Freigeben über

Informationen zur Verschlüsselung für Azure ExpressRoute

  • Artikel

ExpressRoute unterstützt Verschlüsselungstechnologien, um die Vertraulichkeit und Integrität der Daten zwischen Ihrem Netzwerk und dem Netzwerk von Microsoft zu gewährleisten. Standardmäßig ist der Datenverkehr über eine ExpressRoute-Verbindung nicht verschlüsselt.

Häufig gestellte Fragen zur Point-to-Point-Verschlüsselung durch MACsec

MACsec ist ein IEEE-Standard, der Daten auf der MAC-Ebene (Media Access Control) (Netzwerkebene 2) verschlüsselt. Sie können mit MACsec die physischen Verbindungen zwischen Ihren Netzwerkgeräten und den Netzwerkgeräten von Microsoft verschlüsseln, wenn Sie über ExpressRoute Direct eine Verbindung herstellen. MACsec ist standardmäßig für ExpressRoute Direct-Ports deaktiviert. Sie müssen Ihren eigenen MACsec-Schlüssel für die Verschlüsselung angeben und diesen in Azure Key Vault speichern. Sie entscheiden, wann der Schlüssel gedreht werden soll.

Kann ich Azure Key Vault-Firewall-Richtlinien aktivieren, wenn ich MACsec-Schlüssel speichere?

Ja, ExpressRoute ist ein vertrauenswürdiger Microsoft-Dienst. Sie können die Firewall-Richtlinien von Azure Key Vault so konfigurieren, dass vertrauenswürdige Dienste die Firewall umgehen können. Weitere Informationen finden Sie unter Konfigurieren von Azure Key Vault-Firewalls und virtuellen Netzwerken.

Kann ich MACsec für meine ExpressRoute-Verbindung aktivieren, die von einem ExpressRoute-Anbieter bereitgestellt wurde?

-Nr. MACsec verschlüsselt den gesamten Datenverkehr in einer physischen Verbindung mit einem Schlüssel, der einer Entität gehört (z. B. der Kundschaft). Daher ist es ausschließlich für ExpressRoute Direct verfügbar.

Kann ich einige der ExpressRoute-Verbindungen an meinen ExpressRoute Direct-Anschlüsse verschlüsseln und andere unverschlüsselt lassen?

-Nr. Wenn MACsec aktiviert ist, werden der gesamte Netzwerkkontrolldatenverkehr (z. B. der BGP-Datenverkehr) und der Kundendatenverkehr verschlüsselt.

Wird für mein lokales Netzwerk die Verbindung mit Microsoft über ExpressRoute unterbrochen, wenn ich MACsec aktiviere/deaktiviere oder den MACsec-Schlüssel aktualisiere?

Ja. Wir unterstützen ausschließlich den Modus „Vorinstallierter Schlüssel“ für die MACsec-Konfiguration. Das heißt, Sie müssen den Schlüssel sowohl auf Ihren Geräten als auch (über unsere API) auf den Geräten von Microsoft aktualisieren. Diese Änderung ist nicht atomisch, daher geht die Konnektivität verloren, wenn ein Schlüsselkonflikt vorliegt. Es wird dringend empfohlen, ein Wartungsfenster für die Konfigurationsänderung einzuplanen. Zum Minimieren der Downtime sollten Sie die Konfiguration für jeweils einen Link von ExpressRoute Direct aktualisieren, nachdem Sie Ihren Netzwerkdatenverkehr auf den anderen Link umgestellt haben.

Fließt der Datenverkehr weiter, wenn ein Konflikt zwischen dem MACsec-Schlüssel auf meinen Geräten und denen von Microsoft vorliegt?

-Nr. Wenn MACsec konfiguriert ist und ein Schlüsselkonflikt auftritt, geht die Verbindung mit Microsoft verloren. Es erfolgt kein Fallback auf eine unverschlüsselte Verbindung. So wird der Schutz Ihrer Daten sichergestellt.

Wird durch das Aktivieren von MACsec für ExpressRoute Direct die Netzwerkleistung beeinträchtigt?

Die Verschlüsselung und Entschlüsselung von MACsec erfolgt auf Hardware auf den von uns verwendeten Routern. Es gibt also keine Leistungsbeeinträchtigung auf unserer Seite. Sie sollten sich jedoch mit Ihrem Netzwerkanbieter in Verbindung setzen und ermitteln, ob sich MACsec auf die Leistung Ihrer Geräte auswirkt.

Welche Verschlüsselungssammlungen werden für die Verschlüsselung unterstützt?

Wir unterstützen die folgenden Standardverschlüsselungsverfahren:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Wird Secure Channel Identifier (SCI) von ExpressRoute Direct MACsec unterstützt?

Ja, Sie können Secure Channel Identifier (SCI) an den ExpressRoute Direct-Ports festlegen. Weitere Informationen finden Sie unter Konfigurieren von MACsec.

Häufig gestellte Fragen zur End-to-End-Verschlüsselung durch IPsec

IPsec ist ein IETF-Standard, der Daten auf der IP-Ebene (Internet Protocol) (Netzwerkebene 3) verschlüsselt. Sie können IPsec verwenden, um eine End-to-End-Verbindung zwischen Ihrem lokalen Netzwerk und Ihrem virtuellen Netzwerk auf Azure zu verschlüsseln.

Kann ich IPsec zusätzlich zu MACsec an meinen ExpressRoute Direct-Ports aktivieren?

Ja. MACsec sichert die physischen Verbindungen zwischen Ihnen und Microsoft. IPsec hingegen sichert die End-to-End-Verbindung zwischen Ihnen und Ihren virtuellen Netzwerken in Azure. Sie können sie unabhängig voneinander aktivieren.

Kann ich das Azure-VPN-Gateway verwenden, um den IPsec-Tunnel über das private Azure-Peering einzurichten?

Ja. Wenn Sie Azure Virtual WAN einsetzen, befolgen Sie die Schritte in VPN über ExpressRoute für Virtual WAN, um Ihre End-to-End-Verbindung zu verschlüsseln. Wenn Sie ein reguläres virtuelles Azure-Netzwerk haben, können Sie eine Site-to-Site-VPN-Verbindung über privates Peering verwenden, um einen IPsec-Tunnel zwischen dem Azure VPN Gateway und Ihrem lokalen VPN Gateway aufzubauen.

Was ist der Durchsatz nach dem Aktivieren von IPsec für meine ExpressRoute-Verbindung?

Wenn Sie Azure VPN-Gateway verwenden, überprüfen Sie diese Leistungszahlen, um zu sehen, ob sie Ihrem erwarteten Durchsatz entsprechen. Wenn Sie ein VPN-Gateway eines Drittanbieters verwenden, erkundigen Sie sich beim Anbieter nach dessen Leistungsdaten.

Nächste Schritte