ExpressRoute-kryptering

  • Artikel

ExpressRoute stöder ett par krypteringstekniker för att säkerställa konfidentialitet och integritet för data som passerar mellan ditt nätverk och Microsofts nätverk. Som standard krypteras inte trafik över en ExpressRoute-anslutning.

Punkt-till-punkt-kryptering av vanliga frågor och svar om MACsec

MACsec är en IEEE-standard. Den krypterar data på MAC-nivå (Media Access Control) eller Network Layer 2. Du kan använda MACsec för att kryptera de fysiska länkarna mellan dina nätverksenheter och Microsofts nätverksenheter när du ansluter till Microsoft via ExpressRoute Direct. MACsec är inaktiverat på ExpressRoute Direct-portar som standard. Du tar med din egen MACsec-nyckel för kryptering och lagrar den i Azure Key Vault. Du bestämmer när du ska rotera nyckeln.

Kan jag aktivera Azure Key Vault-brandväggsprinciper när jag lagrar MACsec-nycklar?

Ja, ExpressRoute är en betrodd Microsoft-tjänst. Du kan konfigurera Azure Key Vault-brandväggsprinciper och tillåta att betrodda tjänster kringgår brandväggen. Mer information finns i Konfigurera Azure Key Vault-brandväggar och virtuella nätverk.

Kan jag aktivera MACsec på min ExpressRoute-krets som etablerats av en ExpressRoute-provider?

Nej. MACsec krypterar all trafik på en fysisk länk med en nyckel som ägs av en entitet (till exempel kund). Därför är den endast tillgänglig på ExpressRoute Direct.

Kan jag kryptera vissa ExpressRoute-kretsar på mina ExpressRoute Direct-portar och lämna andra kretsar på samma portar okrypterade?

Nej. När MACsec har aktiverats krypteras all nätverkskontrolltrafik, till exempel BGP-datatrafik och kunddatatrafik.

När jag aktiverar/inaktiverar MACsec eller uppdaterar MACsec-nyckeln kommer mitt lokala nätverk att förlora anslutningen till Microsoft via ExpressRoute?

Ja. För MACsec-konfigurationen stöder vi endast det i förväg delade nyckelläget. Det innebär att du måste uppdatera nyckeln på både dina enheter och på Microsofts (via vårt API). Den här ändringen är inte atomisk, så du förlorar anslutningen när det finns ett nyckelmatchningsfel mellan de två sidorna. Vi rekommenderar starkt att du schemalägger ett underhållsperiod för konfigurationsändringen. För att minimera stilleståndstiden rekommenderar vi att du uppdaterar konfigurationen på en länk till ExpressRoute Direct i taget när du har bytt nätverkstrafik till den andra länken.

Fortsätter trafiken att flöda om det finns ett matchningsfel i MACsec-nyckeln mellan mina enheter och Microsofts?

Nej. Om MACsec har konfigurerats och ett nyckelmatchningsfel inträffar förlorar du anslutningen till Microsoft. I annan trafik återgår inte till en okrypterad anslutning, vilket exponerar dina data.

Försämrar aktivering av MACsec på ExpressRoute Direct nätverksprestanda?

MACsec-kryptering och dekryptering sker i maskinvara på de routrar vi använder. Det finns ingen prestandaförsämring på vår sida. Du bör dock kontakta nätverksleverantören för de enheter som du använder och se om MACsec har några prestandakonsekvenser.

Vilka chiffersviter stöds för kryptering?

Vi stöder följande standard chiffer:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Stöder ExpressRoute Direct MACsec secure channel identifier (SCI)?

Ja, du kan ange SÄKER kanalidentifierare (SCI) på ExpressRoute Direct-portarna. Mer information finns i Konfigurera MACsec.

Vanliga frågor och svar om kryptering från slutpunkt till slutpunkt efter IPsec

IPsec är en IETF-standard. Den krypterar data på IP-nivå (Internet Protocol) eller nätverksnivå 3. Du kan använda IPsec för att kryptera en anslutning från slutpunkt till slutpunkt mellan ditt lokala nätverk och ditt virtuella nätverk i Azure.

Kan jag aktivera IPsec utöver MACsec på mina ExpressRoute Direct-portar?

Ja. MACsec skyddar de fysiska anslutningarna mellan dig och Microsoft. IPsec skyddar anslutningen från slutpunkt till slutpunkt mellan dig och dina virtuella nätverk i Azure. Du kan aktivera dem oberoende av varandra.

Kan jag använda Azure VPN-gateway för att konfigurera IPsec-tunneln via privat Azure-peering?

Ja. Om du använder Azure Virtual WAN kan du följa stegen i VPN via ExpressRoute för Virtual WAN för att kryptera anslutningen från slutpunkt till slutpunkt. Om du har ett vanligt virtuellt Azure-nätverk kan du följa vpn-anslutningen från plats till plats via privat peering för att upprätta en IPsec-tunnel mellan Azure VPN Gateway och din lokala VPN-gateway.

Vilket dataflöde får jag när jag har aktiverat IPsec på min ExpressRoute-anslutning?

Om Azure VPN-gateway används läser du dessa prestandanummer för att se om de matchar ditt förväntade dataflöde. Om en VPN-gateway från tredje part används kontrollerar du deras prestandanummer hos leverantören.

Nästa steg