Oracle Cloud Infrastructure - Dokumentation

FastConnect - Sicherheit

Erfahren Sie mehr über die Verwendung von Verschlüsselung mit FastConnect für bessere Netzwerksicherheit.

Mit Oracle Cloud Infrastructure FastConnect können Sie den Datenverkehr zwischen Ihrem Data Center und Oracle Cloud Infrastructure mit zwei wichtigen Methoden verschlüsseln: IPSec über FastConnect und MACsec-Verschlüsselung.

IPsec über FastConnect

Mit IPSec über FastConnect können Sie Site-to-Site-VPN mit sicheren IPSec-Tunneln auf FastConnect-Virtual Circuits einrichten und so der bereits privaten Verbindung zusätzliche Sicherheit bieten. Diese IPSec-Tunnel schützen Netzwerk-Netzwerkverbindungen auf Layer 3.

IPSec über FastConnect ist für alle drei Konnektivitätsmodelle verfügbar (Partner, Colocation mit Oracle und externer Provider) und unterstützt die folgenden Funktionen:

  • Mehrere IPSec-Tunnel können über einen einzelnen FastConnect-Virtual Circuit vorhanden sein.
  • Eine Mischung aus verschlüsseltem und unverschlüsseltem Datenverkehr kann auf demselben Virtual Circuit vorhanden sein. Sie können jedoch verlangen, dass der gesamte Datenverkehr verschlüsselt ist.
  • IPSec-Tunnelendpunkte können öffentliche oder private IP-Adressen verwenden. Wenn die Adressen jedoch öffentlich sind, sind sie nicht über das Internet erreichbar, weil der Transport für diese Konnektivität eine private Verbindung und nicht über das Internet ist.
  • Mit ECMP können Sie mehrere IPSec-Tunnel zwischen denselben Endpunkten aggregieren.

Konfigurieren von IPSec über FastConnect

Hinweis

Es wird empfohlen, dass Sie routenbasierte BGP-IPSec-Verbindungen für IPSec über FastConnect verwenden.

Wenn Sie sowohl FastConnect als auch Site-to-Site-VPN so konfigurieren, dass es als einzelne Datenverbindung funktioniert, müssen Sie Komponenten in einer bestimmten Reihenfolge einrichten. Angenommen, Sie haben bereits mindestens ein VCN und DRG in Ihrem Cloud-Mandanten, erstellen Sie Services in der folgenden Reihenfolge:

  1. Erstellen Sie einen Virtual Circuit FastConnect, oder wählen Sie einen vorhandenen privaten Virtual Circuit aus. Dieser Virtual Circuit kann eines der drei FastConnect-Konnektivitätsmodelle verwenden. Für neue oder vorhandene private Virtual Circuits ist keine Änderung erforderlich, um IPSec über FastConnect zu aktivieren. Sie können den Virtual Circuit jedoch so bearbeiten, dass nur Traffic zulässig ist, der IPSec über FastConnect verwendet. Das DRG verwendet verschiedene Routentabellen, die für VIRTUAL_CIRCUIT-Anhänge und IPSEC_TUNNEL-Anhänge eingerichtet sind, da diese Anhänge keine gemeinsame DRG-Routentabelle verwenden können.
  2. Erstellen Sie ein neues CPE-Objekt (Customer Premise Equipment). Dieses Objekt ist eine virtuelle Darstellung des physischen Edge-Geräts eines On-Premise-Netzwerks. Für das CPE-Objekt muss IPSec über FastConnect aktiviert sein. Nachdem Sie das CPE-Objekt erstellt haben, konfigurieren Sie das physische Edge-Gerät so, dass es den CPE-Einstellungen für Site-to-Site-VPN wie normal entspricht. Die IP-Adresse, die als CPE-IKE-ID verwendet wird, kann privat oder öffentlich sein. Ein zuvor konfiguriertes CPE-Objekt kann nicht für IPSec über FastConnect verwendet werden, da die Darstellung die Option zur Verwendung von IPSec über FastConnect nicht enthält. Natürlich können Sie Ihr vorhandenes CPE-Objekt weiterhin für Traffic verwenden, der das Internet durchläuft.
  3. Erstellen Sie eine Site-to-Site-VPN-IPSec-Verbindung, und wählen Sie das gerade erstellte neue CPE aus. BGP-Routing wird für Verbindungen bevorzugt, die IPSec über FastConnect verwenden. Sie müssen den Virtual Circuit FastConnect angeben, den Sie verwenden möchten.

