Поделиться через

Сведения о шифровании для Azure ExpressRoute

  • Статья

ExpressRoute поддерживает технологии шифрования для обеспечения конфиденциальности и целостности данных между сетью и сетью Майкрософт. По умолчанию трафик через подключение ExpressRoute не шифруется.

Шифрование типа "точка — точка" с помощью часто задаваемых вопросов MACsec

MACsec — это стандарт IEEE, который шифрует данные на уровне мультимедиа контроль доступа (MAC) (сетевой уровень 2). С помощью MACsec можно шифровать физические связи между сетевыми устройствами и сетевыми устройствами Майкрософт при подключении через ExpressRoute Direct. По умолчанию MACsec отключен на портах ExpressRoute Direct. Необходимо принести собственный ключ MACsec для шифрования и сохранить его в Azure Key Vault. Вы решаете, когда следует сменить ключ.

Можно ли включить политики брандмауэра Azure Key Vault при хранении ключей MACsec?

Да, ExpressRoute — это надежная служба Майкрософт. Вы можете настроить политики брандмауэра Azure Key Vault, чтобы разрешить доверенным службам обходить брандмауэр. Дополнительные сведения см. в статье Настройка брандмауэров и виртуальных сетей Azure Key Vault.

Можно ли включить MACsec в канале ExpressRoute, подготовленном поставщиком ExpressRoute?

№ MACsec шифрует весь трафик на физической ссылке с ключом, принадлежащим одной сущности (например, клиенту). Поэтому он доступен только в ExpressRoute Direct.

Можно ли зашифровать некоторые каналы ExpressRoute на моих портах ExpressRoute Direct и оставить другие незашифрованные?

№ После включения MACsec шифруются все трафик управления сетью (например, трафик данных BGP) и трафик данных клиента.

Потеряет ли локальное сетевое подключение к Microsoft через ExpressRoute при включении или отключении MACsec или обновлении ключа MACsec?

Да. Мы поддерживаем стандартный режим ключей только для конфигурации MACsec, что означает, что необходимо обновить ключ как на ваших устройствах, так и в Корпорации Майкрософт (через наш API). Это изменение не является атомарным, поэтому вы теряете подключение при несоответствии ключа. Настоятельно рекомендуется планировать период обслуживания для изменения конфигурации. Чтобы свести к минимуму время простоя, обновите конфигурацию по одной ссылке ExpressRoute Direct за раз после переключения сетевого трафика на другую ссылку.

Продолжает ли трафик передаваться, если между моими устройствами и корпорацией Майкрософт имеется несоответствие ключа MACsec?

№ Если MACsec настроен и обнаружено несовпадение ключей, подключение к Майкрософт теряется. Трафик не возвращается к незашифрованном подключению, обеспечивая защиту данных.

Снижает ли производительность сети MACsec в ExpressRoute Direct?

Шифрование MACsec и расшифровка происходят в оборудовании на используемых маршрутизаторах, поэтому на нашей стороне нет снижения производительности. Однако обратитесь к поставщику сети, чтобы узнать, влияет ли MACsec на производительность ваших устройств.

Какие наборы шифров поддерживаются для шифрования?

Мы поддерживаем следующие стандартные шифры:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Поддерживает ли ExpressRoute Direct MACsec идентификатор Secure Channel (SCI)?

Да, вы можете настроить идентификатор Secure Channel (SCI) на портах ExpressRoute Direct. Дополнительные сведения см. в разделе "Настройка MACsec".

Полное шифрование по протоколу IPsec. Вопросы и ответы

IPsec — это стандарт IETF, который шифрует данные на уровне ПРОТОКОЛА ИНТЕРНЕТА (IP) (сетевой уровень 3). С помощью IPsec можно зашифровать сквозное подключение между локальной сетью и виртуальной сетью в Azure.

Можно ли включить IPsec в дополнение к MACsec на моих портах ExpressRoute Direct?

Да. MACsec защищает физические подключения между вами и Корпорацией Майкрософт, а IPsec защищает сквозное подключение между вами и виртуальными сетями в Azure. Их можно включить независимо.

Можно ли использовать VPN-шлюз Azure для настройки туннеля IPsec через частный пиринг Azure?

Да. Если вы используете Azure Виртуальная глобальная сеть, выполните действия, описанные в VPN через ExpressRoute, чтобы Виртуальная глобальная сеть зашифровать сквозное подключение. Если у вас есть обычная виртуальная сеть Azure, следуйте VPN-подключению типа "сеть — сеть" через частный пиринг , чтобы установить туннель IPsec между VPN-шлюзом Azure и локальным VPN-шлюзом.

Какова пропускная способность после включения IPsec в подключении ExpressRoute?

Если вы используете VPN-шлюз Azure, просмотрите эти номера производительности, чтобы узнать, соответствуют ли они ожидаемой пропускной способности. Если вы используете сторонний VPN-шлюз, обратитесь к поставщику за их номерами производительности.

Следующие шаги

  • Дополнительные сведения о конфигурации IPsec см. в разделе "Настройка IPsec"

  • Дополнительные сведения о конфигурации MACsec см. в разделе "Настройка MACsec".