Dela via

Om kryptering för Azure ExpressRoute

  • Artikel

ExpressRoute stöder krypteringstekniker för att säkerställa sekretess och integritet för data mellan nätverket och Microsofts nätverk. Som standard krypteras inte trafik över en ExpressRoute-anslutning.

Punkt-till-punkt-kryptering av vanliga frågor och svar om MACsec

MACsec är en IEEE-standard som krypterar data på MAC-nivå (Media Access Control) (Network Layer 2). Du kan använda MACsec för att kryptera de fysiska länkarna mellan dina nätverksenheter och Microsofts nätverksenheter när du ansluter via ExpressRoute Direct. MACsec är inaktiverat på ExpressRoute Direct-portar som standard. Du måste ta med din egen MACsec-nyckel för kryptering och lagra den i Azure Key Vault. Du bestämmer när du ska rotera nyckeln.

Kan jag aktivera Azure Key Vault-brandväggsprinciper när jag lagrar MACsec-nycklar?

Ja, ExpressRoute är en betrodd Microsoft-tjänst. Du kan konfigurera Azure Key Vault-brandväggsprinciper så att betrodda tjänster kan kringgå brandväggen. Mer information finns i Konfigurera Azure Key Vault-brandväggar och virtuella nätverk.

Kan jag aktivera MACsec på min ExpressRoute-krets som etablerats av en ExpressRoute-provider?

Nej. MACsec krypterar all trafik på en fysisk länk med en nyckel som ägs av en entitet (till exempel kunden). Därför är den endast tillgänglig på ExpressRoute Direct.

Kan jag kryptera vissa ExpressRoute-kretsar på mina ExpressRoute Direct-portar och lämna andra okrypterade?

Nej. När MACsec har aktiverats krypteras all nätverkskontrolltrafik (till exempel BGP-datatrafik) och kunddatatrafik.

Kommer mitt lokala nätverk att förlora anslutningen till Microsoft via ExpressRoute när jag aktiverar/inaktiverar MACsec eller uppdaterar MACsec-nyckeln?

Ja. Vi stöder endast det i förväg delade nyckelläget för MACsec-konfiguration, vilket innebär att du måste uppdatera nyckeln på både dina enheter och Microsofts (via vårt API). Den här ändringen är inte atomisk, så du förlorar anslutningen när det finns ett nyckelmatchningsfel. Vi rekommenderar starkt att du schemalägger ett underhållsperiod för konfigurationsändringen. För att minimera stilleståndstiden uppdaterar du konfigurationen på en länk till ExpressRoute Direct i taget efter att nätverkstrafiken har växlats till den andra länken.

Fortsätter trafiken att flöda om det finns ett MACsec-nyckelmatchningsfel mellan mina enheter och Microsofts?

Nej. Om MACsec har konfigurerats och ett nyckelmatchningsfel inträffar förlorar du anslutningen till Microsoft. Trafiken återgår inte till en okrypterad anslutning, vilket säkerställer att dina data förblir skyddade.

Försämrar aktivering av MACsec på ExpressRoute Direct nätverksprestanda?

MACsec-kryptering och dekryptering sker i maskinvara på de routrar vi använder, så det finns ingen prestandaförsämring på vår sida. Kontrollera dock med nätverksleverantören om MACsec har några prestandakonsekvenser för dina enheter.

Vilka chiffersviter stöds för kryptering?

Vi stöder följande standard chiffer:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Stöder ExpressRoute Direct MACsec secure channel identifier (SCI)?

Ja, du kan ange SÄKER kanalidentifierare (SCI) på ExpressRoute Direct-portarna. Mer information finns i Konfigurera MACsec.

Vanliga frågor och svar om kryptering från slutpunkt till slutpunkt efter IPsec

IPsec är en IETF-standard som krypterar data på IP-nivå (Internet Protocol) (Network Layer 3). Du kan använda IPsec för att kryptera en anslutning från slutpunkt till slutpunkt mellan ditt lokala nätverk och ditt virtuella nätverk i Azure.

Kan jag aktivera IPsec utöver MACsec på mina ExpressRoute Direct-portar?

Ja. MACsec skyddar de fysiska anslutningarna mellan dig och Microsoft, medan IPsec skyddar anslutningen från slutpunkt till slutpunkt mellan dig och dina virtuella nätverk i Azure. Du kan aktivera dem oberoende av varandra.

Kan jag använda Azure VPN-gateway för att konfigurera IPsec-tunneln via privat Azure-peering?

Ja. Om du använder Azure Virtual WAN följer du stegen i VPN via ExpressRoute för Virtual WAN för att kryptera anslutningen från slutpunkt till slutpunkt. Om du har ett vanligt virtuellt Azure-nätverk följer du VPN-anslutningen från plats till plats via privat peering för att upprätta en IPsec-tunnel mellan Azure VPN-gatewayen och din lokala VPN-gateway.

Vad är dataflödet när jag har aktiverat IPsec på min ExpressRoute-anslutning?

Om du använder Azure VPN-gateway läser du dessa prestandanummer för att se om de matchar ditt förväntade dataflöde. Om du använder en VPN-gateway från tredje part kontrollerar du deras prestandanummer hos leverantören.

Nästa steg