_HMAC_SHA1
PRF_HMAC_SHA2_256 PRF_HMAC_MD5
PRF_HMAC_SHA2_384 PRF_AES128_CMAC
PRF_HMAC_SHA2_512 PRF_AES128_XCBC

다음 표에서는 기존의 무결성 알고리즘 순서와 새로운 순서를 보여줍니다.

기존 무결성 알고리즘 순서 새로운 무결성 알고리즘 순서
AUTH_HMAC_SHA2_256_128 AUTH_HMAC_SHA2_256_128
AUTH_HMAC_SHA2_384_192 AUTH_HMAC_SHA2_384_192
AUTH_HMAC_SHA2_512_256 AUTH_HMAC_SHA2_512_256
AUTH_HMAC_MD5_96 AUTH_HMAC_SHA1_96
AUTH_HMAC_SHA1_96 AUTH_HMAC_MD5_96

다음 표에서는 기존의 암호화 알고리즘 순서와 새로운 알고리즘 순서를 보여줍니다.

기존 암호화 알고리즘 순서 새로운 암호화 알고리즘 순서

ENCR_AES_CBC, 128

ENCR_AES_CBC, 128

ENCR_AES_CBC, 192

ENCR_AES_CBC, 256

ENCR_AES_CBC, 256

ENCR_AES_CBC, 192

새로운 암호화 최대 전송 단위(MTU)로 인해 변경사항이 구현되면 Cloud VPN 연결에서 중단된 트래픽이 발생할 수 있습니다. 특히 피어 기기가 이전과 다른 알고리즘을 선택하면 암호화된 ESP 패킷의 최대 페이로드 크기가 줄어들어 트래픽 중단이 발생할 수 있습니다. 트래픽 중단 방지에 대한 자세한 내용은 권장사항을 참조하세요.

Cloud VPN 페이로드 MTU는 선택된 암호화에 따라 달라집니다. 잠재적인 중단은 전체 페이로드 용량을 사용하는 트래픽에만 영향을 줍니다. 네트워크가 새로운 최대 Cloud VPN 페이로드 MTU에 적응할 때까지는 중단이 발생하더라도 일시적일 것으로 예상됩니다.

지원 중단된 구성

Cloud VPN은 Diffie-Hellman(DH) 알고리즘 그룹 22에 대한 지원을 중단합니다. RFC 8247에 게시된 대로 DH 그룹 22는 더 이상 강력하고 안전한 알고리즘으로 간주되지 않습니다.

현재 연결에서 DH 알고리즘 그룹 22를 사용하는 경우 변경사항이 적용되면 Cloud VPN 연결에 트래픽 중단이 발생합니다.

지원되는 구성

Cloud VPN은 이전에 DH 알고리즘 그룹 19, 20, 21에 대한 지원이 추가되었습니다.

DH 알고리즘 그룹 19, 20, 21의 알고리즘을 사용하려면 변경사항이 적용된 후 알고리즘을 제안하고 수락하도록 피어 VPN 게이트웨이를 구성할 수 있습니다. 하지만 이렇게 변경하면 Cloud VPN 연결을 통한 트래픽이 중단될 수 있습니다.

권장사항

DH 그룹 22를 적용하지 않으며 MTU 변경 중에 잠재적, 일시적 트래픽 중단을 감수할 수 있다면 추가 조치는 필요하지 않습니다.

트래픽 중단을 방지하려면 피어 VPN 게이트웨이에서 각 암호화 역할에 지원되는 암호화를 하나만 제안하고 수락하도록 구성하는 것이 좋습니다. VPN 게이트웨이에서 각 암호화 역할에 지원되는 암호화를 하나만 제안하고 수락하는 경우에는 Google의 새로운 암호화 알고리즘 제안 순서에 영향을 받지 않습니다.

이 변경 후에는 Cloud VPN에서 기존 터널에 대해 DH 그룹 22가 더 이상 지원되지 않습니다. 암호화 알고리즘 제안 집합에 지원되는 다른 DH 그룹이 포함되어 있지 않으면 라우터와 Cloud VPN이 VPN 터널을 설정할 수 없습니다.

MTU에 대한 자세한 내용은 MTU 고려사항을 참조하세요.

결제 변경사항

Cloud VPN 암호화 변경사항에 대한 결제 변경사항은 없습니다.

지원 채널

질문이 있거나 도움이 필요한 경우 Google Cloud 지원팀에 문의하세요.