Azure ExpressRoute の暗号化について
ExpressRoute では、お使いのネットワークと Microsoft のネットワークの間のデータの機密性と整合性を確保するために、暗号化テクノロジがサポートされています。 既定では、ExpressRoute 接続経由のトラフィックは暗号化されません。
MACsec によるポイントツーポイント暗号化に関する FAQ
MACsec は、メディア アクセス制御 (MAC) レベル (ネットワーク層 2) でデータを暗号化する IEEE 標準 です。 ExpressRoute Direct 経由で接続するときに、MACsec を利用し、お使いのネットワーク デバイスと Microsoft のネットワーク デバイスの間の物理リンクを暗号化できます。 既定では、MACsec は ExpressRoute Direct ポートで無効になっています。 暗号化用に自分の MACsec キーを持ち込み、それを Azure Key Vault に格納する必要があります。 キーを交換するタイミングを決定します。
MACsec キーを格納するときに Azure Key Vault ファイアウォール ポリシーを有効にすることはできますか?
はい。ExpressRoute は信頼された Microsoft サービスです。 Azure Key Vault ファイアウォール ポリシーを構成し、信頼されたサービスがファイアウォールをバイパスできるようにすることができます。 詳細については、「Azure Key Vault のファイアウォールと仮想ネットワークを構成する」を参照してください。
ExpressRoute プロバイダーからプロビジョニングされた自分の ExpressRoute 回線で MACsec を有効にできますか。
いいえ。 MACsec では、あるエンティティ (たとえば、顧客など) が所有するキーによって物理リンク上のあらゆるトラフィックが暗号化されます。 そのため、ExpressRoute Direct 上でのみ利用できます。
ExpressRoute 回線の一部を自分の ExpressRoute Direct ポートで暗号化し、その他の回線を暗号化しないままにすることができますか?
いいえ。 MACsec を有効にすると、すべてのネットワーク制御トラフィック (BGP データ トラフィックなど) と顧客データ トラフィックが暗号化されます。
MACsec の有効/無効を設定したり、MACsec キーを更新したりすると、自分のオンプレミス ネットワークでは、ExpressRoute 経由での Microsoft への接続が失われますか?
はい。 事前共有キー モードは MACsec 構成でのみサポートされています。つまり、デバイスと Microsoft の両方でキーを (API 経由で) 更新する必要があります。 この変更はアトミックではないため、キーが一致しない場合、接続が失われます。 構成変更のためにメンテナンス期間をスケジュールすることを強くお勧めします。 ダウンタイムを最小限に抑えるために、その他のリンクにネットワーク トラフィックを切り替えたら、ExpressRoute Direct の 1 つのリンクで構成を更新してください。
自分のデバイスと Microsoft のデバイスの間で MACsec キーが一致しない場合、トラフィックは引き続き流れますか?
いいえ。 MACsec が構成されているとき、キーの不一致が発生した場合、Microsoft への接続が失われます。 トラフィックは暗号化されていない接続にフォールバックされず、データが保護されたままになるよう徹底されます。
ExpressRoute Direct で MACsec を有効にすると、ネットワーク パフォーマンスが低下しますか。
MACsec の暗号化と解読は、使用しているルーターのハードウェアで行われるため、Microsoft 側ではパフォーマンスの低下がありません。 ただし、ネットワーク ベンダーに問い合わせて、MACsec がデバイスのパフォーマンスに影響を与えているかどうかを確認してください。
暗号化にはどの暗号スイートがサポートされていますか。
以下の標準の暗号がサポートされています。
- GCM-AES-128
- GCM-AES-256
- GCM-AES-XPN-128
- GCM-AES-XPN-256
ExpressRoute Direct の MACsec では Secure Channel Identifier (SCI) がサポートされますか?
はい。ExpressRoute Direct ポートで Secure Channel Identifier (SCI) を設定できます。 詳細については、「MACsec を構成する」を参照してください。
IPsec によるエンドツーエンドの暗号化に関してよくあるご質問
IPsec は、インターネット プロトコル (IP) レベル (ネットワーク層 3) でデータを暗号化する IETF 標準です。 お使いのオンプレミス ネットワークと Azure でお使いの仮想ネットワークの間でエンドツーエンドの接続を暗号化する目的で IPsec を利用できます。
自分の ExpressRoute Direct ポートでは、MACsec に加えて IPsec を有効にできますか。
はい。 MACsec は、お客様と Microsoft の間の物理的な接続をセキュリティで保護します。一方、IPsec は、お客様と Azure 上の仮想ネットワークの間のエンド ツー エンド接続をセキュリティで保護します。 いずれも個別に有効にすることができます。
Azure VPN ゲートウェイを利用し、Azure プライベート ピアリング経由で IPsec トンネルを設定できます。
はい。 Azure Virtual WAN を使用する場合は、Virtual WAN 向けの ExpressRoute 経由の VPN の手順に従って、エンド ツー エンド接続を暗号化します。 通常の Azure 仮想ネットワークを使用している場合は、プライベート ピアリング経由のサイト間 VPN 接続に従って、Azure VPN ゲートウェイとオンプレミスの VPN ゲートウェイの間に IPsec トンネルを確立します。
自分の ExpressRoute 接続で IPsec を有効にすると、どのようなスループットが得られますか?
Azure VPN ゲートウェイを使用している場合は、これらのパフォーマンス数値を確認して、予想されるスループットと一致するかどうかを確認します。 サードパーティ製の VPN ゲートウェイを使用している場合、パフォーマンス数値についてはベンダーにお問い合わせください。
次のステップ
IPsec 構成に関する詳細については、IPsec の構成に関するページを参照してください。
MACsec 構成に関する詳細については、MACsec の構成に関するページを参照してください。