Oracle Cloud Infrastructure - Dokumentation

FastConnect Sicherheit

Erfahren Sie mehr über die Verwendung der Verschlüsselung mit FastConnect für bessere Netzwerksicherheit.

Mit Oracle Cloud Infrastructure FastConnect können Sie den Traffic zwischen Ihrem Data Center und Oracle Cloud Infrastructure mit zwei Hauptmethoden verschlüsseln: IPSec über FastConnect und MACsec-Verschlüsselung.

IPSec über FastConnect

Mit IPSec über FastConnect können Sie Site-to-Site-VPN mit sicheren IPSec-Tunneln in Ihren FastConnect-Virtual Circuits einrichten und so zusätzliche Sicherheit für eine bereits private Verbindung bereitstellen. Diese IPSec-Tunnel schützen die Netzwerk-zu-Netzwerkverbindungen auf Layer 3.

IPSec über FastConnect ist für alle drei Konnektivitätsmodelle (Partner, Colocation und Drittanbieter) verfügbar und unterstützt die folgenden Funktionen:

  • Mehrere IPSec-Tunnel können über einen einzelnen Virtual Circuit vom Typ FastConnect vorhanden sein.
  • Eine Mischung aus verschlüsseltem und unverschlüsseltem Datenverkehr kann auf demselben Virtual Circuit vorhanden sein. Sie können jedoch festlegen, dass der gesamte Datenverkehr verschlüsselt ist.
  • IPSec-Tunnelendpunkte können öffentliche oder private IP-Adressen verwenden. Wenn die Adressen öffentlich sind, sind sie jedoch nicht über das Internet erreichbar, da der Transport für diese Konnektivität eine private Verbindung und nicht über das Internet ist.
  • Mit ECMP können Sie mehrere IPSec-Tunnel zwischen denselben Endpunkten aggregieren.

Konfigurieren von IPSec über FastConnect

Hinweis

Oracle empfiehlt, dass Sie routenbasierte IPSec-BGP-Verbindungen für IPSec über FastConnect verwenden.

Wenn Sie FastConnect und Site-to-Site-VPN so konfigurieren, dass sie als einzelne Datenverbindung funktionieren, müssen Komponenten in einer bestimmten Reihenfolge eingerichtet werden. Wenn Sie bereits mindestens ein VCN und DRG in Ihrem Cloud-Mandanten haben, erstellen Sie Services in der folgenden Reihenfolge:

  1. Erstellen Sie einen Virtual Circuit vom Typ FastConnect, oder wählen Sie einen vorhandenen privaten Virtual Circuit aus. Dieser Virtual Circuit kann eines der drei FastConnect-Konnektivitätsmodelle verwenden. Sie müssen die neuen oder vorhandenen privaten Virtual Circuits nicht ändern, um IPSec über FastConnect zu aktivieren. Sie können den Virtual Circuit jedoch so bearbeiten, dass nur Traffic zulässig ist, der IPSec über FastConnect verwendet. Für das DRG müssen unterschiedliche Routentabellen für VIRTUAL_CIRCUIT-Anhänge und IPSEC_TUNNEL-Anhänge eingerichtet sein, da diese Anhänge keine DRG-Routentabelle gemeinsam verwenden können.
  2. Erstellen Sie ein neues CPE-Objekt (Customer Premise Equipment). Dieses Objekt ist eine virtuelle Darstellung des physischen Edge-Geräts Ihres On-Premise-Netzwerks. Für das CPE-Objekt muss IPSec über FastConnect aktiviert sein. Nachdem Sie das CPE-Objekt erstellt haben, konfigurieren Sie das physische Edge-Gerät so, dass es den CPE-Einstellungen wie üblich für Site-to-Site-VPN entspricht. Die als CPE-IKE-ID verwendete IP-Adresse kann privat oder öffentlich sein. Ein zuvor konfiguriertes CPE-Objekt kann nicht für IPSec über FastConnect verwendet werden, da die Darstellung nicht die Option zur Verwendung von IPSec über FastConnect enthält. Natürlich können Sie Ihr vorhandenes CPE-Objekt weiterhin für Traffic verwenden, der das Internet durchläuft.
  3. Erstellen Sie eine Site-to-Site-VPN-IPSec-Verbindung, und wählen Sie das gerade erstellte neue CPE aus. BGP-Routing wird für Verbindungen bevorzugt, die IPSec über FastConnect verwenden, und Sie müssen den Virtual Circuit FastConnect angeben, den Sie verwenden möchten. IPSec über FastConnect ist nur mit dem aktualisierten Site-to-Site-VPN-Service verfügbar.

