ExpressRoute şifrelemesi

  • Makale

Ağınızla Microsoft'un ağı arasındaki veri geçişinin gizliliğini ve bütünlüğünü güvence altına almak için ExpressRoute bir dizi şifreleme teknolojisini destekler. Varsayılan olarak ExpressRoute bağlantısı üzerinden gelen trafik şifrelenmez.

MACsec tarafından noktadan noktaya şifreleme hakkında SSS

MACsec bir IEEE standardıdır. Verileri Ortam Erişim Denetimi (MAC) düzeyinde veya Ağ Katmanı 2'de şifreler. ExpressRoute Direct aracılığıyla Microsoft'a bağlandığınızda ağ cihazlarınızla Microsoft'un ağ cihazları arasındaki fiziksel bağlantıları şifrelemek için MACsec kullanabilirsiniz. MACsec, ExpressRoute Direct bağlantı notları üzerinde varsayılan olarak devre dışı bırakılmıştır. Şifreleme için kendi MACsec anahtarınızı getirir ve Azure Key Vault'ta depolarsınız. Anahtarın ne zaman döndürüleceğini siz karar verirsiniz.

MACsec anahtarlarını depolarken Azure Key Vault güvenlik duvarı ilkelerini etkinleştirebilir miyim?

Evet, ExpressRoute güvenilir bir Microsoft hizmetidir. Azure Key Vault güvenlik duvarı ilkelerini yapılandırabilir ve güvenilen hizmetlerin güvenlik duvarını atlamasına izin vekleyebilirsiniz. Daha fazla bilgi için bkz . Azure Key Vault güvenlik duvarlarını ve sanal ağları yapılandırma.

ExpressRoute sağlayıcısı tarafından sağlanan ExpressRoute bağlantı hattımda MACsec'i etkinleştirebilir miyim?

Hayır. MACsec, fiziksel bir bağlantıdaki tüm trafiği tek bir varlığa (örneğin, müşteri) ait bir anahtarla şifreler. Bu nedenle yalnızca ExpressRoute Direct'te kullanılabilir.

ExpressRoute Direct bağlantı noktalarımdaki ExpressRoute bağlantı hatlarından bazılarını şifreleyebilir ve diğer bağlantı hatlarını aynı bağlantı noktalarında şifrelenmemiş olarak bırakabilir miyim?

Hayır. MACsec etkinleştirildikten sonra, bgp veri trafiği gibi tüm ağ denetimi trafiği ve müşteri veri trafiği şifrelenir.

MACsec'i etkinleştirdiğimde/devre dışı bırakdığımda veya MACsec anahtarını güncelleştirdiğimde şirket içi ağım ExpressRoute üzerinden Microsoft'a bağlantıyı kaybedecek mi?

Evet. MACsec yapılandırması için yalnızca önceden paylaşılan anahtar modunu destekliyoruz. Bu, anahtarı hem cihazlarınızda hem de Microsoft'un (API'miz aracılığıyla) güncelleştirmeniz gerektiği anlamına gelir. Bu değişiklik atomik değildir, bu nedenle iki taraf arasında bir anahtar uyuşmazlığı olduğunda bağlantıyı kaybedersiniz. Yapılandırma değişikliği için bir bakım penceresi zamanlamanızı kesinlikle öneririz. Kapalı kalma süresini en aza indirmek için ağ trafiğinizi diğer bağlantıya geçtikten sonra ExpressRoute Direct'in bir bağlantısındaki yapılandırmayı bir kerede güncelleştirmenizi öneririz.

Cihazlarım ile Microsoft arasında MACsec anahtarında uyuşmazlık varsa trafik akmaya devam ediyor mu?

Hayır. MACsec yapılandırılırsa ve bir anahtar uyuşmazlığı oluşursa, Microsoft bağlantısını kaybedersiniz. Diğer trafiklerde şifrelenmemiş bir bağlantıya geri dönmez ve verileriniz açığa çıkar.

ExpressRoute Direct'te MACsec'i etkinleştirmek ağ performansını düşürür mü?

MACsec şifreleme ve şifre çözme, kullandığımız yönlendiricilerdeki donanımlarda gerçekleşir. Bizim tarafımızda performans düşüşü yok. Ancak, kullandığınız cihazlar için ağ satıcısına danışın ve MACsec'in herhangi bir performans etkisi olup olmadığını görmeniz gerekir.

Şifreleme için hangi şifreleme paketleri desteklenir?

Aşağıdaki standart şifrelemeleri destekliyoruz:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

ExpressRoute Direct MACsec, Güvenli Kanal Tanımlayıcısı'nı (SCI) destekliyor mu?

Evet, ExpressRoute Direct bağlantı noktalarında Güvenli Kanal Tanımlayıcısı (SCI) ayarlayabilirsiniz. Daha fazla bilgi için bkz . MACsec'i yapılandırma.

IPsec tarafından uçtan uca şifreleme hakkında SSS

IPsec bir IETF standardıdır. Verileri İnternet Protokolü (IP) düzeyinde veya Ağ Katmanı 3'te şifreler. Şirket içi ağınızla Azure'da sanal ağınız arasındaki uçtan uca bağlantıyı şifrelemek için IPsec kullanabilirsiniz.

ExpressRoute Direct bağlantı noktalarımda MACsec'e ek olarak IPsec'i etkinleştirebilir miyim?

Evet. MACsec, sizinle Microsoft arasındaki fiziksel bağlantıların güvenliğini sağlar. IPsec, siz ve Azure'da sanal ağlarınız arasındaki uçtan uca bağlantının güvenliğini sağlar. Bunları bağımsız olarak etkinleştirebilirsiniz.

Azure Özel Eşleme üzerinden IPsec tüneli ayarlamak için Azure VPN ağ geçidini kullanabilir miyim?

Evet. Azure Sanal WAN benimserseniz, uçtan uca bağlantınızı şifrelemek üzere Sanal WAN için ExpressRoute üzerinden VPN'deki adımları izleyebilirsiniz. Normal Azure sanal ağınız varsa, Özel eşleme üzerinden siteden siteye VPN bağlantısını izleyerek Azure VPN ağ geçidi ile şirket içi VPN ağ geçidiniz arasında bir IPsec tüneli oluşturabilirsiniz.

ExpressRoute bağlantımda IPsec'i etkinleştirdikten sonra elde edeceğim aktarım hızı nedir?

Azure VPN ağ geçidi kullanılıyorsa, beklenen aktarım hızınızla eşleşip eşleşmediğini görmek için bu performans numaralarını gözden geçirin. Üçüncü taraf VPN ağ geçidi kullanılıyorsa, performans numaralarını satıcıya danışın.

Sonraki adımlar

  • IPsec yapılandırması hakkında daha fazla bilgi için bkz . IPSec'i Yapılandırma

  • MACsec yapılandırması hakkında daha fazla bilgi için bkz . MACsec'i yapılandırma.