Condividi tramite

Informazioni sulla crittografia per Azure ExpressRoute

  • Articolo

ExpressRoute supporta tecnologie di crittografia per garantire la riservatezza e l'integrità dei dati tra la rete e la rete Microsoft. Per impostazione predefinita, il traffico su una connessione ExpressRoute non è crittografato.

Domande frequenti sulla crittografia da punto a punto tramite MACsec

MACsec è uno standard IEEE che crittografa i dati a livello di Media Controllo di accesso (MAC) (Network Layer 2). È possibile usare MACsec per crittografare i collegamenti fisici tra i dispositivi di rete e i dispositivi di rete Microsoft durante la connessione tramite ExpressRoute Direct. MACsec è disabilitato per impostazione predefinita nelle porte ExpressRoute Direct. È necessario usare la propria chiave MACsec per la crittografia e archiviarla in Azure Key Vault. L’utente decide quando ruotare la chiave.

È possibile abilitare i criteri firewall di Azure Key Vault durante l'archiviazione delle chiavi MACsec?

Sì, ExpressRoute è un servizio Microsoft attendibile. È possibile configurare i criteri firewall di Azure Key Vault per consentire ai servizi attendibili di ignorare il firewall. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Azure Key Vault.

È possibile abilitare MACsec nel circuito ExpressRoute di cui è stato effettuato il provisioning da un provider ExpressRoute?

No. MACsec crittografa tutto il traffico su un collegamento fisico con una chiave di proprietà di un'entità, ad esempio il cliente. Pertanto, è disponibile solo in ExpressRoute Direct.

È possibile crittografare alcuni circuiti ExpressRoute nelle porte ExpressRoute Direct e lasciare altri non crittografati?

No. Dopo l'abilitazione di MACsec, tutto il traffico di controllo di rete (ad esempio, il traffico dati BGP) e il traffico dei dati dei clienti vengono crittografati.

La rete locale perderà la connettività a Microsoft tramite ExpressRoute quando si abilita o si disabilita MACsec o si aggiorna la chiave MACsec?

Sì. È supportata la modalità chiave precondivisa solo per la configurazione MACsec, ovvero è necessario aggiornare la chiave nei dispositivi e microsoft (tramite l'API). Questa modifica non è atomica, quindi si perde la connettività quando si verifica una mancata corrispondenza della chiave. È consigliabile pianificare una finestra di manutenzione per la modifica della configurazione. Per ridurre al minimo i tempi di inattività, aggiornare la configurazione in un collegamento di ExpressRoute Direct alla volta dopo il passaggio del traffico di rete all'altro collegamento.

Il traffico continua a fluire se esiste una mancata corrispondenza della chiave MACsec tra i dispositivi e Microsoft?

No. Se MACsec è configurato e si verifica una mancata corrispondenza della chiave, si perde la connettività a Microsoft. Il traffico non esegue il fallback a una connessione non crittografata, assicurandosi che i dati rimangano protetti.

L'abilitazione di MACsec in ExpressRoute Direct degrada le prestazioni di rete?

La crittografia e la decrittografia MACsec si verificano nell'hardware nei router usati, quindi non c'è alcuna riduzione delle prestazioni sul nostro lato. Tuttavia, rivolgersi al fornitore di rete per verificare se MACsec ha implicazioni sulle prestazioni per i dispositivi.

Quali pacchetti di crittografia sono supportati per la crittografia?

Sono supportate le crittografie standard seguenti:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

ExpressRoute Direct MACsec supporta Secure Channel Identifier (SCI)?

Sì, è possibile impostare SECURE Channel Identifier (SCI) sulle porte ExpressRoute Direct. Per altre informazioni, vedere Configurare MACsec.

Domande frequenti sulla crittografia end-to-end di IPsec

IPsec è uno standard IETF che crittografa i dati a livello di IP (Internet Protocol) (Network Layer 3). È possibile usare IPsec per crittografare una connessione end-to-end tra la rete locale e la rete virtuale in Azure.

È possibile abilitare IPsec oltre a MACsec sulle porte ExpressRoute Direct?

Sì. MACsec protegge le connessioni fisiche tra l'utente e Microsoft, mentre IPsec protegge la connessione end-to-end tra l'utente e le reti virtuali in Azure. È possibile abilitarli in modo indipendente.

È possibile usare il gateway VPN di Azure per configurare il tunnel IPsec tramite peering privato di Azure?

Sì. Se si usa Azure rete WAN virtuale, seguire la procedura descritta in VPN su ExpressRoute per rete WAN virtuale per crittografare la connessione end-to-end. Se si dispone di una normale rete virtuale di Azure, seguire la connessione VPN da sito a sito tramite peering privato per stabilire un tunnel IPsec tra il gateway VPN di Azure e il gateway VPN locale.

Qual è la velocità effettiva dopo l'abilitazione di IPsec nella connessione ExpressRoute?

Se si usa il gateway VPN di Azure, esaminare questi numeri di prestazioni per verificare se corrispondono alla velocità effettiva prevista. Se si usa un gateway VPN di terze parti, rivolgersi al fornitore per ottenere i relativi numeri di prestazioni.

Passaggi successivi