Partilhar via

Sobre a criptografia para o Azure ExpressRoute

  • Artigo

O ExpressRoute suporta tecnologias de encriptação para garantir a confidencialidade e integridade dos dados entre a sua rede e a rede da Microsoft. Por padrão, o tráfego em uma conexão de Rota Expressa não é criptografado.

Criptografia ponto-a-ponto por MACsec FAQ

MACsec é um padrão IEEE que criptografa dados no nível de controle de acesso à mídia (MAC) (camada de rede 2). Você pode usar o MACsec para criptografar os links físicos entre seus dispositivos de rede e os dispositivos de rede da Microsoft ao se conectar via ExpressRoute Direct. O MACsec está desativado nas portas do ExpressRoute Direct por predefinição. Você deve trazer sua própria chave MACsec para criptografia e armazená-la no Cofre de Chaves do Azure. Decida quando rodar a chave.

Posso habilitar as políticas de firewall do Azure Key Vault ao armazenar chaves MACsec?

Sim, o ExpressRoute é um serviço confiável da Microsoft. Você pode configurar políticas de firewall do Azure Key Vault para permitir que serviços confiáveis ignorem o firewall. Para obter mais informações, consulte Configurar firewalls e redes virtuais do Azure Key Vault.

Posso ativar o MACsec no meu circuito de Rota Expressa provisionado por um provedor de Rota Expressa?

N.º MACsec criptografa todo o tráfego em um link físico com uma chave de propriedade de uma entidade (por exemplo, o cliente). Portanto, ele está disponível apenas no ExpressRoute Direct.

Posso criptografar alguns circuitos do ExpressRoute nas minhas portas do ExpressRoute Direct e deixar outros sem criptografia?

N.º Uma vez que o MACsec está ativado, todo o tráfego de controle de rede (por exemplo, tráfego de dados BGP) e tráfego de dados do cliente são criptografados.

A minha rede local perderá a conectividade com a Microsoft através da Rota Expressa quando eu ativar/desativar o MACsec ou atualizar a chave MACsec?

Sim. Suportamos o modo de chave pré-partilhada apenas para configuração MACsec, o que significa que precisa de atualizar a chave nos seus dispositivos e nos da Microsoft (através da nossa API). Essa alteração não é atômica, então você perde a conectividade quando há uma incompatibilidade de chaves. É altamente recomendável agendar uma janela de manutenção para a alteração de configuração. Para minimizar o tempo de inatividade, atualize a configuração em um link do ExpressRoute Direct de cada vez depois de alternar o tráfego de rede para o outro link.

O tráfego continua a fluir se houver uma incompatibilidade de chaves MACsec entre os meus dispositivos e os da Microsoft?

N.º Se MACsec estiver configurado e ocorrer uma incompatibilidade de chaves, você perderá a conectividade com a Microsoft. O tráfego não recorre a uma ligação não encriptada, garantindo que os seus dados permanecem protegidos.

A ativação do MACsec no ExpressRoute Direct degrada o desempenho da rede?

A encriptação e desencriptação MACsec ocorrem no hardware dos routers que usamos, por isso não há degradação de desempenho do nosso lado. No entanto, verifique com o seu fornecedor de rede para ver se MACsec tem quaisquer implicações de desempenho para os seus dispositivos.

Quais pacotes de codificação são suportados para criptografia?

Suportamos as seguintes cifras padrão:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

O ExpressRoute Direct MACsec suporta Secure Channel Identifier (SCI)?

Sim, você pode definir o Secure Channel Identifier (SCI) nas portas ExpressRoute Direct. Para obter mais informações, consulte Configurar MACsec.

Perguntas frequentes sobre criptografia de ponta a ponta por IPsec

O IPsec é um padrão IETF que criptografa dados no nível do Protocolo Internet (IP) (Camada de Rede 3). Você pode usar o IPsec para criptografar uma conexão de ponta a ponta entre sua rede local e sua rede virtual no Azure.

Posso ativar o IPsec além do MACsec nas minhas portas ExpressRoute Direct?

Sim. O MACsec protege as conexões físicas entre você e a Microsoft, enquanto o IPsec protege a conexão de ponta a ponta entre você e suas redes virtuais no Azure. Você pode habilitá-los de forma independente.

Posso usar o gateway de VPN do Azure para configurar o túnel IPsec no Emparelhamento Privado do Azure?

Sim. Se você usar a WAN Virtual do Azure, siga as etapas em VPN sobre a Rota Expressa para WAN Virtual para criptografar sua conexão de ponta a ponta. Se você tiver uma rede virtual regular do Azure, siga a conexão VPN site a site através do emparelhamento privado para estabelecer um túnel IPsec entre o gateway VPN do Azure e seu gateway VPN local.

Qual é a taxa de transferência depois de habilitar o IPsec na minha conexão de Rota Expressa?

Se você usar o gateway de VPN do Azure, revise esses números de desempenho para ver se eles correspondem à sua taxa de transferência esperada. Se você usa um gateway VPN de terceiros, verifique com o fornecedor seus números de desempenho.

Próximos passos

  • Para obter mais informações sobre a configuração do IPsec, consulte Configurar o IPsec

  • Para obter mais informações sobre a configuração MACsec, consulte Configurar MACsec.