ExpressRoute-Verschlüsselung
ExpressRoute unterstützt eine Reihe von Verschlüsselungstechnologien, um Vertraulichkeit und Integrität der Daten zu gewährleisten, die zwischen Ihrem Netzwerk und dem Netzwerk von Microsoft übertragen werden. Standardmäßig ist der Datenverkehr über eine ExpressRoute-Verbindung nicht verschlüsselt.
Häufig gestellte Fragen zur Point-to-Point-Verschlüsselung durch MACsec
MACsec ist ein IEEE-Standard. Er verschlüsselt Daten auf der MAC-Ebene (Media Access Control) oder Netzwerkebene 2. Sie können mit MACsec die physischen Verbindungen zwischen Ihren Netzwerkgeräten und den Netzwerkgeräten von Microsoft verschlüsseln, wenn Sie über ExpressRoute Direct eine Verbindung mit Microsoft herstellen. MACsec ist standardmäßig für ExpressRoute Direct-Ports deaktiviert. Sie geben Ihren eigenen MACsec-Schlüssel für die Verschlüsselung an und speichern diesen in Azure Key Vault. Sie entscheiden, wann der Schlüssel gedreht werden soll.
Kann ich Azure Key Vault-Firewall-Richtlinien aktivieren, wenn ich MACsec-Schlüssel speichere?
Ja, ExpressRoute ist ein vertrauenswürdiger Microsoft-Dienst. Sie können die Firewall-Richtlinien von Azure Key Vault konfigurieren und vertrauenswürdigen Diensten erlauben, die Firewall zu umgehen. Weitere Informationen finden Sie unter Konfigurieren von Azure Key Vault-Firewalls und virtuellen Netzwerken.
Kann ich MACsec für meine ExpressRoute-Verbindung aktivieren, die von einem ExpressRoute-Anbieter bereitgestellt wurde?
Nein. MACsec verschlüsselt den gesamten Datenverkehr in einer physischen Verbindung mit einem Schlüssel, deren Besitzer*in eine Entität ist (z. B. ein Kunde/eine Kundin). Daher ist es ausschließlich für ExpressRoute Direct verfügbar.
Kann ich einige der ExpressRoute-Verbindungen an meinen ExpressRoute Direct-Ports verschlüsseln und andere Verbindungen an denselben Ports unverschlüsselt lassen?
Nein. Wenn MACsec aktiviert ist, werden der gesamte Netzwerkkontrolldatenverkehr (z. B. der BGP-Datenverkehr) und der Kundendatenverkehr verschlüsselt.
Wird für mein lokales Netzwerk die Verbindung mit Microsoft über ExpressRoute unterbrochen, wenn ich MACsec aktiviere/deaktiviere oder den MACsec-Schlüssel aktualisiere?
Ja. Für die MACsec-Konfiguration unterstützen wir ausschließlich den Modus „Vorinstallierter Schlüssel“. Das heißt, Sie müssen den Schlüssel sowohl auf Ihren Geräten als auch (über unsere API) auf den Geräten von Microsoft aktualisieren. Diese Änderung ist nicht atomisch, daher geht die Verbindung verloren, wenn ein Schlüsselkonflikt zwischen den beiden Seiten vorliegt. Es wird dringend empfohlen, ein Wartungsfenster für die Konfigurationsänderung einzuplanen. Zum Minimieren der Ausfallzeit empfehlen wir, die Konfiguration für jeweils einen Link von ExpressRoute Direct zu aktualisieren, nachdem Sie Ihren Netzwerkdatenverkehr auf den anderen Link umgestellt haben.
Fließt der Datenverkehr weiter, wenn ein Konflikt zwischen dem MACsec-Schlüssel auf meinen Geräten und denen von Microsoft vorliegt?
Nein. Wenn MACsec konfiguriert ist und ein Schlüsselkonflikt auftritt, geht die Verbindung mit Microsoft verloren. Anders ausgedrückt: Es erfolgt kein Fallback auf eine unverschlüsselte Verbindung, bei dem Ihre Daten offengelegt werden.
Wird durch das Aktivieren von MACsec für ExpressRoute Direct die Netzwerkleistung beeinträchtigt?
Die Verschlüsselung und Entschlüsselung von MACsec erfolgt auf Hardware auf den von uns verwendeten Routern. Auf unserer Seite gibt es keine Leistungsbeeinträchtigung. Sie sollten sich jedoch mit dem Netzwerkanbieter der von Ihnen verwendeten Geräte in Verbindung setzen und ermitteln, ob sich MACsec auf die Leistung auswirkt.
Welche Verschlüsselungssammlungen werden für die Verschlüsselung unterstützt?
Wir unterstützen die folgenden Standardverschlüsselungsverfahren:
- GCM-AES-128
- GCM-AES-256
- GCM-AES-XPN-128
- GCM-AES-XPN-256
Wird Secure Channel Identifier (SCI) von ExpressRoute Direct MACsec unterstützt?
Ja, Sie können Secure Channel Identifier (SCI) an den ExpressRoute Direct-Ports festlegen. Weitere Informationen finden Sie unter Konfigurieren von MACsec.
Häufig gestellte Fragen zur End-to-End-Verschlüsselung durch IPsec
IPsec ist ein IETF-Standard. Daten werden auf der IP-Ebene (Internet Protocol) oder auf der Netzwerkebene 3 verschlüsselt. Sie können IPsec verwenden, um eine End-to-End-Verbindung zwischen Ihrem lokalen Netzwerk und Ihrem virtuellen Netzwerk auf Azure zu verschlüsseln.
Kann ich IPsec zusätzlich zu MACsec an meinen ExpressRoute Direct-Ports aktivieren?
Ja. MACsec sichert die physischen Verbindungen zwischen Ihnen und Microsoft. IPsec sichert die End-to-End-Verbindung zwischen Ihnen und Ihren virtuellen Netzwerken in Azure. Sie können sie unabhängig voneinander aktivieren.
Kann ich das Azure-VPN-Gateway verwenden, um den IPsec-Tunnel über das private Azure-Peering einzurichten?
Ja. Wenn Sie Azure Virtual WAN einsetzen, können Sie die Schritte in VPN über ExpressRoute für Virtual WAN befolgen, um Ihre End-to-End-Verbindung zu verschlüsseln. Wenn Sie ein reguläres virtuelles Azure-Netzwerk haben, können Sie eine Site-to-Site-VPN-Verbindung über Private Peering verwenden, um einen IPsec-Tunnel zwischen dem Azure-VPN-Gateway und Ihrem lokalen VPN-Gateway aufzubauen.
Welchen Durchsatz erhalte ich nach dem Aktivieren von IPsec für meine ExpressRoute-Verbindung?
Wenn Azure VPN-Gateway verwendet wird, überprüfen Sie diese Leistungszahlen, um zu sehen, ob sie Ihrem erwarteten Durchsatz entsprechen. Wenn ein VPN-Gateway eines Drittanbieters verwendet wird, erkundigen Sie sich beim Anbieter nach dessen Leistungsdaten.
Nächste Schritte
Weitere Informationen zur IPsec-Konfiguration finden Sie unter Konfiguration von IPsec
Weitere Informationen zur MACsec-Konfiguration finden Sie unter Konfigurieren von MACsec.