Loopback - Anhänge

Für IPSec über FastConnect ist ein upgegradetes DRG erforderlich, das Anhänge mit den folgenden Typen aufweisen kann:

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • LOOPBACK

Mit einem Loopback-Anhang kann verschlüsselter Traffic zwischen einem Virtual Circuit-Anhang und einem IPSec-Tunnelanhang fließen, indem die Oracle-Seite der privaten IP-Adresse des Tunnels an das DRG übergeben wird. Ohne den Loopback-Anhang ist kein Datenverkehr direkt zwischen einem Virtual Circuit-Anhang und einem IPSec-Tunnelanhang zulässig. Wenn Traffic durch den Tunnelanhang IPSec zurückschleift, wird er entschlüsselt und dann an das DRG gesendet. Nur Virtual Circuit-Anhänge und IPSec-Tunnelanhänge können an einen Loopback-Anhang weitergeleitet werden. Das gesamte Routing zu oder von einem Loopback-Anhang wird von Oracle verwaltet und kann nicht von Ihren Mandantenadministratoren verwaltet werden.

IPSec über FastConnect umfasst sowohl einen Virtual Circuit als auch einen IPSec-Tunnel. Diese Verbindungen müssen auf einem DRG-Anhang mit dem entsprechenden Typ enden. Wie im folgenden vereinfachten Diagramm für eingehenden Traffic dargestellt, stammt der IPSec-Tunnel mit FastConnect über IPSec vom CPE (Callout 1). Der Virtual Circuit stammt aus einem On-Premise-Edge-Router (Callout 2) und endet auf einem VIRTUAL_CIRCUIT-Anhang (Callout 3). Dann übergibt der IPSec-Tunnelverkehr an einen LOOPBACK-Anhang (Callout 4) und endet auf einem IPSEC_TUNNEL-Anhang (Callout 5). Unverschlüsselter Traffic durchläuft dann einen VCN-Anhang (Callout 6) und geht an die endgültige Ziel-IP-Adresse im VCN. Der Traffic kann alternativ zu einem REMOTE_PEERING_CONNECTION-Anhang weitergeleitet werden, der an ein anderes DRG in derselben Region oder einer anderen Region gebunden ist. Dies wird jedoch nicht im Diagramm angezeigt.

Diagramm mit den Endungen des Virtual Circuits und des Tunnels IPSec
Callout Funktion
1 CPE-Gerät. Beendet die Verbindung IPSec.
2 Edge-Router. Beendet den Virtual Circuit.

Hinweis: Callout 1 und 2 können potenziell dasselbe physische Gerät sein.
3 Anhang VIRTUAL_CIRCUIT. Beendet den Virtual Circuit.
4 LOOPBACK Befestigung. Leitet den IPSec-Traffic an den Anhang IPSEC_TUNNEL weiter. Dies ist auch die VPN-Endpunkt-IP.
5 Anhang IPSEC_TUNNEL. Beendet die Verbindung IPSec.
6 VCN-Anhang
Hinweis

Wenn Sie IPSec über FastConnect verwenden, müssen der Tunnelanhang IPSec (Callout 5) und der Virtual Circuit-Anhang (Callout 3) unterschiedliche DRG-Routentabellen verwenden und Routingverteilungen importieren.

TransportOnly-Modus: Nur verschlüsselten Traffic auf einem Virtual Circuit zulassen

Mit IPSec über FastConnect kann ein Virtual Circuit FastConnect als Transportmedium für verschlüsselten Traffic in einem privaten IPSec-Tunnel fungieren, sodass die Konnektivität von einem On-Premise-Netzwerk zum VCN für gesicherten und ungesicherten Traffic möglich ist.

Wenn Sie einen strengen Sicherheitsstatus möchten, der nur verschlüsselten Traffic über Ihre Virtual Circuits zulässt, setzen Sie das Flag transportOnly-Modus auf Ihrem Virtual Circuit und den DRG-Anhang des Virtual Circuits (in der Konsole legen Sie die Option IPSec nur über FastConnect-Traffic fest, entweder wenn Sie den Virtual Circuit erstellen oder später).

