ExpressRoute の暗号化

  • [アーティクル]

ExpressRoute では、お使いのネットワークと Microsoft のネットワークの間を行き来するデータの機密性と整合性を確保するために、暗号化テクノロジがいくつかサポートされています。 既定では、ExpressRoute 接続経由のトラフィックは暗号化されません。

MACsec によるポイントツーポイント暗号化に関する FAQ

MACsec は IEEE 標準です。 MAC (メディア アクセス コントロール) レベルまたはネットワーク レイヤー 2 でデータが暗号化されます。 ExpressRoute Direct 経由で Microsoft に接続するとき、MACsec を利用し、お使いのネットワーク デバイスと Microsoft のネットワーク デバイスの間の物理リンクを暗号化できます。 既定では、MACsec は ExpressRoute Direct ポートで無効になっています。 暗号化用に自分の MACsec キーを持ち込み、それを Azure Key Vault に格納します。 キーを交換するタイミングを決定します。

MACsec キーを格納するときに Azure Key Vault ファイアウォール ポリシーを有効にすることはできますか?

はい。ExpressRoute は信頼された Microsoft サービスです。 Azure Key Vault ファイアウォール ポリシーを構成し、信頼されたサービスがファイアウォールをバイパスできるようにすることができます。 詳細については、「Azure Key Vault のファイアウォールと仮想ネットワークを構成する」を参照してください。

ExpressRoute プロバイダーからプロビジョニングされた自分の ExpressRoute 回線で MACsec を有効にできますか。

いいえ。 MACsec では、あるエンティティ (たとえば、顧客など) が所有するキーによって物理リンク上のあらゆるトラフィックが暗号化されます。 そのため、ExpressRoute Direct 上でのみ利用できます。

ExpressRoute 回線の一部を自分の ExpressRoute Direct ポートで暗号化し、他の回線を同じポートで暗号化しないままにすることができますか。

いいえ。 MACsec を有効にすると、BGP データ トラフィックや顧客データ トラフィックなど、すべてのネットワーク制御トラフィックが暗号化されます。

MACsec の有効/無効を設定したり、MACsec キーを更新したりすると、自分のオンプレミス ネットワークでは、ExpressRoute 経由での Microsoft への接続が失われますか。

はい。 MACsec 構成については、事前共有キー モードのみがサポートされます。 つまり、お使いのデバイスと Microsoft のデバイスの両方でキーを更新する必要があります (Microsoft の API 経由で)。 この変更はアトミックではなく、両者の間でキーが一致しない場合、接続が失われます。 構成変更のために保守管理期間を予定することを強くお勧めします。 ダウンタイムを最小限に抑えるために、他のリンクにネットワーク トラフィックを切り替えたら、ExpressRoute Direct の 1 つのリンクで構成を更新することをお勧めします。

自分のデバイスと Microsoft のデバイスの間で MACsec キーが一致しない場合、トラフィックは引き続き流れますか。

いいえ。 MACsec が構成されているとき、キーの不一致が発生した場合、Microsoft への接続が失われます。 つまり、暗号化されていない接続にトラフィックがフォールバックし、データを露出させることはありません。

ExpressRoute Direct で MACsec を有効にすると、ネットワーク パフォーマンスが低下しますか。

MACsec の暗号化と復号は、Microsoft が使用するルーターのハードウェアで行われます。 Microsoft 側では、パフォーマンスが低下することはありません。 しかしながら、お使いのデバイスのネットワーク ベンダーに問い合わせ、MACsec にパフォーマンス上の影響が出るかどうかを確認してください。

暗号化にはどの暗号スイートがサポートされていますか。

以下の標準の暗号がサポートされています。

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

ExpressRoute Direct の MACsec では Secure Channel Identifier (SCI) がサポートされますか?

はい。ExpressRoute Direct ポートで Secure Channel Identifier (SCI) を設定できます。 詳細については、「MACsec を構成する」を参照してください。

IPsec によるエンドツーエンドの暗号化に関してよくあるご質問

IPsec は IETF 標準です。 インターネット プロトコル (IP) レベルまたはネットワーク レイヤー 3 でデータを暗号化します。 お使いのオンプレミス ネットワークと Azure でお使いの仮想ネットワークの間でエンドツーエンドの接続を暗号化する目的で IPsec を利用できます。

自分の ExpressRoute Direct ポートでは、MACsec に加えて IPsec を有効にできますか。

はい。 MACsec の場合、ユーザーと Microsoft との間の物理的な接続がセキュリティで保護されます。 IPsec の場合、ユーザーと Azure でお使いの仮想ネットワークの間のエンドツーエンド接続がセキュリティで保護されます。 いずれも個別に有効にすることができます。

Azure VPN ゲートウェイを利用し、Azure プライベート ピアリング経由で IPsec トンネルを設定できます。

正解です。 Azure Virtual WAN を採用する場合は、Virtual WAN 向けの ExpressRoute 経由の VPN の手順に従って、エンド ツー エンド接続を暗号化できます。 通常の Azure仮想ネットワークを使用している場合は、プライベート ピアリング経由のサイト間 VPN 接続に従って、Azure VPN ゲートウェイとオンプレミスの VPN ゲートウェイの間に IPsec トンネルを確立することができます。

自分の ExpressRoute 接続で IPsec を有効にすると、どのようなスループットが得られますか。

Azure VPN ゲートウェイが使用されている場合は、これらのパフォーマンス数値を確認して、予想されるスループットと一致するかどうかを確認します。 サードパーティ製の VPN ゲートウェイが使用されている場合、パフォーマンス数値についてはベンダーにお問い合わせください。

次のステップ

  • IPsec 構成に関する詳細については、IPsec の構成に関するページを参照してください。

  • MACsec 構成に関する詳細については、MACsec の構成に関するページを参照してください。