Enkripsi ExpressRoute

  • Artikel

ExpressRoute mendukung beberapa teknologi enkripsi untuk memastikan kerahasiaan dan integritas data yang melintasi antara jaringan Anda dan jaringan Microsoft. Secara default lalu lintas melalui koneksi ExpressRoute tidak dienkripsi.

Tanya Jawab Umum Enkripsi titik-ke-titik oleh MACsec

MACsec adalah standar IEEE. Ini mengenkripsi data di tingkat kontrol Akses Media (MAC) atau Jaringan Lapisan 2. Anda dapat menggunakan MACsec untuk mengenkripsi tautan fisik antara perangkat jaringan dan perangkat jaringan Microsoft saat terhubung ke Microsoft melalui ExpressRoute Direct. Secara default, MACsec dinonaktifkan pada port ExpressRoute Direct. Anda membawa kunci MACsec Anda sendiri untuk enkripsi dan menyimpannya di Azure Key Vault. Anda memutuskan kapan harus memutar kuncinya.

Dapatkah saya mengaktifkan kebijakan firewall Azure Key Vault saat menyimpan kunci MACsec?

Ya, ExpressRoute adalah layanan Microsoft tepercaya. Anda dapat mengonfigurasi kebijakan firewall Azure Key Vault dan mengizinkan layanan tepercaya untuk melewati firewall. Untuk informasi selengkapnya, lihat Mengonfigurasi firewall Dan jaringan virtual Azure Key Vault.

Dapatkah saya mengaktifkan MACsec di sirkuit ExpressRoute saya yang disediakan oleh penyedia ExpressRoute?

Nomor. MACsec mengenkripsi semua lalu lintas pada tautan fisik dengan kunci yang dimiliki oleh satu entitas (misalnya, pelanggan). Oleh karena itu, ini hanya tersedia di ExpressRoute Direct.

Dapatkah saya mengenkripsi beberapa sirkuit ExpressRoute pada port ExpressRoute Direct saya dan meninggalkan sirkuit lain pada port yang sama tanpa dienkripsi?

Nomor. Setelah MACsec diaktifkan semua lalu lintas kontrol jaringan, misalnya, lalu lintas data BGP (Protokol Gerbang Batas), dan lalu lintas data pelanggan dienkripsi.

Saat saya mengaktifkan/menonaktifkan MACsec atau memperbarui kunci MACsec, apakah jaringan lokal saya akan kehilangan konektivitas ke Microsoft melalui ExpressRoute?

Ya. Untuk konfigurasi MACsec, kami hanya mendukung mode kunci yang dibagikan sebelumnya. Ini berarti Anda perlu memperbarui kunci di perangkat Anda dan di Microsoft (melalui API kami). Perubahan ini tidak atomik, sehingga Anda kehilangan konektivitas ketika ada ketidakcocokan kunci di antara kedua belah pihak. Kami sangat menyarankan Anda menjadwalkan jendela pemeliharaan untuk perubahan konfigurasi. Untuk meminimalkan waktu henti, kami sarankan Anda memperbarui konfigurasi pada satu tautan ExpressRoute Direct pada satu waktu setelah Anda mengalihkan lalu lintas jaringan Anda ke tautan lain.

Apakah lalu lintas terus mengalir jika ada ketidakcocokan dalam kunci MACsec antara perangkat saya dan Microsoft?

Nomor. Jika MACsec dikonfigurasi dan terjadi ketidakcocokan kunci, Anda akan kehilangan konektivitas ke Microsoft. Di lalu lintas lain tidak kembali ke koneksi yang tidak terenkripsi, mengekspos data Anda.

Apakah mengaktifkan MACsec pada ExpressRoute Direct menurunkan performa jaringan?

Enkripsi dan dekripsi MACsec terjadi pada perangkat keras pada router yang kami gunakan. Tidak ada penurunan performa di pihak kita. Namun, Anda harus memastikan perangkat yang Anda gunakan dengan vendor jaringan dan lihat apakah MACsec memiliki implikasi performa.

Suite cipher mana yang didukung untuk enkripsi?

Kami mendukung cipher standar berikut:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Apakah MACsec ExpressRoute Direct mendukung Pengidentifikasi Saluran Aman (SCI)?

Ya, Anda dapat mengatur Pengidentifikasi Saluran Aman (SCI) di port ExpressRoute Direct. Untuk informasi selengkapnya, lihat Mengonfigurasi MACsec.

Tanya Jawab Umum enkripsi menyeluruh dengan IPsec

IPsec adalah standar IETF. Ini mengenkripsi data pada tingkat Internet Protocol (IP) atau Network Layer 3. Anda dapat menggunakan IPsec untuk mengenkripsi koneksi end-to-end antara jaringan lokal dan jaringan virtual Anda di Azure.

Apakah saya dapat mengaktifkan IPsec selain MACsec pada port ExpressRoute Direct saya?

Ya. MACsec mengamankan koneksi fisik antara Anda dan Microsoft. IPsec mengamankan koneksi end-to-end antara Anda dan jaringan virtual Anda di Azure. Anda dapat mengaktifkannya secara mandiri.

Bisakah saya menggunakan gateway Azure VPN untuk menyiapkan terowongan IPsec melalui Azure Private Peering?

Ya. Jika Anda mengadopsi Azure Virtual WAN, Anda dapat mengikuti langkah-langkah di VPN melalui ExpressRoute untuk Virtual WAN untuk mengenkripsi koneksi end-to-end Anda. Jika Anda memiliki jaringan virtual Azure reguler, Anda dapat mengikuti koneksi VPN situs-ke-situs melalui peering Privat untuk membuat terowongan IPsec antara gateway Azure VPN dan gateway VPN lokal Anda.

Apa throughput yang akan saya dapatkan setelah mengaktifkan IPsec pada koneksi ExpressRoute saya?

Jika gateway Vpn Azure digunakan, tinjau nomor performa ini untuk melihat apakah mereka cocok dengan throughput yang Anda harapkan. Jika gateway VPN pihak ketiga digunakan, tanyakan kepada vendor untuk nomor performanya.

Langkah berikutnya