Informazioni sui requisiti di crittografia e i gateway VPN di AzureAbout cryptographic requirements and Azure VPN gateways

Questo articolo illustra come configurare i gateway VPN di Azure per soddisfare i requisiti di crittografia per i tunnel VPN S2S cross-premise e le connessioni da rete virtuale a rete virtuale all'interno di Azure.This article discusses how you can configure Azure VPN gateways to satisfy your cryptographic requirements for both cross-premises S2S VPN tunnels and VNet-to-VNet connections within Azure.

Informazioni sui parametri di criteri IPsec e IKE per gateway VPN di AzureAbout IPsec and IKE policy parameters for Azure VPN gateways

Lo standard di protocollo IPsec e IKE supporta un'ampia gamma di algoritmi di crittografia in varie combinazioni.IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Se i clienti non richiedono una combinazione specifica di algoritmi e parametri per la crittografia, i gateway VPN di Azure usano un set di proposte predefinite.If customers do not request a specific combination of cryptographic algorithms and parameters, Azure VPN gateways use a set of default proposals. I set di criteri predefiniti sono stati scelti per migliorare l'interoperabilità con un'ampia gamma di dispositivi VPN di terze parti in configurazioni predefinite.The default policy sets were chosen to maximize interoperability with a wide range of third-party VPN devices in default configurations. Di conseguenza, i criteri e il numero di proposte non possono coprire tutte le possibili combinazioni degli algoritmi di crittografia disponibili e della complessità delle chiavi.As a result, the policies and the number of proposals cannot cover all possible combinations of available cryptographic algorithms and key strengths.

Il criterio predefinito impostato per il gateway VPN di Azure è elencato nel documento: Informazioni sui dispositivi VPN e sui parametri IPsec/IKE per connessioni del Gateway VPN da sito a sito.The default policy set for Azure VPN gateway is listed in the document: About VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections.

Requisiti per la crittografiaCryptographic requirements

Per le comunicazioni che richiedono algoritmi o parametri di crittografia specifici, in genere a causa di requisiti di conformità o sicurezza, i clienti possono ora configurare i gateway VPN di Azure per usare un criterio IPsec/IKE personalizzato con algoritmi di crittografia e complessità delle chiavi specifici, invece del set di criteri predefinito di Azure.For communications that require specific cryptographic algorithms or parameters, typically due to compliance or security requirements, customers can now configure their Azure VPN gateways to use a custom IPsec/IKE policy with specific cryptographic algorithms and key strengths, rather than the Azure default policy sets.

Ad esempio, i criteri in modalità principale IKEv2 per i gateway VPN di Azure usano solo il gruppo Diffie-Hellman Group 2 (1024 bit), mentre potrebbe essere necessario specificare gruppi più complessi da usare in IKE, ad esempio gruppo 14 (2048 bit), gruppo 24 (gruppo MODP 2048 bit) o ECP (gruppo a curva ellittica) a 256 o 384 bit (gruppo 19 e gruppo 20 rispettivamente).For example, the IKEv2 main mode policies for Azure VPN gateways utilize only Diffie-Hellman Group 2 (1024 bits), whereas customers may need to specify stronger groups to be used in IKE, such as Group 14 (2048-bit), Group 24 (2048-bit MODP Group), or ECP (elliptic curve groups) 256 or 384 bit (Group 19 and Group 20, respectively). Simili requisiti si applicano anche ai criteri IPsec in modalità rapida.Similar requirements apply to IPsec quick mode policies as well.

Criteri IPsec/IKE personalizzati con i gateway VPN di AzureCustom IPsec/IKE policy with Azure VPN gateways

I gateway VPN di Azure ora supportano i criteri IPsec/IKE personalizzati per connessione.Azure VPN gateways now support per-connection, custom IPsec/IKE policy. Per una connessione da sito a sito o da rete virtuale a rete virtuale, è possibile scegliere una combinazione specifica di algoritmi di crittografia per IPsec e IKE con attendibilità della chiave, come illustrato nell'esempio seguente:For a Site-to-Site or VNet-to-VNet connection, you can choose a specific combination of cryptographic algorithms for IPsec and IKE with the desired key strength, as shown in the following example:

ipsec-ike-policy

È possibile creare un criterio IPsec/IKE e applicarlo a una connessione nuova o esistente.You can create an IPsec/IKE policy and apply to a new or existing connection.

