Encriptação do ExpressRoute

  • Artigo

O ExpressRoute suporta algumas tecnologias de encriptação para garantir a confidencialidade e a integridade dos dados que passam pela sua rede e pela rede da Microsoft. Por padrão, o tráfego em uma conexão de Rota Expressa não é criptografado.

Criptografia ponto-a-ponto por MACsec FAQ

O MACsec é uma norma IEEE. Encripta os dados ao nível do Controlo de acesso do Suporte de dados (MAC) ou na Camada de Rede 2. Você pode usar o MACsec para criptografar os links físicos entre seus dispositivos de rede e os dispositivos de rede da Microsoft quando você se conecta à Microsoft via ExpressRoute Direct. O MACsec está desativado nas portas do ExpressRoute Direct por predefinição. Você traz sua própria chave MACsec para criptografia e a armazena no Cofre de Chaves do Azure. Decida quando rodar a chave.

Posso habilitar as políticas de firewall do Azure Key Vault ao armazenar chaves MACsec?

Sim, o ExpressRoute é um serviço confiável da Microsoft. Você pode configurar políticas de firewall do Azure Key Vault e permitir que serviços confiáveis ignorem o firewall. Para obter mais informações, consulte Configurar firewalls e redes virtuais do Azure Key Vault.

Posso ativar o MACsec no meu circuito de Rota Expressa provisionado por um provedor de Rota Expressa?

Não MACsec criptografa todo o tráfego em um link físico com uma chave de propriedade de uma entidade (por exemplo, cliente). Portanto, ele está disponível apenas no ExpressRoute Direct.

Posso criptografar alguns dos circuitos da Rota Expressa nas minhas portas do ExpressRoute Direct e deixar outros circuitos nas mesmas portas sem criptografia?

Não Uma vez que o MACsec está habilitado, todo o tráfego de controle de rede, por exemplo, o tráfego de dados BGP e o tráfego de dados do cliente são criptografados.

Quando eu ativar/desativar o MACsec ou atualizar a chave MACsec, minha rede local perderá a conectividade com a Microsoft pela Rota Expressa?

Sim. Para a configuração MACsec, suportamos apenas o modo de chave pré-partilhada. Isso significa que você precisa atualizar a chave em seus dispositivos e na Microsoft (por meio de nossa API). Essa alteração não é atômica, então você perde a conectividade quando há uma incompatibilidade de chave entre os dois lados. É altamente recomendável que você agende uma janela de manutenção para a alteração de configuração. Para minimizar o tempo de inatividade, sugerimos que você atualize a configuração em um link do ExpressRoute Direct de cada vez depois de alternar o tráfego de rede para o outro link.

O tráfego continua a fluir se houver uma incompatibilidade na chave MACsec entre os meus dispositivos e os da Microsoft?

Não Se MACsec estiver configurado e ocorrer uma incompatibilidade de chaves, você perderá a conectividade com a Microsoft. Em outros casos, o tráfego não recorre a uma conexão não criptografada, expondo seus dados.

A ativação do MACsec no ExpressRoute Direct degrada o desempenho da rede?

A encriptação e desencriptação MACsec ocorrem no hardware dos routers que utilizamos. Não há degradação de desempenho do nosso lado. No entanto, você deve verificar com o fornecedor de rede para os dispositivos que você usa e ver se MACsec tem alguma implicação de desempenho.

Quais pacotes de codificação são suportados para criptografia?

Suportamos as seguintes cifras padrão:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

O ExpressRoute Direct MACsec suporta Secure Channel Identifier (SCI)?

Sim, você pode definir o Secure Channel Identifier (SCI) nas portas ExpressRoute Direct. Para obter mais informações, consulte Configurar MACsec.

Perguntas frequentes sobre criptografia de ponta a ponta por IPsec

IPsec é um padrão IETF. Encripta dados ao nível do Protocolo Internet (IP) ou da Camada de Rede 3. Você pode usar o IPsec para criptografar uma conexão de ponta a ponta entre sua rede local e sua rede virtual no Azure.

Posso ativar o IPsec além do MACsec nas minhas portas ExpressRoute Direct?

Sim. MACsec protege as conexões físicas entre você e a Microsoft. O IPsec protege a conexão de ponta a ponta entre você e suas redes virtuais no Azure. Você pode habilitá-los de forma independente.

Posso usar o gateway de VPN do Azure para configurar o túnel IPsec no Emparelhamento Privado do Azure?

Sim. Se você adotar a WAN Virtual do Azure, poderá seguir as etapas em VPN pela Rota Expressa para WAN Virtual para criptografar sua conexão de ponta a ponta. Se você tiver uma rede virtual regular do Azure, poderá seguir a conexão VPN site a site através do emparelhamento privado para estabelecer um túnel IPsec entre o gateway VPN do Azure e seu gateway VPN local.

Qual é a taxa de transferência que receberei depois de habilitar o IPsec na minha conexão de Rota Expressa?

Se o gateway de VPN do Azure for usado, revise esses números de desempenho para ver se eles correspondem à sua taxa de transferência esperada. Se um gateway VPN de terceiros for usado, verifique com o fornecedor seus números de desempenho.

Próximos passos

  • Para obter mais informações sobre a configuração do IPsec, consulte Configurar o IPsec

  • Para obter mais informações sobre a configuração MACsec, consulte Configurar MACsec.