Share via

Chiffrement ExpressRoute

  • Article

ExpressRoute prend en charge deux technologies de chiffrement pour garantir la confidentialité et l’intégrité des données qui transitent entre votre réseau et le réseau de Microsoft. Le trafic sur une connexion ExpressRoute n’est pas chiffré par défaut.

Questions fréquentes sur le chiffrement point à point de MACsec

MACsec est une norme IEEE. Cette technologie chiffre les données au niveau de la couche MAC (Media Access Control) ou de la couche réseau 2. Vous pouvez utiliser MACsec pour chiffrer les liens physiques entre vos appareils réseau et les appareils réseau de Microsoft quand vous vous connectez à Microsoft par le biais d’ExpressRoute Direct. MACsec est désactivé sur les ports ExpressRoute Direct par défaut. Vous apportez votre propre clé MACsec pour le chiffrement et la stockez dans Azure Key Vault. Vous déterminez à quel moment permuter la clé.

Puis-je activer des stratégies de pare-feu Azure Key Vault dans le cadre du stockage de clés MACsec ?

Oui, ExpressRoute est un service Microsoft approuvé. Vous pouvez configurer des stratégies de pare-feu Azure Key Vault et autoriser les services approuvés à contourner le pare-feu. Pour plus d’informations, consultez Configurer les pare-feux et réseaux virtuels d’Azure Key Vault.

Puis-je activer MACsec sur mon circuit ExpressRoute provisionné par un fournisseur ExpressRoute ?

Non. MACsec chiffre tout le trafic sur un lien physique avec une clé appartenant à une entité unique (par exemple, le client). Il est donc disponible uniquement sur ExpressRoute Direct.

Puis-je chiffrer certains circuits ExpressRoute sur mes ports ExpressRoute Direct et ne pas chiffrer les autres circuits sur les mêmes ports ?

Non. Une fois que vous avez activé MACsec, tout le trafic de contrôle réseau, comme le trafic de données BGP, et le trafic de données client sont chiffrés.

Quand j’active/je désactive MACsec ou quand je mets à jour la clé MACsec, mon réseau local perd-il la connectivité à Microsoft sur ExpressRoute ?

Oui. Pour la configuration de MACsec, nous prenons en charge le mode clé pré-partagée uniquement. Vous devez donc mettre à jour la clé à la fois sur vos appareils et sur ceux de Microsoft (via notre API). Cette modification n’étant pas atomique, vous perdez la connectivité si les clés de chaque côté ne correspondent pas. Nous vous recommandons fortement de planifier une fenêtre de maintenance pour la modification de la configuration. Pour réduire le temps d’arrêt, nous vous suggérons de mettre à jour la configuration sur un lien d’ExpressRoute Direct à la fois, après avoir basculé le trafic réseau sur l’autre lien.

Le trafic continue-t-il à circuler si la clé MACsec ne correspond pas entre mes appareils et ceux de Microsoft ?

Non. Si MACsec est activé et que les clés ne correspondent pas, vous perdez la connectivité à Microsoft. Autrement dit, le trafic ne revient pas à une connexion non cryptée, ce qui exposerait vos données.

L’activation de MACsec sur ExpressRoute Direct dégrade-t-elle les performances du réseau ?

Le chiffrement et le déchiffrement MACsec s’effectuent au niveau matériel sur les routeurs que nous utilisons. Il n’y a pas de détérioration des performances de notre côté. Toutefois, vérifiez auprès du fournisseur du service réseau si MACsec a un impact sur les performances pour les appareils que vous utilisez.

Quelles sont les suites de chiffrement prises en charge pour le chiffrement ?

Nous prenons en charge les chiffrements standard suivants :

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

ExpressRoute Direct MACsec prend-il en charge Secure Channel Identifier (SCI) ?

Oui, vous pouvez définir Secure Channel Identifier (SCI) sur les ports ExpressRoute Direct. Pour plus d’informations, consultez Configurer MACsec.

Questions fréquentes sur le chiffrement de bout en bout d’IPsec

IPsec est une norme IETF. Cette technologie chiffre les données au niveau des adresses IP (Internet Protocol) ou de la couche réseau 3. Vous pouvez utiliser IPsec pour chiffrer une connexion de bout en bout entre votre réseau local et votre réseau virtuel sur Azure.

Puis-je activer IPsec en plus de MACsec sur mes ports ExpressRoute Direct ?

Oui. MACsec sécurise les connexions physiques entre vos appareils et ceux de Microsoft. IPsec sécurise la connexion de bout en bout entre votre réseau local et vos réseaux virtuels sur Azure. Vous pouvez activer ces deux technologies indépendamment.

Puis-je utiliser la passerelle VPN Azure pour configurer le tunnel IPsec sur le peering privé Azure ?

Oui. Si vous adoptez Azure Virtual WAN, vous pouvez suivre les étapes décrites dans VPN par ExpressRoute pour Virtual WAN pour chiffrer votre connexion de bout en bout. Si vous disposez d’un réseau virtuel Azure standard, vous pouvez suivre les étapes de connexion de site à site sur peering privé pour établir un tunnel IPsec entre la passerelle VPN Azure et votre passerelle VPN locale.

Quel est le débit que j’obtiendrai après avoir activé IPsec sur ma connexion ExpressRoute ?

Si la passerelle VPN Azure est utilisée, passez en revue ces chiffres de performances pour voir s’ils correspondent à votre débit attendu. Si vous utilisez une passerelle VPN tierce, contactez le fournisseur pour obtenir ses chiffres de performances.

Étapes suivantes

  • Pour plus d’informations sur la configuration d’IPsec, consultez Configurer IPsec.

  • Pour plus d’informations sur la configuration de MACsec, consultez Configurer MACsec.