Flusso di lavoroWorkflow

  1. Creare le reti virtuali, i gateway VPN o i gateway di rete locale per la topologia di connettività, come descritto in altri documenti sulle procedureCreate the virtual networks, VPN gateways, or local network gateways for your connectivity topology as described in other how-to documents
  2. Creare un criterio IPsec/IKECreate an IPsec/IKE policy
  3. È possibile applicare i criteri quando si crea una connessione S2S o da rete virtuale a rete virtualeYou can apply the policy when you create a S2S or VNet-to-VNet connection
  4. Se la connessione è già stata creata, è possibile applicare o aggiornare i criteri per una connessione esistenteIf the connection is already created, you can apply or update the policy to an existing connection

Domande frequenti sui criteri IPsec/IKEIPsec/IKE policy FAQ

I criteri IPsec/IKE personalizzati sono supportati in tutti gli SKU del gateway VPN di Azure?Is Custom IPsec/IKE policy supported on all Azure VPN Gateway SKUs?

I criteri IPsec/IKE personalizzati sono supportati nei gateway VPN VpnGw1, VpnGw2, VpnGw3, Standard e HighPerformance di Azure.Custom IPsec/IKE policy is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard, and HighPerformance VPN gateways. Lo SKU Basic non è supportato.The Basic SKU is not supported.

Quanti criteri è possibile specificare per una connessione?How many policies can I specify on a connection?

Per una determinata connessione è possibile specificare una sola combinazione di criteri.You can only specify one policy combination for a given connection.

Per una connessione è possibile specificare criteri parziali,Can I specify a partial policy on a connection? ad esempio solo algoritmi IKE, ma non IPsec?(for example, only IKE algorithms, but not IPsec)

No. È necessario specificare tutti gli algoritmi e i parametri sia per IKE (modalità principale) che per IPsec (modalità rapida).No, you must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Non è consentito specificare criteri parziali.Partial policy specification is not allowed.

Quali algoritmi e tipi di attendibilità della chiave sono supportati nei criteri personalizzati?What are the algorithms and key strengths supported in the custom policy?

La tabella seguente riporta l'elenco degli algoritmi di crittografia e dei tipi di attendibilità della chiave supportati e configurabili dai clienti.The following table lists the supported cryptographic algorithms and key strengths configurable by the customers. È necessario selezionare un'opzione per ogni campo.You must select one option for every field.

IPsec/IKEv2IPsec/IKEv2 OpzioniOptions
Crittografia IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Integrità IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Gruppo DHDH Group DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, NoneDHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
Crittografia IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, NoneGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Integrità IPsecIPsec Integrity GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Gruppo PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, NonePFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Durata associazione di sicurezza in modalità rapidaQM SA Lifetime Secondi (intero; min. 300/valore predefinito di 27000 secondi)Seconds (integer; min. 300/default 27000 seconds)
Kilobyte (intero; min 1024/valore predefinito di 102400000 KB)KBytes (integer; min. 1024/default 102400000 KBytes)
Selettore di trafficoTraffic Selector UsePolicyBasedTrafficSelectors ($True/$False; valore predefinito: $False)UsePolicyBasedTrafficSelectors ($True/$False; default $False)

