Partager via

À propos du chiffrement pour Azure ExpressRoute

  • Article

ExpressRoute prend en charge des technologies de chiffrement pour garantir la confidentialité et l’intégrité des données entre votre réseau et le réseau de Microsoft. Par défaut, le trafic sur une connexion ExpressRoute n’est pas chiffré.

Questions fréquentes sur le chiffrement point à point de MACsec

MACsec est une norme IEEE qui chiffre les données au niveau de la couche MAC (Media Access Control) (couche réseau 2). Vous pouvez utiliser MACsec pour chiffrer les liens physiques entre vos appareils réseau et les appareils réseau de Microsoft lors de la connexion par le biais d’ExpressRoute Direct. MACsec est désactivé sur les ports ExpressRoute Direct par défaut. Vous devez apporter votre propre clé MACsec pour le chiffrement, et la stocker dans Azure Key Vault. Vous déterminez à quel moment permuter la clé.

Puis-je activer des stratégies de pare-feu Azure Key Vault dans le cadre du stockage de clés MACsec ?

Oui, ExpressRoute est un service Microsoft approuvé. Vous pouvez configurer des stratégies de pare-feu Azure Key Vault afin d’autoriser les services approuvés à contourner le pare-feu. Pour plus d’informations, consultez Configurer les pare-feux et réseaux virtuels d’Azure Key Vault.

Puis-je activer MACsec sur mon circuit ExpressRoute provisionné par un fournisseur ExpressRoute ?

Non. MACsec chiffre tout le trafic sur un lien physique avec une clé appartenant à une entité unique (par exemple, le client). Il est donc disponible uniquement sur ExpressRoute Direct.

Puis-je chiffrer certains circuits ExpressRoute sur mes ports ExpressRoute Direct et en laisser d’autres non chiffrés ?

Non. Une fois que vous avez activé MACsec, tout le trafic de contrôle réseau (comme le trafic de données BGP) et le trafic de données client est chiffré.

Mon réseau local perd-il la connectivité à Microsoft sur ExpressRoute quand j’active/je désactive MACsec ou quand je mets à jour la clé MACsec ?

Oui. Nous prenons en charge le mode de clé prépartagée uniquement pour la configuration MACsec, ce qui signifie que vous devez mettre à jour la clé sur vos appareils et sur ceux de Microsoft (via notre API). Cette modification n’étant pas atomique, vous perdez la connectivité si les clés ne correspondent pas. Nous vous recommandons fortement de planifier une fenêtre de maintenance pour la modification de la configuration. Pour réduire le temps d’arrêt, mettez à jour la configuration sur un lien d’ExpressRoute Direct à la fois, après avoir basculé le trafic réseau sur l’autre lien.

Le trafic continue-t-il à circuler si la clé MACsec ne correspond pas entre mes appareils et ceux de Microsoft ?

Non. Si MACsec est activé et que les clés ne correspondent pas, vous perdez la connectivité à Microsoft. Le trafic ne revient pas à une connexion non cryptée, ce qui garantit la protection de vos données.

L’activation de MACsec sur ExpressRoute Direct dégrade-t-elle les performances du réseau ?

Le chiffrement et le déchiffrement MACsec se produisent dans le matériel sur les routeurs que nous utilisons. Il n’y a donc aucune dégradation des performances de notre côté. Toutefois, vérifiez auprès de votre fournisseur de réseau si MACsec a des implications en termes de performances pour vos appareils.

Quelles sont les suites de chiffrement prises en charge pour le chiffrement ?

Nous prenons en charge les chiffrements standard suivants :

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

ExpressRoute Direct MACsec prend-il en charge Secure Channel Identifier (SCI) ?

Oui, vous pouvez définir Secure Channel Identifier (SCI) sur les ports ExpressRoute Direct. Pour plus d’informations, consultez Configurer MACsec.

Questions fréquentes sur le chiffrement de bout en bout d’IPsec

IPsec est une norme IETF qui chiffre les données au niveau des adresses IP (Internet Protocol) (couche réseau 3). Vous pouvez utiliser IPsec pour chiffrer une connexion de bout en bout entre votre réseau local et votre réseau virtuel sur Azure.

Puis-je activer IPsec en plus de MACsec sur mes ports ExpressRoute Direct ?

Oui. MACsec sécurise les connexions physiques entre vous et Microsoft, tandis qu’IPsec sécurise la connexion de bout en bout entre vous et vos réseaux virtuels sur Azure. Vous pouvez activer ces deux technologies indépendamment.

Puis-je utiliser la passerelle VPN Azure pour configurer le tunnel IPsec sur le peering privé Azure ?

Oui. Si vous utilisez Azure Virtual WAN, suivez les étapes décrites dans VPN par ExpressRoute pour Virtual WAN pour chiffrer votre connexion de bout en bout. Si vous disposez d’un réseau virtuel Azure standard, suivez les étapes décrites dans Connexion de site à site sur peering privé pour établir un tunnel IPsec entre la passerelle VPN Azure et votre passerelle VPN locale.

Quel est le débit obtenu après avoir activé IPsec sur ma connexion ExpressRoute ?

Si vous utilisez la passerelle VPN Azure, passez en revue ces chiffres de performances pour voir s’ils correspondent à votre débit attendu. Si vous utilisez une passerelle VPN tierce, contactez le fournisseur pour obtenir ses chiffres de performances.

Étapes suivantes

  • Pour plus d’informations sur la configuration d’IPsec, consultez Configurer IPsec.

  • Pour plus d’informations sur la configuration de MACsec, consultez Configurer MACsec.