Loopback - Anhänge

Für IPSec über FastConnect ist ein upgradiertes DRG erforderlich, das Anhänge mit den folgenden Typen enthalten kann:

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • LOOPBACK

Mit einem Loopback-Anhang kann verschlüsselter Traffic zwischen einem Virtual-Circuit-Anhang und einem IPSec-Tunnelanhang fließen, indem die Oracle-Seite der privaten IP-Adresse des Tunnels dem DRG bereitgestellt wird. Ohne den Loopback-Anhang ist Traffic direkt zwischen einem Virtual-Circuit-Anhang und einem IPSec-Tunnelanhang nicht zulässig. Wenn Traffic über den Tunnelanhang IPSec zurückgeschleift wird, wird er entschlüsselt und dann an das DRG gesendet. Nur Virtual-Circuit-Anhänge und Tunnelanhänge vom Typ IPSec können an einen Loopback-Anhang weitergeleitet werden. Das gesamte Routing zu oder von einem Loopback-Anhang wird von Oracle verwaltet und kann nicht von Ihren Mandantenadministratoren verwaltet werden.

Die IPSec über FastConnect umfasst sowohl einen Virtual Circuit als auch einen IPSec-Tunnel. Diese Verbindungen müssen auf einem DRG-Anhang mit dem entsprechenden Typ enden. Wie im folgenden vereinfachten Diagramm für eingehenden Traffic dargestellt, stammt der IPSec-Tunnel mit IPSec über FastConnect aus dem CPE (Callout 1). Der Virtual Circuit stammt von einem On-Premise-Edge-Router (Callout 2) und endet auf einem VIRTUAL_CIRCUIT-Anhang (Callout 3). Dann wird der IPSec-Tunneltraffic an einen LOOPBACK-Anhang (Callout 4) übergeben und endet auf einem IPSEC_TUNNEL-Anhang (Callout 5). Unverschlüsselter Traffic wird dann über einen VCN-Anhang (Callout 6) geleitet und an die endgültige Ziel-IP-Adresse im VCN abgemeldet. Der Traffic kann alternativ zu einem REMOTE_PEERING_CONNECTION-Anhang weitergeleitet werden, der an ein anderes DRG in derselben oder einer anderen Region gebunden ist. Dies wird im Diagramm jedoch nicht angezeigt.

Diagramm mit den Beendigungsenden von Virtual Circuit und IPSec-Tunnel
Callout Funktion
1 CPE-Gerät. Beendet die IPSec-Verbindung.
2 Edge-Router. Beendet den Virtual Circuit.

Hinweis: Callout 1 und 2 können möglicherweise dasselbe physische Gerät sein.
3 VIRTUAL_CIRCUIT-Anhang. Beendet den Virtual Circuit.
4 LOOPBACK-Anhang. Leitet den IPSec-Traffic an den IPSEC_TUNNEL-Anhang weiter. Dies ist auch die VPN-Endpunkt-IP.
5 IPSEC_TUNNEL-Anhang. Beendet die IPSec-Verbindung.
6 VCN-Anhang
Hinweis

Wenn Sie IPSec über FastConnect verwenden, müssen der Tunnelanhang IPSec (Callout 5) und der Virtual Circuit-Anhang (Callout 3) unterschiedliche DRG-Routentabellen verwenden und Routenverteilungen importieren.

TransportOnly-Modus: Nur verschlüsselten Traffic auf einem Virtual Circuit zulassen

Mit IPSec über FastConnect kann ein Virtual Circuit vom Typ FastConnect als Transportmedium für verschlüsselten Traffic in einem privaten IPSec-Tunnel fungieren, sodass Verbindungen von einem On-Premise-Netzwerk zum VCN sowohl für gesicherten als auch für ungesicherten Traffic möglich sind.

