Delen via

ExpressRoute-versleuteling

  • Artikel

ExpressRoute ondersteunt een aantal versleutelingstechnologieën om vertrouwelijkheid en integriteit te garanderen van het gegevensverkeer tussen uw netwerk en het netwerk van Microsoft. Standaard wordt verkeer via een ExpressRoute-verbinding niet versleuteld.

Veelgestelde vragen over punt-naar-puntversleuteling door MACsec

MACsec is een IEEE-standaard. Het versleutelt gegevens op het niveau van Media Access Control (MAC) of Netwerklaag 2. U kunt MACsec gebruiken om de fysieke koppelingen tussen uw netwerkapparaten en de netwerkapparaten van Microsoft te versleutelen wanneer u via ExpressRoute Direct verbinding maakt met Microsoft. MACsec is standaard uitgeschakeld op ExpressRoute Direct poorten. U gebruikt uw eigen MACsec-sleutel voor versleuteling en slaat deze op in Azure Key Vault. U bepaalt wanneer u de sleutel wilt roteren.

Kan ik firewallbeleid voor Azure Key Vault inschakelen bij het opslaan van MACsec-sleutels?

Ja, ExpressRoute is een vertrouwde Microsoft-service. U kunt azure Key Vault-firewallbeleid configureren en vertrouwde services toestaan om de firewall te omzeilen. Zie Azure Key Vault-firewalls en virtuele netwerken configureren voor meer informatie.

Kan ik MACsec inschakelen op mijn ExpressRoute-circuit dat is ingericht door een ExpressRoute-provider?

Nee MACsec versleutelt al het verkeer op een fysieke koppeling met een sleutel die eigendom is van één entiteit (bijvoorbeeld klant). Daarom is deze alleen beschikbaar op ExpressRoute Direct.

Kan ik sommige ExpressRoute-circuits op mijn ExpressRoute Direct-poorten versleutelen en andere circuits niet versleuteld laten op dezelfde poorten?

Nee Zodra MACsec is ingeschakeld, worden bijvoorbeeld al het netwerkbeheerverkeer, het BGP-gegevensverkeer en klantgegevensverkeer versleuteld.

Wanneer ik MACsec in- of uitschakelt of MACsec-sleutel bijwerk, verliest mijn on-premises netwerk de verbinding met Microsoft via ExpressRoute?

Ja. Voor de MACsec-configuratie ondersteunen we alleen de vooraf gedeelde sleutelmodus. Dit betekent dat u de sleutel moet bijwerken op zowel uw apparaten als op Microsoft (via onze API). Deze wijziging is niet atomisch, dus u verliest de connectiviteit wanneer er een sleutel niet overeenkomt tussen de twee zijden. We raden u ten zeerste aan een onderhoudsvenster te plannen voor de configuratiewijziging. Om de downtime te minimaliseren, raden we u aan om de configuratie bij te werken op één koppeling van ExpressRoute Direct tegelijk nadat u uw netwerkverkeer naar de andere koppeling hebt overgeschakeld.

Blijft het verkeer stromen als er een niet-overeenkomende MACsec-sleutel tussen mijn apparaten en Microsoft is?

Nee Als MACsec is geconfigureerd en een sleutel niet overeenkomt, verliest u de verbinding met Microsoft. Met andere woorden, verkeer valt niet terug op een niet-versleutelde verbinding, waardoor uw gegevens zichtbaar worden.

Verslechtert het inschakelen van MACsec op ExpressRoute Direct de netwerkprestaties?

MACsec-versleuteling en ontsleuteling vinden plaats in hardware op de routers die we gebruiken. Er is geen prestatievermindering aan onze kant. Neem echter contact op met de netwerkleverancier voor de apparaten die u gebruikt en kijk of MACsec prestatieimplicatie heeft.

Welke coderingssuites worden ondersteund voor versleuteling?

We ondersteunen de volgende standaard coderingen:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Biedt ExpressRoute Direct MACsec ondersteuning voor Secure Channel Identifier (SCI)?

Ja, u kunt SCI (Secure Channel Identifier) instellen op de ExpressRoute Direct-poorten. Zie MACsec configureren voor meer informatie.

Veelgestelde vragen over end-to-end-versleuteling per IPsec

IPsec is een IETF-standaard. Hiermee worden gegevens versleuteld op IP-niveau (Internet Protocol) of Netwerklaag 3. U kunt IPsec gebruiken om een end-to-end-verbinding tussen uw on-premises netwerk en uw virtuele netwerk in Azure te versleutelen.

Kan ik IPsec inschakelen naast MACsec op mijn ExpressRoute Direct-poorten?

Ja. MACsec beveiligt de fysieke verbindingen tussen u en Microsoft. IPsec beveiligt de end-to-end-verbinding tussen u en uw virtuele netwerken in Azure. U kunt ze onafhankelijk inschakelen.

Kan ik Azure VPN-gateway gebruiken om de IPsec-tunnel in te stellen via Persoonlijke Azure-peering?

Ja. Als u Azure Virtual WAN gebruikt, kunt u stappen volgen in VPN via ExpressRoute voor Virtual WAN om uw end-to-end-verbinding te versleutelen. Als u een normaal virtueel Azure-netwerk hebt, kunt u de site-naar-site-VPN-verbinding volgen via privépeering om een IPsec-tunnel tot stand te brengen tussen Azure VPN-gateway en uw on-premises VPN-gateway.

Wat is de doorvoer die ik krijg na het inschakelen van IPsec op mijn ExpressRoute-verbinding?

Als Azure VPN-gateway wordt gebruikt, controleert u deze prestatienummers om te zien of deze overeenkomen met de verwachte doorvoer. Als een VPN-gateway van derden wordt gebruikt, neemt u contact op met de leverancier voor hun prestatienummers.

Volgende stappen