Udostępnij za pośrednictwem

Informacje o szyfrowaniu dla usługi Azure ExpressRoute

  • Artykuł

Usługa ExpressRoute obsługuje technologie szyfrowania w celu zapewnienia poufności i integralności danych między siecią a siecią firmy Microsoft. Domyślnie ruch za pośrednictwem połączenia usługi ExpressRoute nie jest szyfrowany.

Szyfrowanie typu punkt-punkt przez program MACsec — często zadawane pytania

MACsec to standard IEEE, który szyfruje dane na poziomie kontroli dostępu do multimediów (MAC) (warstwa 2). Protokół MACsec umożliwia szyfrowanie fizycznych połączeń między urządzeniami sieciowymi i urządzeniami sieciowymi firmy Microsoft podczas nawiązywania połączenia za pośrednictwem usługi ExpressRoute Direct. Protokół MACsec na portach usługi ExpressRoute Direct jest domyślnie wyłączony. Musisz mieć własny klucz MACsec na potrzeby szyfrowania i przechowywać go w usłudze Azure Key Vault. Ty decydujesz, kiedy klucz ma zostać zmieniony.

Czy mogę włączyć zasady zapory usługi Azure Key Vault podczas przechowywania kluczy MACsec?

Tak, usługa ExpressRoute jest zaufaną usługą firmy Microsoft. Możesz skonfigurować zasady zapory usługi Azure Key Vault, aby umożliwić zaufanym usługom obejście zapory. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Key Vault.

Czy mogę włączyć protokół MACsec w obwodzie usługi ExpressRoute aprowizowanym przez dostawcę usługi ExpressRoute?

L.p. Usługa MACsec szyfruje cały ruch w linku fizycznym przy użyciu klucza należącego do jednej jednostki (na przykład klienta). W związku z tym jest ona dostępna tylko w usłudze ExpressRoute Direct.

Czy mogę zaszyfrować niektóre obwody usługi ExpressRoute na portach usługi ExpressRoute Direct i pozostawić inne niezaszyfrowane?

L.p. Po włączeniu protokołu MACsec cały ruch sterowania siecią (na przykład ruch danych BGP) i ruch danych klientów są szyfrowane.

Czy moja sieć lokalna utraci łączność z firmą Microsoft za pośrednictwem usługi ExpressRoute po włączeniu/wyłączeniu protokołu MACsec lub zaktualizowaniu klucza MACsec?

Tak. Obsługujemy tryb klucza wstępnego tylko w przypadku konfiguracji protokołu MACsec, co oznacza, że musisz zaktualizować klucz zarówno na urządzeniach, jak i w firmie Microsoft (za pośrednictwem naszego interfejsu API). Ta zmiana nie jest niepodzielna, więc utracisz łączność w przypadku niezgodności klucza. Zdecydowanie zalecamy zaplanowanie okna obsługi dla zmiany konfiguracji. Aby zminimalizować przestoje, zaktualizuj konfigurację na jednym linku usługi ExpressRoute Direct naraz po przełączeniu ruchu sieciowego do drugiego łącza.

Czy ruch nadal przepływa, jeśli między moimi urządzeniami i firmą Microsoft występuje niezgodność klucza MACsec?

L.p. Jeśli skonfigurowano protokół MACsec i wystąpi niezgodność klucza, utracisz łączność z firmą Microsoft. Ruch nie wraca do nieszyfrowanego połączenia, zapewniając, że dane pozostają chronione.

Czy włączenie protokołu MACsec w usłudze ExpressRoute Direct obniża wydajność sieci?

Szyfrowanie i odszyfrowywanie MACsec występuje na sprzęcie na używanych routerach, więc nie ma obniżenia wydajności po naszej stronie. Sprawdź jednak u dostawcy sieci, czy usługa MACsec ma jakiekolwiek konsekwencje dla wydajności urządzeń.

Które zestawy szyfrowania są obsługiwane na potrzeby szyfrowania?

Obsługujemy następujące standardowe szyfry:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Czy usługa ExpressRoute Direct MACsec obsługuje identyfikator bezpiecznego kanału (SCI)?

Tak, można ustawić identyfikator bezpiecznego kanału (SCI) na portach usługi ExpressRoute Direct. Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu MACsec.

Kompleksowe szyfrowanie za pomocą protokołu IPsec — często zadawane pytania

IPsec to standard IETF, który szyfruje dane na poziomie protokołu internetowego (IP) (warstwa 3). Protokół IPsec umożliwia szyfrowanie kompleksowego połączenia między siecią lokalną a siecią wirtualną na platformie Azure.

Czy mogę włączyć protokół IPsec oprócz protokołu MACsec na portach usługi ExpressRoute Direct?

Tak. Usługa MACsec zabezpiecza połączenia fizyczne między Tobą a firmą Microsoft, a protokół IPsec zabezpiecza kompleksowe połączenie między Tobą a sieciami wirtualnymi na platformie Azure. Można je włączyć niezależnie.

Czy mogę użyć bramy sieci VPN platformy Azure do skonfigurowania tunelu IPsec za pośrednictwem prywatnej komunikacji równorzędnej platformy Azure?

Tak. Jeśli używasz usługi Azure Virtual WAN, wykonaj kroki opisane w artykule Vpn over ExpressRoute for Virtual WAN (Sieć VPN za pośrednictwem usługi ExpressRoute dla usługi Virtual WAN ), aby zaszyfrować połączenie kompleksowe. Jeśli masz zwykłą sieć wirtualną platformy Azure, postępuj zgodnie z instrukcjami połączenia vpn typu lokacja-lokacja za pośrednictwem prywatnej komunikacji równorzędnej , aby ustanowić tunel IPsec między bramą azure VPN Gateway i lokalną bramą sieci VPN.

Jaka jest przepływność po włączeniu protokołu IPsec w połączeniu usługi ExpressRoute?

Jeśli używasz bramy sieci VPN platformy Azure, zapoznaj się z tymi numerami wydajności, aby sprawdzić, czy są one zgodne z oczekiwaną przepływnością. Jeśli używasz bramy sieci VPN innej firmy, zapoznaj się z dostawcą pod kątem ich numerów wydajności.

Następne kroki