Wenn Sie einen strengen Sicherheitsstatus wünschen, der nur verschlüsselten Traffic über Ihre Virtual Circuits zulässt, legen Sie das transportOnly-Modus-Flag für Ihren Virtual Circuit und den DRG-Anhang des Virtual Circuits fest (legen Sie in der Konsole die Option IPSec nur über FastConnect-Traffic fest, entweder wenn Sie den Virtual Circuit erstellen oder später).

Bevor Sie versuchen, das transportOnly-Modus-Flag festzulegen:

  1. Entfernen Sie alle statischen Regeln aus der Routentabelle "Autogenerierte Drg-Routentabelle für RPC-, VC- und IPSec-Anhänge" oder aus der Routentabelle, die derzeit als Standard für Virtual-Circuit-Anhänge verwendet wird. Standardmäßig lautet die zugehörige Importroutenverteilung für die automatisch generierte Routentabelle "Autogenerated Import Route Distribution for VCN Routes".
  2. Entfernen Sie alle Routenverteilungsanweisungen aus der "Automatisch generierten Importroutenverteilung für VCN-Routen" (oder der manuell erstellten Importroutenverteilung, die mit einer benutzerdefinierten Routentabelle für Virtual Circuits verknüpft ist), die über die Einstellung "Virtual Circuit vom Typ "Anhang abgleichen" oder "Alle abgleichen" verfügen.

Wenn Sie versuchen, den transportOnly-Modus in einem DRG zu aktivieren, das diese Anforderungen nicht erfüllt, sollten Sie eine detaillierte Fehlermeldung mit einer Beschreibung der Einstellungen erhalten. Nachdem Sie die erforderlichen Änderungen an Ihrem DRG vorgenommen haben, können Sie den Virtual Circuit und dessen Anhang in den Modus transportOnly setzen. Nachdem Sie das transportOnly-Modus-Flag festgelegt haben, setzt Oracle die folgenden Verhaltensweisen in den Routentabellen Ihres DRG durch und importiert Routenverteilungen:

  1. Die Routentabelle des Virtual Circuit-Anhangs lässt nur eine einzige Route zu jedem der zugehörigen Loopback-Anhänge und keinen anderen Routen zu.
  2. Die Routentabelle des Virtual Circuit-Anhangs darf keine statischen Routen enthalten.
  3. Die Importroutenverteilung der Routentabelle, die mit dem Virtual-Circuit-Anhang verknüpft ist, kann nur Routen aus den Loopback-DRG-Anhängen importieren.
  4. Keiner der Anhänge im DRG kann Routen aus dem Virtual-Circuit-Anhang importieren, mit Ausnahme des Loopback-Anhangs. Das bedeutet, dass keine Importroutenverteilung für andere Anhänge die generische Einstellung "Alle abgleichen" oder "Anhangstyp abgleichen - Virtual Circuit" aufweisen kann.

Alle weiteren Änderungen an der Importroutenverteilung oder Änderungen an statischen Routingregeln in diesem DRG werden validiert, um das erforderliche Routingverhalten durchzusetzen.

MACsec-Verschlüsselung

FastConnect kann zur Verwendung von MACsec (IEEE-Standard 802.1AE) konfiguriert werden, um Verbindungen zwischen Netzwerken in Layer 2 zu schützen. Um MACsec zu aktivieren, wählen Sie einen Advanced Encryption Standard-(AES-)Verschlüsselungsalgorithmus aus. Die beiden verbundenen Netzwerke tauschen Sicherheitsschlüssel aus, überprüfen sie und stellen dann eine sichere bidirektionale Verbindung her. Die eigentlichen Verschlüsselungsschlüssel werden vom Oracle Cloud Infrastructure Vault-Service sicher gespeichert.