Bevor Sie versuchen, das transportOnly-Modus-Flag festzulegen:

  1. Entfernen Sie alle statischen Regeln aus der Routentabelle "Automatisch generierte Drg-Routentabelle für RPC-, VC- und IPSec-Anhänge" oder aus der Routentabelle, die derzeit als Standard für Virtual Circuit-Anhänge verwendet wird. Standardmäßig ist die zugehörige Importroutenverteilung für die automatisch generierte Routentabelle die "Automatisch generierte Importroutenverteilung für VCN-Routen".
  2. Entfernen Sie alle Routenverteilungsanweisungen aus der "Automatisch generierte Importroutenverteilung für VCN-Routen" (oder der manuell erstellten Importroutenverteilung, die mit einer benutzerdefinierten Routentabelle für Virtual Circuits verknüpft ist), die eine Einstellung "Virtual Circuit vom Typ "Zuordnen" oder "Alle abgleichen" aufweisen.

Wenn Sie versuchen, den transportOnly-Modus für ein DRG zu aktivieren, das diese Anforderungen nicht erfüllt, erhalten Sie eine detaillierte Fehlermeldung mit einer Beschreibung, welche Einstellungen angepasst werden müssen. Nachdem Sie die erforderlichen Änderungen an Ihrem DRG vorgenommen haben, können Sie den Virtual Circuit und dessen Anhang auf den Modus transportOnly setzen. Nachdem Sie das transportOnly-Modus-Flag festgelegt haben, erzwingt Oracle die folgenden Verhaltensweisen in den Routentabellen Ihres DRG und Importroutenverteilungen:

  1. Die Routentabelle des Virtual Circuit-Anhangs ermöglicht nur eine einzelne Route zu jedem zugehörigen Loopback-Anhang und keine anderen Routen.
  2. Die Routentabelle des Virtual Circuit-Anhangs kann keine statischen Routen enthalten.
  3. Die Importroutenverteilung der Routentabelle, die mit dem Virtual Circuit-Anhang verknüpft ist, kann nur Routen aus den Loopback-DRG-Anhängen importieren.
  4. Keiner der Anhänge im DRG kann Routen aus dem Virtual Circuit-Anhang mit Ausnahme des Loopback-Anhangs importieren. Das bedeutet, dass keine Importroutenverteilung für einen anderen Anhang die generische Einstellung "Alle abgleichen" oder "Anhangstyp abgleichen - Virtual Circuit" aufweisen kann.

Alle weiteren Änderungen an der Importroutenverteilung oder Änderungen an statischen Routingregeln in diesem DRG werden validiert, um das erforderliche Routingverhalten durchzusetzen.

MACsec-Verschlüsselung

FastConnect kann so konfiguriert werden, dass MACsec (IEEE-Standard 802.1AE) verwendet wird, um Verbindungen von Netzwerk zu Netzwerk in Layer 2 zu schützen. Um MACsec zu aktivieren, wählen Sie einen Advanced Encryption Standard-(AES-)Verschlüsselungsalgorithmus aus. Die beiden verbundenen Netzwerke tauschen Sicherheitsschlüssel aus, überprüfen sie und stellen dann eine sichere bidirektionale Verbindung her. Die eigentlichen Verschlüsselungsschlüssel werden vom Oracle Cloud Infrastructure Vault-Service sicher gespeichert.

Für die Verwendung von MACsec gelten die folgenden Anforderungen:

  • Das Customer Premise Equipment-(CPE-)Gerät muss ebenfalls MACsec unterstützen.
  • Die ausgewählte Portgeschwindigkeit von FastConnect für einzelne Crossconnects oder Crossconnect-Gruppen muss mindestens 10 Gbit/s betragen.
  • Nicht alle vorhandenen Crossconnects oder Crossconnect-Gruppen können MACsec unterstützen. Um ein Upgrade für einen vorhandenen Crossconnect oder eine vorhandene Crossconnect-Gruppe auszuführen, enthält die Detailseite für den Crossconnect oder die Crossconnect-Gruppe das Feld MACsec-Verschlüsselung mit Einstellungen für Möglich oder Unmöglich. Die Verbindung muss MACsec verwenden können. Wenn der Crossconnect oder die Crossconnect-Gruppe MACsec nicht verwenden kann, müssen Sie das Provisioning erneut durchführen, bevor Sie MACsec konfigurieren.
  • Nicht alle externen Provider können MACsec bei dem von ihnen bereitgestellten Circuit-Typ unterstützen. Fragen Sie Ihren Provider, ob der von Ihnen erworbene Konnektivitätstyp MACsec unterstützt.

