Présentation de MACsec pour Cloud Interconnect

MACsec pour Cloud Interconnect vous aide à sécuriser le trafic sur les connexions Cloud Interconnect, en particulier entre votre routeur sur site et les routeurs périphériques de Google. MACSec pour Cloud Interconnect utilise la norme IEEE 802.1AE Media Access Control (MACsec) pour chiffrer le trafic entre votre routeur sur site et les routeurs périphériques de Google.

MACsec pour Cloud Interconnect ne fournit pas de chiffrement en transit au sein de Google. Pour renforcer la sécurité, nous vous recommandons d'utiliser MACsec avec d'autres protocoles de sécurité réseau, tels que le protocole IPSec (IP Security) et le protocole TLS (Transport Layer Security). Pour en savoir plus sur comment sécuriser votre trafic réseau vers Google Cloud à l'aide d'IPsec, consultez la page Présentation du VPN haute disponibilité via Cloud Interconnect.

MACsec pour Cloud Interconnect est disponible pour les circuits de 10 Gbit/s et de 100 Gbit/s. Toutefois, pour commander MACsec pour Cloud Interconnect pour des circuits de 10 Gbit/s, vous devez contacter votre responsable de compte.

MACsec pour Cloud Interconnect est compatible avec toutes les fonctionnalités de rattachement de VLAN, y compris IPv4, IPv6 et IPsec.

Les schémas suivants montrent comment MACsec chiffre le trafic. La figure 1 illustre le chiffrement MACsec sur Dedicated Interconnect. La figure 2 illustre le chiffrement MACsec sur Partner Interconnect.

Figure 1. MACsec chiffre le trafic sur Dedicated Interconnect entre le routeur d'appairage de périphérie de Google et un routeur sur site.
Figure 1. MACsec chiffre le trafic sur Dedicated Interconnect entre le routeur de périphérie d'appairage de Google et un routeur sur site (cliquez pour agrandir).


Figure 2. MACsec chiffre le trafic sur Partner Interconnect entre le routeur de périphérie d'appairage de Google et le routeur de périphérie d'appairage du fournisseur de services.
Figure 2. MACsec chiffre le trafic sur Partner Interconnect entre le routeur de périphérie d'appairage de Google et le routeur de périphérie d'appairage du fournisseur de services (cliquez pour agrandir).

Pour utiliser MACsec sur l'interconnexion partenaire, contactez votre fournisseur de services pour vous assurer que votre trafic réseau est chiffré lorsqu'il passe par le réseau de votre fournisseur.

Fonctionnement de MACsec pour Cloud Interconnect

Le protocole MACsec pour Cloud Interconnect permet de sécuriser le trafic entre votre routeur sur site et le routeur d'appairage de Google. Vous utilisez Google Cloud CLI (gcloud CLI) ou la console Google Cloud pour générer des valeurs de clé d'association de connectivité (CAK) GCM-AES-256 et de nom de clé d'association de connectivité (CKN). Configurez votre routeur de manière à ce qu'il utilise les valeurs CAK et CKN pour configurer MACsec. Une fois que vous avez activé MACsec sur votre routeur et dans Cloud Interconnect, MACsec chiffre votre trafic entre votre routeur sur site et le routeur périphérique d'appairage de Google.

Routeurs sur site compatibles

Vous pouvez utiliser des routeurs sur site avec MACsec pour Cloud Interconnect à condition qu'ils soient compatibles avec les spécifications MACsec répertoriées dans le tableau suivant.

Paramètre Valeur
Suite de chiffrement MACsec
  • GCM-AES-256-XPN
  • GCM-AES-256
Algorithme de chiffrement CAK AES_256_CMAC
Priorité du serveur de clés 15
Intervalle de renouvellement de clé de la clé d'association sécurisée (SAK) 28800 secondes
Décalage de confidentialité MACsec 0
Taille de la fenêtre 64
Indicateur de valeur de vérification d'intégrité (ICV) oui
Identifiant de canal sécurisé activé

MACsec pour Cloud Interconnect est compatible avec la rotation des clés sans discontinuité (hitless) pour cinq clés maximum.

Plusieurs routeurs fabriqués par Cisco, Juniper et Arista répondent aux spécifications. Nous ne pouvons pas recommander de routeurs spécifiques. Nous vous recommandons de consulter votre fournisseur de routeur pour déterminer le modèle qui répond le mieux à vos besoins.

Avant d'utiliser MACsec pour Cloud Interconnect

Assurez-vous de remplir les conditions suivantes :

  • Vous comprenez les interconnexions réseau de base afin de pouvoir commander et configurer des circuits réseau.

  • Vous comprenez les différences et les prérequis spécifiques des interconnexions dédiée et partenaire.

  • Vous disposez d'un accès administrateur à votre routeur de périphérie sur site.

  • Vérifiez que MACsec est disponible dans votre installation hébergée en colocation.

Étapes de configuration de MACsec pour Cloud Interconnect

Après avoir vérifié que MACsec pour Cloud Interconnect est disponible dans votre installation hébergée en colocation, vérifiez si vous disposez déjà d'une connexion Cloud Interconnect compatible avec MACsec. Si ce n'est pas le cas, commandez une connexion Cloud Interconnect compatible avec MACsec.

Une fois votre connexion Cloud Interconnect prête à l'emploi, vous pouvez configurer MACsec en créant des clés pré-partagées MACsec et en configurant votre routeur sur site. Vous pouvez ensuite activer MACsec et vérifier qu'il est activé pour votre liaison et bien opérationnel. Enfin, vous pouvez surveiller votre connexion MACsec pour vous assurer qu'elle fonctionne correctement.