Für die Verwendung von MACsec gelten die folgenden Anforderungen:

  • Das Customer Premise Equipment-(CPE-)Gerät muss ebenfalls MACsec unterstützen.
  • Die ausgewählte Portgeschwindigkeit für FastConnect für einzelne Crossconnects oder Crossconnect-Gruppen muss mindestens 10 Gbit/s betragen.
  • Nicht alle vorhandenen Crossconnects oder Crossconnect-Gruppen können MACsec unterstützen. Um für einen vorhandenen Crossconnect oder eine vorhandene Crossconnect-Gruppe ein Upgrade auszuführen, enthält die Detailseite für den Crossconnect oder die Crossconnect-Gruppe das Feld MACsec-Verschlüsselung, das auf Möglich oder Unmöglich gesetzt werden kann. Die Verbindung muss MACsec verwenden können. Wenn der Crossconnect oder die Crossconnect-Gruppe MACsec nicht verwenden kann, müssen Sie das Provisioning erneut durchführen, bevor Sie MACsec konfigurieren.
  • Nicht alle externen Provider können MACsec bei dem von ihnen bereitgestellten Circuit-Typ unterstützen. Fragen Sie Ihren Provider, ob der von Ihnen erworbene Konnektivitätstyp MACsec unterstützt.

FastConnect mit MACsec lässt sich mit dem Vault-Service integrieren. Im Folgenden finden Sie eine Übersicht der Schritte, die zur vollständigen Konfiguration von FastConnect mit MACsec erforderlich sind.

  1. Vault erstellen.
  2. Erstellen Sie einen Masterverschlüsselungsschlüssel im Vault.
  3. Erstellen Sie zwei Secrets, die den Konnektivitätszuordnungsschlüssel (CAK) und den Konnektivitätszuordnungsschlüssel-Namen (CKN) in Ihrem Vault darstellen. CAK und CKN müssen Hexadezimalzeichenfolgen mit einer Länge von 32 bis 64 Zeichen sein.
  4. Konfigurieren Sie MACsec in einem Crossconnect eines externen Providers oder einer Colocation. Verwenden Sie dabei die CKN- und CAK-Secrets, die für den FastConnect-Circuit erstellt wurden.
  5. Geben Sie Ihrem On-Premise-Netzwerkadministrator die ursprünglichen CAK- und CKN-Schlüssel, die bei der Konfiguration des Customer Premises Equipment-(CPE-)Geräts verwendet werden sollen.
  6. Aktivieren Sie die Crossconnects für den Virtual Circuit des externen Providers oder der Colocation.

Wenn Sie einem vorhandenen FastConnect-Crossconnect die MACsec-Verschlüsselung hinzufügen möchten, beachten Sie, dass beim Ändern der Verschlüsselungseinstellungen ein Neustart der BGP-Session erforderlich ist, wodurch der BGP-Traffic kurz unterbrochen wird.

MACsec-Parameter

Die Tabelle enthält verschiedene erforderliche Parameter für die Konfiguration von MACsec auf Ihrem CPE.

Parameter Mögliche Werte Beschreibung
CAK 32-64 Hexadezimalzeichen Mindestens 32 Hexadezimalzeichen (0-9, A-F).
Cipher Suites

aes128-gcm-xpn

aes256-gcm-xpn

 Konfigurieren Sie das CPE so, dass es mit der in OCI konfigurierten Cipher Suite übereinstimmt.
CKN 32-64 Hexadezimalzeichen Mindestens 32 Hexadezimalzeichen (0-9, A-F).
Offsetwert für Vertrauen 0 Die OCI-Seite ist immer 0, d.h. der gesamte Frame ist verschlüsselt. Stimmen Sie bei Bedarf im Rahmen der CPE-Konfiguration mit der OCI-Seite überein.
Oberfläche

Einzelne physische Schnittstelle

Linkaggregationsgruppe (LAG)

 MACsec für FastConnect unterstützt die Konfiguration von MACsec auf einer einzelnen FastConnect-Verbindung oder in einer LAG. Verwenden Sie eine übereinstimmende Konfigurationsoption auf Ihrem CPE.
Schlüsselserver 1 oder höher Verwenden Sie einen beliebigen Wert größer als 0 auf Ihrem CPE. Das OCI FastConnect-Edge-Gerät verwendet immer 0.
MKA Include SCI Include SCI Konfigurieren Sie Ihr CPE so, dass ein Secure Channel Identifier-(SCI-)Tag eingeschlossen wird. Konfigurieren Sie das Tag "SCI einschließen" auf der OCI-Seite.
MKA-Policy-Option

must-secure

 Dies erfordert, dass der gesamte Traffic, der in dem für MACsec aktivierten Netzwerksegment gesendet wird, sicher ist (die Option "Fail Close" in der Konsole). Verwenden Sie eine übereinstimmende Konfigurationsoption auf Ihrem CPE. Die Option should-secure (die Option "Nicht öffnen" in der Konsole) ist verfügbar, wird jedoch von Oracle nicht empfohlen.
SAK-Neueingabezeit 3600 Sekunden (1 Stunde) Die CPE-Konfiguration muss mit der OCI-SAK-Neueingabezeit von 1 Stunde übereinstimmen.

