Crittografia di ExpressRoute
ExpressRoute supporta un po di tecnologie di crittografia per garantire la riservatezza e l'integrità dei dati durante l'attraversamento tra la rete locale e la rete di Microsoft. Per impostazione predefinita, il traffico su una connessione ExpressRoute non è crittografato.
Domande frequenti sulla crittografia da punto a punto tramite MACsec
MACsec è uno standard IEEE. Crittografa i dati a livello Media Access Control (MAC) o a livello di rete 2. È possibile usare MACsec per crittografare i collegamenti fisici tra i dispositivi di rete in uso e i dispositivi di rete Microsoft quando ci si connette a Microsoft tramite ExpressRoute Direct. MACsec è disabilitato per impostazione predefinita nelle porte ExpressRoute Direct. L'utente usa la propria chiave MACsec per la crittografia e la archivia in Azure Key Vault. L’utente decide quando ruotare la chiave.
È possibile abilitare i criteri firewall di Azure Key Vault durante l'archiviazione delle chiavi MACsec?
Sì, ExpressRoute è un servizio Microsoft attendibile. È possibile configurare i criteri firewall di Azure Key Vault e consentire ai servizi attendibili di ignorare il firewall. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Azure Key Vault.
È possibile abilitare MACsec nel circuito ExpressRoute di cui è stato effettuato il provisioning da un provider ExpressRoute?
Nr. MACsec crittografa tutto il traffico su un collegamento fisico con una chiave di proprietà di un'entità , ad esempio il cliente. Pertanto, è disponibile solo in ExpressRoute Direct.
È possibile crittografare alcuni circuiti ExpressRoute sulle porte ExpressRoute Direct e lasciare non crittografati altri circuiti sulle stesse porte?
Nr. Quando MACsec è abilitato tutto il traffico di controllo di rete, ad esempio, il traffico dei dati BGP e il traffico dei dati del cliente vengono crittografati.
Quando si abilita/disabilita MACsec o si aggiorna la chiave MACsec la rete locale perderà la connettività a Microsoft tramite ExpressRoute?
Sì. Per la configurazione MACsec, è supportata solo la modalità chiave precondivisa. Significa che è necessario aggiornare la chiave sia nei dispositivi che in Microsoft (tramite l'API). Questa modifica non è atomica, quindi si perde la connettività quando si verifica una mancata corrispondenza tra i due lati. È consigliabile pianificare una finestra di manutenzione per la modifica della configurazione. Per ridurre al minimo il tempo di inattività, è consigliabile aggiornare la configurazione in un collegamento di ExpressRoute Direct alla volta dopo il passaggio del traffico di rete all'altro collegamento.
Il traffico continua a fluire se è presente una mancata corrispondenza nella chiave MACsec tra i dispositivi e Microsoft?
Nr. Se MACsec è configurato e si verifica una mancata corrispondenza della chiave, si perde la connettività a Microsoft. In un altro traffico non viene eseguito il fallback a una connessione non crittografata, esponendo i dati.
L'abilitazione di MACsec in ExpressRoute Direct degrada le prestazioni di rete?
La crittografia e la decrittografia MACsec si verificano nell'hardware nei router usati. Non c'è alcuna riduzione delle prestazioni sul nostro lato. Tuttavia, è necessario rivolgersi al fornitore di rete per i dispositivi usati e verificare se MACsec ha implicazioni per le prestazioni.
Quali pacchetti di crittografia sono supportati per la crittografia?
Sono supportate le crittografie standard seguenti:
- GCM-AES-128
- GCM-AES-256
- GCM-AES-XPN-128
- GCM-AES-XPN-256
ExpressRoute Direct MACsec supporta Secure Channel Identifier (SCI)?
Sì, è possibile impostare SECURE Channel Identifier (SCI) sulle porte ExpressRoute Direct. Per altre informazioni, vedere Configurare MACsec.
Domande frequenti sulla crittografia end-to-end di IPsec
IPsec è uno standard IETF. Crittografa i dati a livello di protocollo IP (Internet Protocol) o a livello di rete 3. È possibile usare IPsec per crittografare una connessione end-to-end tra la rete locale e la rete virtuale in Azure.
È possibile abilitare IPsec oltre a MACsec sulle porte ExpressRoute Direct?
Sì. MACsec protegge le connessioni fisiche tra l'utente e Microsoft. IPsec protegge la connessione end-to-end tra l'utente e le sue reti virtuali in Azure. È possibile abilitarli in modo indipendente.
È possibile usare il gateway VPN di Azure per configurare il tunnel IPsec tramite peering privato di Azure?
Sì. Se si adotta Azure rete WAN virtuale, è possibile seguire la procedura descritta in VPN su ExpressRoute per rete WAN virtuale per crittografare la connessione end-to-end. Se si dispone di una normale rete virtuale di Azure, è possibile seguire la connessione VPN da sito a sito tramite peering privato per stabilire un tunnel IPsec tra il gateway VPN di Azure e il gateway VPN locale.
Qual è la velocità effettiva che si otterrà dopo l'abilitazione di IPsec nella connessione ExpressRoute?
Se viene usato il gateway VPN di Azure, esaminare questi numeri di prestazioni per verificare se corrispondono alla velocità effettiva prevista. Se viene usato un gateway VPN di terze parti, rivolgersi al fornitore per ottenere i relativi numeri di prestazioni.
Passaggi successivi
Per altre informazioni sulla configurazione IPsec, vedere Configurare IPsec
Per altre informazioni sulla configurazione MACsec, vedere Configurare MACsec.