Disponibilité de MACsec

MACsec pour Cloud Interconnect est compatible avec toutes les connexions Cloud Interconnect 100 Gbit/s, quel que soit l'emplacement.

MACsec pour Cloud Interconnect n'est pas systématiquement disponible dans les installations hébergées en colocation pour des circuits de 10 Gbit/s. Pour en savoir plus sur les fonctionnalités disponibles dans les installations hébergées en colocation, consultez le tableau des emplacements.

Pour découvrir quelles installations hébergées en colocation avec des circuits de 10 Gbit/s sont compatibles avec MACsec pour Cloud Interconnect, procédez comme suit : La disponibilité MACsec pour les circuits de 10 Gbit/s ne s'affiche que pour les projets sur liste d'autorisation. Pour commander MACsec pour Cloud Interconnect pour des circuits de 10 Gbit/s, vous devez contacter votre responsable de compte.

Console

  1. Dans Google Cloud Console, accédez à l'onglet Connexions physiques de Cloud Interconnect.

    Accéder à l'onglet "Connexions physiques"

  2. Cliquez sur Configurer la connexion physique.

  3. Sélectionnez Interconnexion dédiée, puis cliquez sur Continuer.

  4. Sélectionnez Commander une nouvelle interconnexion dédiée, puis cliquez sur Continuer.

  5. Dans le champ Emplacement Google Cloud, cliquez sur Choisir.

  6. Dans le volet Choisir une installation hébergée en colocation, recherchez la ville dans laquelle vous souhaitez créer une connexion Cloud Interconnect. Dans le champ Emplacement géographique, sélectionnez une zone géographique. La colonne Compatibilité MACsec pour le projet en cours indique les tailles de circuit disponibles pour MACsec pour Cloud Interconnect.

gcloud

  1. Authentifiez-vous sur Google Cloud CLI :

    gcloud auth login
    
  2. Pour savoir si une installation hébergée en colocation est compatible avec MACsec pour Cloud Interconnect, effectuez l'une des opérations suivantes :

    • Vérifiez si une installation hébergée en colocation spécifique est compatible avec MACsec pour Cloud Interconnect :

      gcloud compute interconnects locations describe COLOCATION_FACILITY
      

      Remplacez COLOCATION_FACILITY par le nom de l'installation hébergée en colocation tel qu'indiqué dans le tableau des emplacements.

      Le résultat ressemble à ce qui suit. Notez la section availableFeatures. Les connexions compatibles avec MACsec affichent les éléments suivants :

      • Pour les liaisons 10 Gbit/s : linkType: LINK_TYPE_ETHERNET_10G_LR et availableFeatures: IF_MACSEC
      • Pour les liaisons 100 Gbit/s : linkType: LINK_TYPE_ETHERNET_100G_LR. Toutes les liaisons 100 Gbit/s sont compatibles avec MACsec.
      address: |-
        Equinix
        47 Bourke Road
        Alexandria
        Sydney, New South Wales 2015
        Australia
      availabilityZone: zone1
      availableFeatures:
      - IF_MACSEC
      availableLinkTypes:
      - LINK_TYPE_ETHERNET_10G_LR
      - LINK_TYPE_ETHERNET_100G_LR
      city: Sydney
      continent: C_ASIA_PAC
      creationTimestamp: '2019-12-05T12:56:15.000-08:00'
      description: Equinix Sydney (SY3)
      facilityProvider: Equinix
      facilityProviderFacilityId: SY3
      id: '1173'
      kind: compute#interconnectLocation
      name: syd-zone1-1605
      peeringdbFacilityId: '1605'
      regionInfos:
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2
      - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7
      selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605
      status: AVAILABLE
      
    • Répertoriez toutes les installations hébergées en colocation compatibles avec MACsec pour Cloud Interconnect sur des circuits 10 Gbit/s :

      gcloud compute interconnects locations list \
          --filter "availableFeatures: (IF_MACSEC)"
      

      Le résultat ressemble à ce qui suit :

      NAME                  DESCRIPTION              FACILITY_PROVIDER
      ... <stripped>
      syd-zone1-1605        Equinix Sydney (SY3)     Equinix
      ... <stripped>
      
    • Répertoriez toutes les installations hébergées en colocation comportant des liaisons 100 Gbit/s et proposant donc MACsec par défaut :

      gcloud compute interconnects locations list \
          --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"
      

      Le résultat ressemble à ce qui suit :

      NAME                  DESCRIPTION              FACILITY_PROVIDER
      ... <stripped>
      syd-zone1-1605        Equinix Sydney (SY3)     Equinix
      ... <stripped>
      

Compatibilité MACsec sur les connexions Cloud Interconnect existantes

MACsec pour Cloud Interconnect est compatible avec les connexions Cloud Interconnect existantes de 100 Gbit/s.

Si vous disposez d'une connexion 10 Gbit/s, vérifiez la disponibilité MACsec dans votre installation hébergée en colocation. Si la compatibilité MACsec est disponible dans votre installation hébergée en colocation, vérifiez que Cloud Interconnect est compatible avec MACsec.

Puis-je activer MACsec si ma connexion Cloud Interconnect existante ne le permet pas ?

Si votre installation hébergée en colocation n'est pas compatible avec MACsec, vous pouvez effectuer l'une des opérations suivantes :

  • Demandez une nouvelle connexion Cloud Interconnect et stipulez MACsec en tant que fonctionnalité requise.

  • Contactez votre responsable de compte Google Cloud pour planifier une migration de votre connexion Cloud Interconnect existante vers des ports compatibles avec MACsec.

En raison de contraintes de planification, la migration physique des connexions peut prendre plusieurs semaines. Les migrations impliquent un intervalle de maintenance nécessitant que vos connexions Cloud Interconnect soient libres de tout trafic de production.

Étape suivante