Cifrado de ExpressRoute

  • Artículo

ExpressRoute admite un par de tecnologías de cifrado para garantizar la confidencialidad y la integridad de los datos que atraviesan su red y la red de Microsoft. De forma predeterminada, el tráfico a través de una conexión de ExpressRoute no está cifrado.

Preguntas frecuentes sobre el cifrado punto a punto mediante MACsec

MACsec es un estándar IEEE. Cifra los datos en el nivel de Media Access Control (MAC) o Network Layer 2. Puede usar MACsec para cifrar los vínculos físicos entre los dispositivos de red y los dispositivos de red de Microsoft cuando se conecte a Microsoft a través de ExpressRoute Direct. De forma predeterminada, MACsec está deshabilitado en los puertos de ExpressRoute Direct. Traiga su propia clave de MACsec para el cifrado y almacénela en Azure Key Vault. Decida cuándo desea rotar la clave.

¿Puedo habilitar las directivas de firewall de Azure Key Vault al almacenar claves de MACsec?

Sí, ExpressRoute es un servicio de Microsoft de confianza. Puede configurar directivas de firewall de Azure Key Vault y permitir que los servicios de confianza eviten el firewall. Para más información, vea Configuración de firewalls y redes virtuales de Azure Key Vault.

¿Puedo habilitar MACsec en mi circuito ExpressRoute aprovisionado por un proveedor de ExpressRoute?

No. MACsec cifra todo el tráfico de un vínculo físico con una clave que pertenece a una entidad (por ejemplo, un cliente). Por tanto, solo está disponible en ExpressRoute Direct.

¿Puedo cifrar algunos circuitos ExpressRoute en mis puertos de ExpressRoute Direct y dejar otros circuitos en los mismos puertos sin cifrar?

No. Una vez que MACsec está habilitado, se cifra todo el tráfico de control de red, por ejemplo, el tráfico de datos de BGP y el tráfico de datos de cliente.

Al habilitar o deshabilitar MACsec o actualizar la clave de MACsec, ¿pierde mi red del entorno local la conectividad con Microsoft a través de ExpressRoute?

Sí. Para la configuración de MACsec, solo se admite el modo de clave previamente compartida. Significa que debe actualizar la clave en sus dispositivos y en los de Microsoft (a través de nuestra API). Este cambio no es atómico, por lo que perderá la conectividad cuando haya una discrepancia de claves entre los dos lados. Se recomienda encarecidamente programar una ventana de mantenimiento para el cambio de configuración. Para minimizar el tiempo de inactividad, sugerimos que actualice la configuración en un vínculo de ExpressRoute Direct a la vez después de cambiar el tráfico de red al otro vínculo.

¿Continúa el flujo del tráfico si hay una discrepancia en la clave MACsec entre mis dispositivos y los de Microsoft?

No. Si MACsec se configura y se produce una discrepancia en la clave, se pierde la conectividad con Microsoft. El tráfico no se revertirá a una conexión no cifrada, con lo que se exponen los datos.

¿Al habilitarse MACsec en ExpressRoute Direct se degrada el rendimiento de la red?

El cifrado y descifrado de MACsec se produce en el hardware de los enrutadores que usamos. No hay ninguna degradación del rendimiento en nuestro lado. Sin embargo, debe consultar al proveedor de la red los dispositivos que usa y comprobar si MACsec tiene alguna implicación en su rendimiento.

¿Qué conjuntos de cifrado se admiten para el cifrado?

Se admiten los siguientes cifrados estándar:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

¿ExpressRoute Direct MACsec admite el identificador de canal seguro (SCI)?

Sí, puede establecer el Identificador de canal seguro (SCI) en los puertos de ExpressRoute Direct. Para obtener más información, consulte Configuración de MACsec.

Preguntas frecuentes sobre el cifrado de un extremo a otro de IPsec

IPsec es un estándar de IETF. Cifra los datos en el nivel Protocolo de Internet (IP) o Capa 3 de red. Puede usar IPsec para cifrar una conexión de un extremo a otro entre la red local y la red virtual en Azure.

¿Puedo habilitar IPsec además de MACsec en mis puertos de ExpressRoute Direct?

Sí. MACsec protege las conexiones físicas entre el usuario y Microsoft. IPsec protege la conexión de un extremo a otro entre el usuario y las redes virtuales en Azure. Puede habilitarlos de forma independiente.

¿Puedo usar la puerta de enlace de Azure VPN para configurar el túnel IPsec a través de Emparejamiento privado de Azure?

Sí. Si adopta Azure Virtual WAN, puede seguir los pasos descritos en VPN a través de ExpressRoute para Virtual WAN para cifrar la conexión de un extremo a otro. Si tiene una red virtual de Azure normal, puede seguir conexión VPN de sitio a sitio a través del emparejamiento privado para establecer un túnel IPsec entre Azure VPN Gateway y la puerta de enlace de VPN local.

¿Cuál es el rendimiento que se obtendría después de habilitar IPsec en mi conexión de ExpressRoute?

Si se usa Azure VPN Gateway, revise estos números de rendimiento para ver si coinciden con el rendimiento esperado. Si se usa una puerta de enlace de VPN de terceros, consulte con el proveedor de sus cifras de rendimiento.

Pasos siguientes