Criptografia do ExpressRoute
O ExpressRoute é compatível com algumas tecnologias de criptografia para garantir a confidencialidade e a integridade da passagem de dados entre a sua rede e a rede da Microsoft. Por padrão, o tráfego em uma conexão do ExpressRoute não é criptografado.
Perguntas frequentes sobre a criptografia de ponta a ponta do MACsec
O MACsec é um padrão IEEE. Ele criptografa dados no nível de controle de acesso à mídia (MAC) ou na Camada de Rede 2. Você pode usar o MACsec para criptografar os links físicos entre os seus dispositivos de rede e os dispositivos de rede da Microsoft ao se conectar à Microsoft por meio do ExpressRoute Direct. O MACsec é desabilitado em portas do ExpressRoute Direct por padrão. Você traz a sua própria chave MACsec para criptografia e armazenamento no Azure Key Vault. Você decide quando girar a chave.
Posso habilitar as políticas de firewall do Azure Key Vault ao armazenar chaves MACsec?
Sim, o ExpressRoute é um serviço confiável da Microsoft. Você pode configurar políticas de firewall do Azure Key Vault e permitir que serviços confiáveis ignorem o firewall. Para obter mais informações, consulte Configurar redes virtuais e firewalls do Azure Key Vault.
Posso habilitar o MACsec no meu circuito do ExpressRoute provisionado por um provedor do ExpressRoute?
Não. O MACsec criptografa todo o tráfego em um link físico com uma chave que pertence a uma entidade (ou seja, um cliente). Portanto, ele está disponível somente no ExpressRoute Direct.
Posso criptografar alguns dos circuitos do ExpressRoute nas minhas portas do ExpressRoute Direct e deixar outros circuitos nas mesmas portas sem criptografia?
Não. Quando o MACsec está habilitado, todo o tráfego de controle de rede (por exemplo, o tráfego de dados BGP) e o tráfego de dados do cliente são criptografados.
Quando eu habilitar/desabilitar o MACsec ou atualizar a chave do MACsec, minha rede local perderá a conectividade com a Microsoft por meio do ExpressRoute?
Sim. Para a configuração do MACsec, há suporte apenas para o modo de chave pré-compartilhada. Isso significa que você precisa atualizar a chave em ambos os dispositivos e na Microsoft (por meio de nossa API). Essa alteração não é atômica, portanto, você perderá a conectividade quando houver uma incompatibilidade de chave entre os dois lados. É altamente recomendável que você agende uma janela de manutenção para a alteração de configuração. Para minimizar o tempo de inatividade, sugerimos que você atualize a configuração em um link do ExpressRoute Direct por vez depois de direcionar o tráfego de rede para o outro link.
O tráfego continuará a fluir se houver uma incompatibilidade na chave do MACsec entre meus dispositivos e a Microsoft?
Não. Se o MACsec estiver configurado e ocorrer uma incompatibilidade de chave, você perderá a conectividade com a Microsoft. Em outras palavras, o tráfego não retorna para uma conexão não criptografada, que exponha dados.
A habilitação do MACsec no ExpressRoute Direct diminuirá o desempenho da rede?
A criptografia e a descriptografia do MACsec ocorrem no hardware nos roteadores que usamos. Não há impacto no desempenho da nossa parte. No entanto, verifique com o fornecedor de rede os dispositivos que você usa e veja se o MACsec tem alguma implicação no desempenho.
Quais conjuntos de codificação têm suporte para criptografia?
Damos suporte às seguintes criptografias padrão:
- GCM-AES-128
- GCM-AES-256
- GCM-AES-XPN-128
- GCM-AES-XPN-256
O EXPRESSRoute Direct MACsec dá suporte ao SCI (Identificador de Canal Seguro)?
Sim, defina o Identificador de Canal Seguro (SCI) nas portas ExpressRoute Direct. Para obter mais informações, consulte Configurar o MACsec.
Perguntas frequentes sobre criptografia de ponta a ponta do IPsec
O IPsec é um padrão IETF. Ele criptografa dados no nível do protocolo IP ou na Camada de Rede 3. Você pode usar o IPsec para criptografar uma conexão de ponta a ponta entre sua rede local e sua rede virtual no Azure.
Posso habilitar o IPsec além do MACsec em minhas portas do ExpressRoute Direct?
Sim. O MACsec protege as conexões físicas entre você e a Microsoft. O IPsec protege a conexão de ponta a ponta entre você e as suas redes virtuais no Azure. Você pode habilitá-las de maneira independente.
Posso usar o gateway de VPN do Azure para configurar o túnel IPsec sobre o Emparelhamento Privado do Azure?
Sim. Se você adotar a WAN Virtual do Azure, poderá seguir as etapas em VPN no ExpressRoute para WAN Virtual para criptografar sua conexão de ponta a ponta. Se você tiver uma rede virtual regular do Azure, poderá seguir conexão VPN site a site por meio de emparelhamento privado para estabelecer um túnel IPsec entre o gateway de VPN do Azure e seu gateway de VPN local.
Qual será a taxa de transferência depois que eu habilitar o IPsec na conexão do ExpressRoute?
Se o gateway de VPN do Azure for usado, examine esses números de desempenho para ver se eles correspondem à taxa de transferência esperada. Se um gateway de VPN de terceiros for usado, verifique com o fornecedor seus números de desempenho.
Próximas etapas
Para obter mais informações sobre a configuração do IPsec, consulte Configurar IPsec
Para obter mais informações sobre a configuração do MACsec, confira Configurar o MACsec.