關於 Azure ExpressRoute 的加密
ExpressRoute 支援加密技術,以確保網路與Microsoft網路之間的數據機密性和完整性。 根據預設,不會加密透過 ExpressRoute 連線的流量。
MACsec 點對點加密的常見問題
MACsec 是 IEEE 標準,可加密媒體 存取控制 (MAC) 層級 (網路層 2) 的數據。 您可以透過 ExpressRoute Direct 連線時,使用 MACsec 來加密網路裝置與Microsoft網路裝置之間的實體連結。 依預設會在 ExpressRoute Direct 連接埠上停用 MACsec。 您必須攜帶自己的 MACsec 金鑰進行加密,並將其儲存在 Azure 金鑰保存庫。 您可決定何時要輪替金鑰。
是否可以在儲存 MACsec 金鑰時啟用 Azure Key Vault 防火牆原則?
可以,ExpressRoute 是受信任的 Microsoft 服務。 您可以設定 Azure 金鑰保存庫 防火牆原則,以允許受信任的服務略過防火牆。 如需詳細資訊,請參閱設定 Azure Key Vault 防火牆和虛擬網路。
我可以在 ExpressRoute 提供者佈建的 ExpressRoute 線路上啟用 MACsec 嗎?
否。 MACsec 會使用一個實體擁有的密鑰來加密實體連結上的所有流量(例如客戶)。 因此,它僅適用於 ExpressRoute Direct。
我可以在 ExpressRoute Direct 連接埠上加密某些 ExpressRoute 線路,並讓其他線路保持未加密嗎?
否。 啟用MACsec之後,所有網路控制流量(例如 BGP 數據流量)和客戶數據流量都會加密。
當我啟用/停用MACsec或更新MACsec金鑰時,我的內部部署網路是否會失去透過 ExpressRoute Microsoft的連線?
是。 我們僅支援MACsec設定的預先共用密鑰模式,這表示您必須更新裝置上的密鑰,以及Microsoft的金鑰(透過我們的 API)。 這項變更不是不可部分完成的,因此當密鑰不符時,您就會失去連線能力。 強烈建議排程設定變更的維護時段。 若要將停機時間降到最低,請在將網路流量切換至另一個鏈接之後,一次更新 ExpressRoute Direct 的一個連結上的設定。
如果我的裝置與 Microsoft 之間有 MACsec 金鑰不符,流量是否會繼續流動?
否。 如果設定了 MACsec,且發生金鑰不符的情況,您就會失去與 Microsoft 之間的連線。 流量不會回復到未加密的連線,可確保您的數據仍受到保護。
啟用 ExpressRoute Direct 上的 MACsec 會降低網路效能嗎?
MACsec 加密和解密發生在我們所使用的路由器硬體上,因此我們這邊沒有效能降低。 不過,請洽詢您的網路廠商,以查看MACsec是否對您的裝置有任何效能影響。
加密支援哪些加密套件?
我們支援下列標準加密:
- GCM-AES-128
- GCM-AES-256
- GCM-AES-XPN-128
- GCM-AES-XPN-256
ExpressRoute Direct MACsec 是否支援安全通道識別碼 (SCI)?
是,您可以在 ExpressRoute Direct 連接埠上設定安全通道識別碼 (SCI)。 如需詳細資訊,請參閱設定 MACsec。
IPsec 端對端加密的常見問題
IPsec 是 IETF 標準 ,可加密因特網通訊協定 (IP) 層級 (網路層 3) 的數據。 您可以使用 IPsec 來加密內部部署網路與 Azure 上虛擬網路之間的端對端連線。
在 ExpressRoute Direct 連接埠上啟用 MACsec 之後,還可以啟用 IPsec 嗎?
是。 MACsec 可保護您與Microsoft之間的實體連線,而 IPsec 可保護您與 Azure 上虛擬網路之間的端對端連線。 您可以獨立將其啟用。
我可以使用 Azure VPN 閘道來透過 Azure 私人對等互連設定 IPsec 通道嗎?
是。 如果您使用 Azure 虛擬 WAN,請遵循 VPN over ExpressRoute for Virtual WAN 中的步驟來加密您的端對端連線。 如果您有一般 Azure 虛擬網路,請遵循 透過私人對等互連 的站對站 VPN 連線,在 Azure VPN 閘道與內部部署 VPN 閘道建立 IPsec 通道。
在 ExpressRoute 連線上啟用 IPsec 之後,輸送量為何?
如果您使用 Azure VPN 閘道,請檢閱這些 效能號碼 ,以查看它們是否符合您的預期輸送量。 如果您使用第三方 VPN 閘道,請洽詢廠商的效能號碼。