Importante

  1. DHGroup2048 e PFS2048 corrispondono al gruppo Diffie-Hellman 14 in PFS IKE e IPsec.DHGroup2048 & PFS2048 are the same as Diffie-Hellman Group 14 in IKE and IPsec PFS. Per i mapping completi, vedere Gruppi Diffie-Hellman.See Diffie-Hellman Groups for the complete mappings.
  2. Per gli algoritmi GCMAES, è necessario specificare lo stesso algoritmo e la stessa lunghezza della chiave GCMAES sia per la crittografia che per l'integrità IPsec.For GCMAES algorithms, you must specify the same GCMAES algorithm and key length for both IPsec Encryption and Integrity.
  3. Nei gateway VPN di Azure la durata dell'associazione di sicurezza IKEv2 (modalità principale) è fissata a 28.800 secondiIKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways
  4. Le durate dell'associazione di sicurezza QM sono parametri facoltativi.QM SA Lifetimes are optional parameters. Se non ne è stato specificato nessuno, vengono usati i valori predefiniti pari a 27.000 secondi (7,5 ore) e 102400000 KB (102 GB).If none was specified, default values of 27,000 seconds (7.5 hrs) and 102400000 KBytes (102GB) are used.
  5. UsePolicyBasedTrafficSelector è un parametro facoltativo per la connessione.UsePolicyBasedTrafficSelector is an option parameter on the connection. Per informazioni su "UsePolicyBasedTrafficSelectors", vedere la domanda frequente successivaSee the next FAQ item for "UsePolicyBasedTrafficSelectors"

È necessaria la corrispondenza di tutti gli elementi tra i criteri del gateway VPN di Azure e le configurazioni dei dispositivi VPN locali?Does everything need to match between the Azure VPN gateway policy and my on-premises VPN device configurations?

La configurazione del dispositivo VPN locale deve contenere o corrispondere agli algoritmi e ai parametri seguenti specificati nei criteri IPsec/IKE di Azure:Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • Algoritmo di crittografia IKEIKE encryption algorithm
  • Algoritmo di integrità IKEIKE integrity algorithm
  • Gruppo DHDH Group
  • Algoritmo di crittografia IPsecIPsec encryption algorithm
  • Algoritmo di integrità IPsecIPsec integrity algorithm
  • Gruppo PFSPFS Group
  • Selettore di traffico (*)Traffic Selector (*)

La durata delle associazioni di sicurezza è una specifica locale. Non è necessaria la corrispondenza.The SA lifetimes are local specifications only, do not need to match.

Se si abilita UsePolicyBasedTrafficSelectors, è necessario verificare che i selettori di traffico corrispondenti siano definiti nel dispositivo VPN con tutte le combinazioni dei prefissi della rete locale (gateway di rete locale) da/verso i prefissi della rete virtuale di Azure, anziché any-to-any.If you enable UsePolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Se i prefissi della rete locale sono 10.1.0.0/16 e 10.2.0.0/16 e i prefissi della rete virtuale sono 192.168.0.0/16 e 172.16.0.0/16, ad esempio, è necessario specificare i selettori di traffico seguenti:For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

  • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Per altre informazioni, vedere Connettere più dispositivi VPN basati su criteri locali.For more information, see Connect multiple on-premises policy-based VPN devices.

Quali gruppi Diffie-Hellman sono supportati?Which Diffie-Hellman Groups are supported?

La tabella seguente elenca i gruppi Diffie-Hellman supportati per IKE (DHGroup) e IPsec (PFSGroup):The table below lists the supported Diffie-Hellman Groups for IKE (DHGroup) and IPsec (PFSGroup):

Gruppo Diffie-HellmanDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Lunghezza chiaveKey length
11 DHGroup1DHGroup1 PFS1PFS1 MODP a 768 bit768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 MODP a 1024 bit1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 MODP a 2048 bit2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 ECP a 256 bit256-bit ECP
2020 ECP384ECP384 ECP284ECP284 ECP a 384 bit384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 MODP a 2048 bit2048-bit MODP

Per altre informazioni, vedere RFC3526 e RFC5114.For more information, see RFC3526 and RFC5114.

I criteri personalizzati sostituiscono i set di criteri IPsec/IKE predefiniti per i gateway VPN di Azure?Does the custom policy replace the default IPsec/IKE policy sets for Azure VPN gateways?

Sì. Quando per una connessione vengono specificati criteri personalizzati, il gateway VPN di Azure userà solo tali criteri per la connessione, sia come iniziatore IKE che come risponditore IKE.Yes, once a custom policy is specified on a connection, Azure VPN gateway will only use the policy on the connection, both as IKE initiator and IKE responder.

