Compartilhar via

Sobre criptografia para o Azure ExpressRoute

  • Artigo

O ExpressRoute dá suporte a tecnologias de criptografia para garantir a confidencialidade e a integridade dos dados entre sua rede e a rede da Microsoft. Por padrão, o tráfego em uma conexão do ExpressRoute não é criptografado.

Perguntas frequentes sobre a criptografia de ponta a ponta do MACsec

O MACsec é um padrão IEEE que criptografa dados no nível do MAC (Controle de Acesso à Mídia) (Camada de Rede 2). Você pode usar o MACsec para criptografar os links físicos entre os seus dispositivos de rede e os dispositivos de rede da Microsoft ao se conectar por meio do ExpressRoute Direct. O MACsec é desabilitado em portas do ExpressRoute Direct por padrão. Você precisa trazer a sua própria chave MACsec para criptografia e armazenamento no Azure Key Vault. Você decide quando girar a chave.

Posso habilitar as políticas de firewall do Azure Key Vault ao armazenar chaves MACsec?

Sim, o ExpressRoute é um serviço confiável da Microsoft. Você pode configurar políticas de firewall do Azure Key Vault para permitir que serviços confiáveis ignorem o firewall. Para obter mais informações, consulte Configurar redes virtuais e firewalls do Azure Key Vault.

Posso habilitar o MACsec no meu circuito do ExpressRoute provisionado por um provedor do ExpressRoute?

Não. O MACsec criptografa todo o tráfego em um link físico com uma chave que pertence a uma entidade (ou seja, um cliente). Portanto, ele está disponível somente no ExpressRoute Direct.

Posso criptografar alguns circuitos do ExpressRoute em minhas portas do ExpressRoute Direct e deixar outros não criptografados?

Não. Quando o MACsec está habilitado, todo o tráfego de controle de rede (por exemplo, o tráfego de dados BGP) e o tráfego de dados do cliente são criptografados.

Minha rede local perderá a conectividade com a Microsoft por meio do ExpressRoute quando eu habilitar/desabilitar o MACsec ou atualizar a chave do MACsec?

Sim. Damos suporte ao modo de chave pré-compartilhado somente para a configuração do MACsec, o que significa que você precisa atualizar a chave em seus dispositivos e no da Microsoft (por meio de nossa API). Essa alteração não é atômica, portanto, você perderá a conectividade quando houver uma incompatibilidade de chave. É altamente recomendável o agendamento de uma janela de manutenção para a alteração de configuração. Para minimizar o tempo de inatividade, atualize a configuração em um link do ExpressRoute Direct por vez depois de direcionar o tráfego de rede para o outro link.

O tráfego continuará a fluir se houver uma incompatibilidade na chave do MACsec entre meus dispositivos e a Microsoft?

Não. Se o MACsec estiver configurado e ocorrer uma incompatibilidade de chave, você perderá a conectividade com a Microsoft. O tráfego não volta para uma conexão não criptografada, garantindo que seus dados permaneçam protegidos.

A habilitação do MACsec no ExpressRoute Direct diminuirá o desempenho da rede?

A criptografia e a descriptografia do MACsec ocorrem em hardware nos roteadores que usamos, portanto, não há degradação de desempenho do nosso lado. No entanto, verifique com o fornecedor de rede se o MACsec tem implicações de desempenho para seus dispositivos.

Quais conjuntos de codificação têm suporte para criptografia?

Damos suporte às seguintes criptografias padrão:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

O EXPRESSRoute Direct MACsec dá suporte ao SCI (Identificador de Canal Seguro)?

Sim, defina o Identificador de Canal Seguro (SCI) nas portas ExpressRoute Direct. Para obter mais informações, consulte Configurar o MACsec.

Perguntas frequentes sobre criptografia de ponta a ponta do IPsec

O IPsec é um padrão IETF que criptografa dados no nível do IP (Protocolo de Internet) (Camada de Rede 3). Você pode usar o IPsec para criptografar uma conexão de ponta a ponta entre sua rede local e sua rede virtual no Azure.

Posso habilitar o IPsec além do MACsec em minhas portas do ExpressRoute Direct?

Sim. O MACsec protege as conexões físicas entre você e a Microsoft, enquanto o IPsec protege a conexão de ponta a ponta entre você e suas redes virtuais no Azure. Você pode habilitá-las de maneira independente.

Posso usar o gateway de VPN do Azure para configurar o túnel IPsec sobre o Emparelhamento Privado do Azure?

Sim. Se você usar a WAN Virtual do Azure, siga as etapas em VPN no ExpressRoute para WAN Virtual para criptografar sua conexão de ponta a ponta. Se você tiver uma rede virtual regular do Azure, siga a conexão VPN site a site por meio de emparelhamento privado para estabelecer um túnel IPsec entre o gateway de VPN do Azure e seu gateway de VPN local.

Qual será a taxa de transferência depois de habilitar o IPsec na conexão do ExpressRoute?

Se você usar o gateway de VPN do Azure, examine esses números de desempenho para ver se eles correspondem à taxa de transferência esperada. Se você usar um gateway de VPN de terceiros, verifique com o fornecedor seus números de desempenho.

Próximas etapas

  • Para obter mais informações sobre a configuração do IPsec, consulte Configurar IPsec

  • Para obter mais informações sobre a configuração do MACsec, confira Configurar o MACsec.