Compartir a través de

Acerca del cifrado para Azure ExpressRoute

  • Artículo

ExpressRoute admite tecnologías de cifrado para garantizar la confidencialidad y la integridad de los datos que atraviesan su red y la red de Microsoft. De manera predeterminada, el tráfico a través de una conexión de ExpressRoute no está cifrado.

Preguntas frecuentes sobre el cifrado punto a punto mediante MACsec

MACsec es un estándar IEEE que cifra los datos en el nivel de Media Access Control (MAC) (nivel de red 2). Puede usar MACsec para cifrar los vínculos físicos entre sus dispositivos de red y los dispositivos de red de Microsoft cuando se conecte a Microsoft a través de ExpressRoute Direct. De forma predeterminada, MACsec está deshabilitado en los puertos de ExpressRoute Direct. Debe traer su propia clave de MACsec para el cifrado y almacenarla en Azure Key Vault. Decida cuándo desea rotar la clave.

¿Puedo habilitar las directivas de firewall de Azure Key Vault al almacenar claves de MACsec?

Sí, ExpressRoute es un servicio de Microsoft de confianza. Puede configurar directivas de firewall de Azure Key Vault para permitir que los servicios de confianza eviten el firewall. Para más información, vea Configuración de firewalls y redes virtuales de Azure Key Vault.

¿Puedo habilitar MACsec en mi circuito ExpressRoute aprovisionado por un proveedor de ExpressRoute?

No. MACsec cifra todo el tráfico de un vínculo físico con una clave que pertenece a una entidad (por ejemplo, un cliente). Por tanto, solo está disponible en ExpressRoute Direct.

¿Puedo cifrar algunos circuitos ExpressRoute en mis puertos de ExpressRoute Direct y dejar otros sin cifrar?

No. Una vez que MACsec está habilitado, se cifra todo el tráfico de control de red (por ejemplo, el tráfico de datos de BGP) y el tráfico de datos del cliente.

Al habilitar o deshabilitar MACsec o actualizar la clave de MACsec, ¿pierde mi red del entorno local la conectividad con Microsoft a través de ExpressRoute?

Sí. Solo se admite el modo de clave previamente compartido para la configuración de MACsec, lo que significa que debe actualizar la clave tanto en sus dispositivos como en los de Microsoft (a través de nuestra API). Este cambio no es atómico, por lo que perderá la conectividad cuando haya una discrepancia de claves. Se recomienda encarecidamente programar una ventana de mantenimiento para el cambio de configuración. Para minimizar el tiempo de inactividad, sugerimos que actualice la configuración en un vínculo de ExpressRoute Direct a la vez después de cambiar el tráfico de red al otro vínculo.

¿Continúa el flujo de tráfico si hay una discrepancia en la clave MACsec entre mis dispositivos y los de Microsoft?

No. Si MACsec se configura y se produce una discrepancia en la clave, se pierde la conectividad con Microsoft. El tráfico no se revierte a una conexión sin cifrar, lo que garantiza que los datos permanecen protegidos.

¿Al habilitarse MACsec en ExpressRoute Direct se degrada el rendimiento de la red?

El cifrado y el descifrado de MACsec se producen en el hardware de los enrutadores que usamos, por lo que no hay ninguna degradación del rendimiento en nuestro lado. Sin embargo, consulte con el proveedor de red para ver si MACsec tiene implicaciones de rendimiento para los dispositivos.

¿Qué conjuntos de cifrado se admiten para el cifrado?

Se admiten los siguientes cifrados estándar:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

¿ExpressRoute Direct MACsec admite el identificador de canal seguro (SCI)?

Sí, puede establecer el Identificador de canal seguro (SCI) en los puertos de ExpressRoute Direct. Para obtener más información, consulte Configuración de MACsec.

Preguntas frecuentes sobre el cifrado de un extremo a otro de IPsec

IPsec es un estándar IETF que cifra los datos en el nivel de protocolo de Internet (IP) (nivel de red 3). Puede usar IPsec para cifrar una conexión de un extremo a otro entre la red local y la red virtual en Azure.

¿Puedo habilitar IPsec además de MACsec en mis puertos de ExpressRoute Direct?

Sí. MACsec protege las conexiones físicas entre usted y Microsoft, mientras que IPsec protege la conexión de un extremo a otro entre usted y las redes virtuales en Azure. Puede habilitarlos de forma independiente.

¿Puedo usar la puerta de enlace de Azure VPN para configurar el túnel IPsec a través de Emparejamiento privado de Azure?

Sí. Si usa Azure Virtual WAN, puede seguir los pasos descritos en VPN a través de ExpressRoute para Virtual WAN para cifrar la conexión de un extremo a otro. Si tiene una red virtual de Azure normal, siga la conexión VPN de sitio a sitio a través del emparejamiento privado para establecer un túnel IPsec entre Azure VPN Gateway y la instancia local de VPN Gateway.

¿Cuál es el rendimiento después de habilitar IPsec en mi conexión de ExpressRoute?

Si se usa Azure VPN Gateway, revise estos números de rendimiento para ver si coinciden con el rendimiento esperado. Si se usa una puerta de enlace de VPN de terceros, consulte con el proveedor sus cifras de rendimiento.

Pasos siguientes