Udostępnij za pośrednictwem

Szyfrowanie w usłudze ExpressRoute

  • Artykuł

Usługa ExpressRoute obsługuje kilka technologii szyfrowania w celu zapewnienia poufności i integralności przechodzenia danych między Twoją siecią a siecią firmy Microsoft. Domyślnie ruch za pośrednictwem połączenia usługi ExpressRoute nie jest szyfrowany.

Szyfrowanie typu punkt-punkt przez program MACsec — często zadawane pytania

Protokół MACsec jest standardem IEEE . Szyfruje dane na poziomie kontroli dostępu do nośnika (MAC) lub warstwy sieciowej 2. Protokół MACsec umożliwia szyfrowanie fizycznych połączeń między urządzeniami sieciowymi i urządzeniami sieciowymi firmy Microsoft podczas nawiązywania połączenia z firmą Microsoft za pośrednictwem usługi ExpressRoute Direct. Protokół MACsec na portach usługi ExpressRoute Direct jest domyślnie wyłączony. Możesz przenieść własny klucz MACsec na potrzeby szyfrowania i przechowywać go w usłudze Azure Key Vault. Ty decydujesz, kiedy klucz ma zostać zmieniony.

Czy mogę włączyć zasady zapory usługi Azure Key Vault podczas przechowywania kluczy MACsec?

Tak, usługa ExpressRoute jest zaufaną usługą firmy Microsoft. Możesz skonfigurować zasady zapory usługi Azure Key Vault i zezwolić zaufanym usługom na obejście zapory. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Key Vault.

Czy mogę włączyć protokół MACsec w obwodzie usługi ExpressRoute aprowizowanym przez dostawcę usługi ExpressRoute?

L.p. Usługa MACsec szyfruje cały ruch w linku fizycznym przy użyciu klucza należącego do jednej jednostki (na przykład klienta). W związku z tym jest ona dostępna tylko w usłudze ExpressRoute Direct.

Czy mogę zaszyfrować niektóre obwody usługi ExpressRoute na portach usługi ExpressRoute Direct i pozostawić inne obwody na tych samych portach niezaszyfrowanych?

L.p. Po włączeniu protokołu MACsec cały ruch sterowania siecią, na przykład ruch danych protokołu BGP i ruch danych klientów są szyfrowane.

Po włączeniu/wyłączeniu protokołu MACsec lub zaktualizowaniu klucza MACsec moja sieć lokalna utraci łączność z firmą Microsoft za pośrednictwem usługi ExpressRoute?

Tak. W przypadku konfiguracji protokołu MACsec obsługujemy tylko tryb klucza wstępnego. Oznacza to, że musisz zaktualizować klucz zarówno na urządzeniach, jak i na urządzeniach firmy Microsoft (za pośrednictwem naszego interfejsu API). Ta zmiana nie jest niepodzielna, więc utracisz łączność w przypadku niezgodności klucza między obiema stronami. Zdecydowanie zalecamy zaplanowanie okna obsługi zmiany konfiguracji. Aby zminimalizować przestój, zalecamy zaktualizowanie konfiguracji w jednym linku usługi ExpressRoute Direct naraz po przełączeniu ruchu sieciowego do drugiego łącza.

Czy ruch nadal przepływa, jeśli istnieje niezgodność klucza MACsec między moimi urządzeniami i firmą Microsoft?

L.p. Jeśli skonfigurowano protokół MACsec i wystąpi niezgodność klucza, utracisz łączność z firmą Microsoft. Innymi słowy ruch nie wraca do niezaszyfrowanego połączenia, ujawniając dane.

Czy włączenie protokołu MACsec w usłudze ExpressRoute Direct obniża wydajność sieci?

Szyfrowanie i odszyfrowywanie MACsec występuje na sprzęcie na używanych routerach. Nie ma spadku wydajności po naszej stronie. Należy jednak sprawdzić dostawcę sieci dla używanych urządzeń i sprawdzić, czy usługa MACsec ma jakiekolwiek implikacje dotyczące wydajności.

Które zestawy szyfrowania są obsługiwane na potrzeby szyfrowania?

Obsługujemy następujące standardowe szyfry:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Czy usługa ExpressRoute Direct MACsec obsługuje identyfikator bezpiecznego kanału (SCI)?

Tak, można ustawić identyfikator bezpiecznego kanału (SCI) na portach usługi ExpressRoute Direct. Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu MACsec.

Kompleksowe szyfrowanie za pomocą protokołu IPsec — często zadawane pytania

Protokół IPsec jest standardem IETF. Szyfruje dane na poziomie protokołu internetowego (IP) lub warstwy 3 sieci. Protokół IPsec umożliwia szyfrowanie kompleksowego połączenia między siecią lokalną a siecią wirtualną na platformie Azure.

Czy mogę włączyć protokół IPsec oprócz protokołu MACsec na portach usługi ExpressRoute Direct?

Tak. Usługa MACsec zabezpiecza połączenia fizyczne między Tobą a firmą Microsoft. Protokół IPsec zabezpiecza kompleksowe połączenie między Tobą i sieciami wirtualnymi na platformie Azure. Można je włączyć niezależnie.

Czy mogę użyć bramy sieci VPN platformy Azure do skonfigurowania tunelu IPsec za pośrednictwem prywatnej komunikacji równorzędnej platformy Azure?

Tak. Jeśli wdrożysz usługę Azure Virtual WAN, możesz wykonać kroki opisane w artykule Vpn over ExpressRoute for Virtual WAN (Usługa ExpressRoute dla usługi Virtual WAN ), aby zaszyfrować połączenie kompleksowe. Jeśli masz zwykłą sieć wirtualną platformy Azure, możesz stosować połączenie sieci VPN typu lokacja-lokacja za pośrednictwem prywatnej komunikacji równorzędnej , aby ustanowić tunel IPsec między bramą sieci VPN platformy Azure i lokalną bramą sieci VPN.

Jaka jest przepływność uzyskana po włączeniu protokołu IPsec w połączeniu usługi ExpressRoute?

Jeśli jest używana brama sieci VPN platformy Azure, zapoznaj się z tymi numerami wydajności, aby sprawdzić, czy są one zgodne z oczekiwaną przepływnością. Jeśli jest używana brama sieci VPN innej firmy, zapoznaj się z dostawcą pod kątem ich numerów wydajności.

Następne kroki