Share via

Šifrování ExpressRoute

  • Článek

ExpressRoute podporuje několik technologií šifrování, které zajišťují důvěrnost a integritu dat procházejících mezi vaší sítí a sítí Microsoftu. Ve výchozím nastavení se provoz přes připojení ExpressRoute nešifruje.

Nejčastější dotazy k šifrování typu point-to-point pomocí MACsec

MACsec je standard IEEE. Šifruje data na vrstvě MAC (Media Access Control) nebo síťové vrstvě 2. MaCsec můžete použít k šifrování fyzických propojení mezi síťovými zařízeními a síťovými zařízeními Microsoftu při připojení k Microsoftu přes ExpressRoute Direct. Standard MACsec je na portech ExpressRoute Direct ve výchozím nastavení zakázaný. Přineste si vlastní klíč MACsec pro šifrování a uložíte ho ve službě Azure Key Vault. Sami si určíte, kdy se má klíč obměnit.

Můžu při ukládání klíčů MACsec povolit zásady brány firewall služby Azure Key Vault?

Ano, ExpressRoute je důvěryhodná služba Microsoftu. Můžete nakonfigurovat zásady brány firewall služby Azure Key Vault a povolit důvěryhodným službám obejít bránu firewall. Další informace najdete v tématu Konfigurace bran firewall služby Azure Key Vault a virtuálních sítí.

Můžu na okruhu ExpressRoute zřízeném poskytovatelem ExpressRoute povolit MACsec?

Č. MACsec šifruje veškerý provoz na fyzickém propojení s klíčem vlastněným jednou entitou (například zákazníkem). Proto je dostupná jenom pro ExpressRoute Direct.

Můžu některé okruhy ExpressRoute zašifrovat na portech ExpressRoute Direct a nechat ostatní okruhy na stejných portech nešifrované?

Č. Jakmile maCsec povolíte veškerý provoz řízení sítě, například přenos dat protokolu BGP a přenosy dat zákazníků se šifrují.

Když povolím nebo zakážem MACsec nebo aktualizujem klíč MACsec, ztratí moje místní síť připojení k Microsoftu přes ExpressRoute?

Ano. Pro konfiguraci MACsec podporujeme pouze režim předsdílených klíčů. Znamená to, že potřebujete aktualizovat klíč na vašich zařízeních i na zařízeních Microsoftu (přes naše rozhraní API). Tato změna není atomická, takže ztratíte připojení, když dojde k neshodě klíčů mezi dvěma stranami. Důrazně doporučujeme naplánovat časové období údržby pro změnu konfigurace. Pokud chcete minimalizovat výpadky, doporučujeme aktualizovat konfiguraci na jednom propojení ExpressRoute Direct najednou po přepnutí síťového provozu na druhý odkaz.

Pokračuje provoz v toku, pokud došlo k neshodě klíče MACsec mezi mými zařízeními a Microsoftem?

Č. Pokud je nakonfigurovaná maCsec a dojde k neshodě klíčů, ztratíte připojení k Microsoftu. V jiných přenosech se nevrátí zpět na nešifrované připojení, které vystavuje vaše data.

Snižuje povolení MACsec v ExpressRoute Direct výkon sítě?

Šifrování a dešifrování MACsec probíhá v hardwaru na směrovačích, které používáme. Na naší straně není žádné snížení výkonu. U zařízení, která používáte, byste ale měli zkontrolovat dodavatele sítě a zjistit, jestli maCsec nemá žádný dopad na výkon.

Které šifrovací sady se podporují pro šifrování?

Podporujeme následující standardní šifry:

  • GCM-AES-128
  • GCM-AES-256
  • GCM-AES-XPN-128
  • GCM-AES-XPN-256

Podporuje ExpressRoute Direct MACsec identifikátor zabezpečeného kanálu (SCI)?

Ano, identifikátor SCI (Secure Channel Identifier) můžete nastavit na portech ExpressRoute Direct. Další informace naleznete v tématu Konfigurace MACsec.

Kompletní šifrování protokolem IPsec – nejčastější dotazy

IPsec je standard IETF. Šifruje data na úrovni protokolu IP (Internet Protocol) nebo síťové vrstvy 3. Protokol IPsec můžete použít k šifrování kompletního připojení mezi vaší místní sítí a virtuální sítí v Azure.

Můžu kromě MACsec povolit protokol IPsec na portech ExpressRoute Direct?

Ano. MACsec zabezpečuje fyzická připojení mezi vámi a Microsoftem. Protokol IPsec zabezpečuje kompletní připojení mezi vámi a vašimi virtuálními sítěmi v Azure. Můžete je povolit nezávisle.

Můžu pomocí služby Azure VPN Gateway nastavit tunel IPsec přes privátní partnerský vztah Azure?

Ano. Pokud přijmete Azure Virtual WAN, můžete postupovat podle kroků v síti VPN přes ExpressRoute pro Virtual WAN a zašifrovat tak kompletní připojení. Pokud máte běžnou virtuální síť Azure, můžete postupovat podle připojení VPN typu site-to-site přes privátní partnerský vztah a vytvořit tunel IPsec mezi službou Azure VPN Gateway a místní bránou VPN.

Jaká je propustnost, kterou získám po povolení protokolu IPsec v připojení ExpressRoute?

Pokud se používá brána Azure VPN Gateway, zkontrolujte tato čísla výkonu a zjistěte, jestli odpovídají očekávané propustnosti. Pokud se používá brána VPN jiného výrobce, obraťte se na dodavatele a zkontrolujte jejich čísla výkonu.

Další kroky