Se si rimuovono i criteri IPsec/IKE personalizzati, la connessione diventa non protetta?If I remove a custom IPsec/IKE policy, does the connection become unprotected?

No. La connessione sarà comunque protetta tramite IPsec/IKE.No, the connection will still be protected by IPsec/IKE. Dopo la rimozione dei criteri personalizzati da una connessione, il gateway VPN di Azure ripristina l'elenco predefinito delle proposte IPsec/IKE e riavvia nuovamente l'handshake IKE con il dispositivo VPN locale.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and restart the IKE handshake again with your on-premises VPN device.

L'aggiunta o l'aggiornamento di criteri IPsec/IKE determinerà un'interruzione della connessione VPN?Would adding or updating an IPsec/IKE policy disrupt my VPN connection?

Sì. Potrebbe causare una breve interruzione di alcuni secondi perché il gateway VPN di Azure chiude la connessione esistente e riavvia l'handshake IKE per ristabilire il tunnel IPsec con i nuovi algoritmi di crittografia e i nuovi parametri.Yes, it could cause a small disruption (a few seconds) as the Azure VPN gateway tears down the existing connection and restarts the IKE handshake to re-establish the IPsec tunnel with the new cryptographic algorithms and parameters. Per ridurre al minimo l'interruzione, verificare che il dispositivo VPN locale sia configurato anche con gli algoritmi e i tipi di attendibilità della chiave corrispondenti.Ensure your on-premises VPN device is also configured with the matching algorithms and key strengths to minimize the disruption.

È possibile usare criteri diversi per connessioni diverse?Can I use different policies on different connections?

Sì.Yes. I criteri personalizzati vengono applicati in base alla connessione.Custom policy is applied on a per-connection basis. È possibile creare e applicare criteri IPsec/IKE diversi per connessioni diverse.You can create and apply different IPsec/IKE policies on different connections. Si possono anche applicare criteri personalizzati a un sottoinsieme di connessioni.You can also choose to apply custom policies on a subset of connections. Le connessioni rimanenti usano i set di criteri IPsec/IKE predefiniti di Azure.The remaining ones use the Azure default IPsec/IKE policy sets.

È possibile usare criteri personalizzati anche per una connessione da rete virtuale a rete virtuale?Can I use the custom policy on VNet-to-VNet connection as well?

Sì. È possibile applicare criteri personalizzati sia a connessioni cross-premise IPsec che a connessioni da rete virtuale a rete virtuale.Yes, you can apply custom policy on both IPsec cross-premises connections or VNet-to-VNet connections.

È necessario specificare gli stessi criteri per entrambe le risorse di connessione da rete virtuale a rete virtuale?Do I need to specify the same policy on both VNet-to-VNet connection resources?

Sì.Yes. Un tunnel da rete virtuale a rete virtuale è costituito da due risorse di connessione di Azure, una per ogni direzione.A VNet-to-VNet tunnel consists of two connection resources in Azure, one for each direction. Verificare che entrambe le risorse di connessione abbiano gli stessi criteri. In caso contrario, la connessione da rete virtuale a rete virtuale non verrà stabilita.Make sure both connection resources have the same policy, otherwise the VNet-to-VNet connection won't establish.

I criteri IPsec/IKE personalizzati funzionano in una connessione ExpressRoute?Does custom IPsec/IKE policy work on ExpressRoute connection?

di serieNo. I criteri IPsec/IKE funzionano solo in connessioni VPN da sito a sito e da rete virtuale a rete virtuale tramite gateway VPN di Azure.IPsec/IKE policy only works on S2S VPN and VNet-to-VNet connections via the Azure VPN gateways.

Passaggi successiviNext steps

Vedere Configurare i criteri IPsec/IKE per istruzioni dettagliate sulla configurazione dei criteri IPsec/IKE personalizzato su una connessione.See Configure IPsec/IKE policy for step-by-step instructions on configuring custom IPsec/IKE policy on a connection.

Vedere anche Connettere più dispositivi VPN basati su criteri per altre informazioni sull'opzione UsePolicyBasedTrafficSelectors.See also Connect multiple policy-based VPN devices to learn more about the UsePolicyBasedTrafficSelectors option.