MACsec-Hitless-Schlüssel-Rollover

Wenn Sie bereit sind, Ihre Schlüssel zu rotieren, unterstützt MACsec für FastConnect den Hitless-Schlüssel-Rollover. Damit die Kommunikation beim Rotieren von Schlüsseln nicht verloren geht, aktualisieren Sie CKN und CAK stets gleichzeitig. Ändern Sie zuerst das CKN-CAK-Paar auf der OCI-Seite des FastConnect-Links, und aktualisieren Sie dann das CPE.

Führen Sie die folgenden Aufgaben in der beschriebenen Reihenfolge aus. Wenn Sie diese Schritte nicht in der richtigen Reihenfolge ausführen, kann dies zu einer vorübergehenden Unterbrechung der Kommunikation führen.

Aufgabe 1: CKN-CAK-Paar aktualisieren
  1. Öffnen Sie das Navigationsmenü, klicken Sie auf Identität und Sicherheit, und klicken Sie dann auf Vault.
  2. Wählen Sie ein Compartment aus, für das Sie über Zugriffsberechtigungen verfügen (links auf der Seite). Die Seite wird aktualisiert und zeigt nur die Ressourcen in diesem Compartment an. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Zugriffskontrolle.
  3. Klicken Sie auf den Namen des Vaults, der Ihre CKN- und CAK-Secrets enthält.
  4. Klicken Sie unter Ressourcen auf Secrets.
  5. Klicken Sie auf den Namen des Secrets, das Ihren CKN darstellt.
  6. Klicken Sie auf Secret-Version erstellen.
  7. Geben Sie unter Secret-Inhalte den neuen Wert für Ihren CKN ein.
  8. Klicken Sie auf Secret-Version erstellen.

Wiederholen Sie diese Schritte, um auch den Wert Ihres CAK-Secrets zu ändern.

Wenn Sie einen Hitless-Schlüssel-Rollover durchführen, aktualisieren Sie immer sowohl den CKN als auch den CAK.

Aufgabe 2: Crossconnect-CKN- und CAK-Secret-Versionen aktualisieren

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Networking. Klicken Sie unter Kundenkonnektivität auf FastConnect.

  2. Klicken Sie auf den Namen des FastConnect, von dem die in Aufgabe 1 geänderten Vault Secrets verwendet werden. Sie sehen den Crossconnect, der Ihr FastConnect darstellt.
  3. Klicken Sie auf Bearbeiten.
  4. Wählen Sie unter Connectivity Association Key Name (CKN) die Option Aktuelle Version in Vault verwenden: <number> aus, wobei <number> mit der neuesten Secret-Version Ihres CKN-Secrets im Vault übereinstimmt.
  5. Wählen Sie unter Connectivity Association-Schlüssel (CAK) die Option Aktuelle Version in Vault verwenden: <number> aus, wobei <number> mit der neuesten Secret-Version Ihres CAK-Secrets im Vault übereinstimmt.
  6. Klicken Sie nach der Aktualisierung der CKN- und CAK-Versionen auf Änderungen speichern.
  7. Ein neues Popup-Fenster zum Bestätigen der Änderungen wird angezeigt Klicken Sie auf Bestätigen.

Nachdem der Crossconnect auf die neuen CKN- und CAK-Werte aktualisiert wurde, haben Sie einen Neueingabezeitraum von einer Stunde, um den CKN und CAK auf Ihrem CPE zu aktualisieren, bevor die Session beendet wird.

Aufgabe 3: CKN und CAK auf Ihrem CPE aktualisieren

Nachdem der Crossconnect auf die neuen CKN- und CAK-Werte aktualisiert wurde, haben Sie einen Neueingabezeitraum von einer Stunde, um den CKN und CAK auf Ihrem CPE zu aktualisieren, bevor die Session beendet wird. Lesen Sie die entsprechende Dokumentation für Ihr Gerät.