Delen via

Over versleuteling voor Azure ExpressRoute

  • Artikel

ExpressRoute ondersteunt versleutelingstechnologieën om de vertrouwelijkheid en integriteit van gegevens tussen uw netwerk en het microsoft-netwerk te waarborgen. Standaard wordt verkeer via een ExpressRoute-verbinding niet versleuteld.

Veelgestelde vragen over punt-naar-puntversleuteling door MACsec

MACsec is een IEEE-standaard die gegevens versleutelt op MAC-niveau (Media Access Control) (Network Layer 2). U kunt MACsec gebruiken om de fysieke koppelingen tussen uw netwerkapparaten en de netwerkapparaten van Microsoft te versleutelen wanneer u verbinding maakt via ExpressRoute Direct. MACsec is standaard uitgeschakeld op ExpressRoute Direct poorten. U moet uw eigen MACsec-sleutel gebruiken voor versleuteling en deze opslaan in Azure Key Vault. U bepaalt wanneer u de sleutel wilt roteren.

Kan ik firewallbeleid voor Azure Key Vault inschakelen bij het opslaan van MACsec-sleutels?

Ja, ExpressRoute is een vertrouwde Microsoft-service. U kunt azure Key Vault-firewallbeleid configureren om vertrouwde services toe te staan om de firewall te omzeilen. Zie Azure Key Vault-firewalls en virtuele netwerken configureren voor meer informatie.

Kan ik MACsec inschakelen op mijn ExpressRoute-circuit dat is ingericht door een ExpressRoute-provider?

Nee MACsec versleutelt al het verkeer op een fysieke koppeling met een sleutel die eigendom is van één entiteit (bijvoorbeeld de klant). Daarom is deze alleen beschikbaar op ExpressRoute Direct.

Kan ik sommige ExpressRoute-circuits versleutelen op mijn ExpressRoute Direct-poorten en anderen niet-versleuteld laten?

Nee Zodra MACsec is ingeschakeld, worden al het netwerkbeheerverkeer (bijvoorbeeld BGP-gegevensverkeer) en klantgegevensverkeer versleuteld.

Verliest mijn on-premises netwerk de verbinding met Microsoft via ExpressRoute wanneer ik MACsec in- of uitschakelt of de MACsec-sleutel bijwerk?

Ja. We ondersteunen de vooraf gedeelde sleutelmodus alleen voor MACsec-configuratie, wat betekent dat u de sleutel moet bijwerken op zowel uw apparaten als microsoft (via onze API). Deze wijziging is niet atomisch, dus u verliest de connectiviteit wanneer er een sleutel niet overeenkomt. U wordt ten zeerste aangeraden een onderhoudsvenster te plannen voor de configuratiewijziging. Als u downtime wilt minimaliseren, werkt u de configuratie bij op één koppeling van ExpressRoute Direct tegelijk nadat u uw netwerkverkeer naar de andere koppeling hebt overgeschakeld.

Blijft het verkeer stromen als er een MACsec-sleutel niet overeenkomt tussen mijn apparaten en Microsoft?

Nee Als MACsec is geconfigureerd en een sleutel niet overeenkomt, verliest u de verbinding met Microsoft. Verkeer valt niet terug op een niet-versleutelde verbinding, zodat uw gegevens beveiligd blijven.

Verslechtert het inschakelen van MACsec op ExpressRoute Direct de netwerkprestaties?

MACsec-versleuteling en ontsleuteling vinden plaats in hardware op de routers die we gebruiken, dus er is geen prestatievermindering aan onze kant. Neem echter contact op met uw netwerkleverancier om te zien of MACsec gevolgen heeft voor de prestaties van uw apparaten.

Welke coderingssuites worden ondersteund voor versleuteling?

We ondersteunen de volgende standaard coderingen:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Biedt ExpressRoute Direct MACsec ondersteuning voor Secure Channel Identifier (SCI)?

Ja, u kunt SCI (Secure Channel Identifier) instellen op de ExpressRoute Direct-poorten. Zie MACsec configureren voor meer informatie.

Veelgestelde vragen over end-to-end-versleuteling per IPsec

IPsec is een IETF-standaard waarmee gegevens worden versleuteld op IP-niveau (Internet Protocol) (Network Layer 3). U kunt IPsec gebruiken om een end-to-end-verbinding tussen uw on-premises netwerk en uw virtuele netwerk in Azure te versleutelen.

Kan ik IPsec inschakelen naast MACsec op mijn ExpressRoute Direct-poorten?

Ja. MACsec beveiligt de fysieke verbindingen tussen u en Microsoft, terwijl IPsec de end-to-end-verbinding tussen u en uw virtuele netwerken in Azure beveiligt. U kunt ze onafhankelijk inschakelen.

Kan ik Azure VPN-gateway gebruiken om de IPsec-tunnel in te stellen via Persoonlijke Azure-peering?

Ja. Als u Azure Virtual WAN gebruikt, volgt u de stappen in VPN via ExpressRoute voor Virtual WAN om uw end-to-end-verbinding te versleutelen. Als u een normaal virtueel Azure-netwerk hebt, volgt u de site-naar-site-VPN-verbinding via privépeering om een IPsec-tunnel tot stand te brengen tussen Azure VPN-gateway en uw on-premises VPN-gateway.

Wat is de doorvoer na het inschakelen van IPsec op mijn ExpressRoute-verbinding?

Als u Azure VPN Gateway gebruikt, controleert u deze prestatienummers om te zien of deze overeenkomen met de verwachte doorvoer. Als u een VPN-gateway van derden gebruikt, neem dan contact op met de leverancier voor hun prestatienummers.

Volgende stappen