FastConnect mit MACsec lässt sich mit dem Vault-Service integrieren. Im Folgenden finden Sie eine Übersicht der Schritte, wie Sie FastConnect mit MACsec vollständig konfigurieren.

  1. Vault erstellen.
  2. Erstellen Sie einen Master-Verschlüsselungsschlüssel im Vault.
  3. Erstellen Sie zwei Secrets, die den Connectivity-Verknüpfungsschlüssel (CAK) und den Connectivity Association Key Name (CKN) in Ihrem Vault darstellen. CAK und CKN müssen Hexadezimalzeichenfolgen mit einer Länge von 32 bis 64 Zeichen sein.
  4. Konfigurieren Sie MACsec in einem Crossconnect eines externen Providers oder einer Colocation. Verwenden Sie dabei die CKN- und CAK-Secrets, die für den FastConnect-Chip erstellt wurden.
  5. Geben Sie Ihrem On-Premise-Netzwerkadministrator die ursprünglichen CAK- und CKN-Schlüssel, die bei der Konfiguration des Customer Premises Equipment-(CPE-)Geräts verwendet werden sollen.
  6. Aktivieren Sie die Crossconnects für den Virtual Circuit des externen Providers oder der Colocation.

Wenn Sie einem vorhandenen FastConnect-Crossconnect die MACsec-Verschlüsselung hinzufügen möchten, beachten Sie, dass beim Ändern der Verschlüsselungseinstellungen ein Neustart der BGP-Session erforderlich ist, wodurch der BGP-Traffic kurz unterbrochen wird.

MACsec-Parameter

Die Tabelle enthält verschiedene erforderliche Parameter für die Konfiguration von MACsec auf Ihrem CPE.

Parameter Mögliche Werte Beschreibung
CAK 32-64 Hexadezimalzeichen Mindestens 32 Hexadezimalzeichen (0-9, A-F).
Cipher Suites

aes128-gcm-xpn

aes256-gcm-xpn

 Konfigurieren Sie das CPE so, dass es mit der in OCI konfigurierten Cipher Suite übereinstimmt.
CKN 32-64 Hexadezimalzeichen Mindestens 32 Hexadezimalzeichen (0-9, A-F).
Offsetwert für Vertraulichkeit 0 Die OCI-Seite ist immer 0, d.h. der gesamte Frame ist verschlüsselt. Stimmen Sie bei Bedarf im Rahmen der CPE-Konfiguration mit der OCI-Seite überein.
Oberfläche

Einzelne physische Schnittstelle

Linkaggregationsgruppe (LAG)

 MACsec für FastConnect unterstützt die Konfiguration von MACsec auf einer einzelnen FastConnect-Verbindung oder in einer LAG. Verwenden Sie eine übereinstimmende Konfigurationsoption auf Ihrem CPE.
Schlüsselserver 1 oder höher Verwenden Sie einen beliebigen Wert größer als 0 auf Ihrem CPE. Das OCI FastConnect-Edge Device verwendet immer 0.
MKA Include SCI include SCI Konfigurieren Sie Ihr CPE so, dass ein Secure Channel Identifier-(SCI-)Tag eingeschlossen wird. Konfigurieren Sie das Tag "SCI einschließen" auf der OCI-Seite.
MKA-Policy-Option

must-secure

 Dies erfordert, dass der gesamte Traffic, der auf dem MACsec-fähigen Netzwerksegment gesendet wird, sicher ist (die Option "Fail Close" in der Konsole). Verwenden Sie eine übereinstimmende Konfigurationsoption auf Ihrem CPE. Die Option should-secure (Option "Fail Open" in der Konsole) ist verfügbar, wird von Oracle jedoch nicht empfohlen.
SAK-Neueingabezeit 3600 Sekunden (1 Stunde) Die CPE-Konfiguration muss mit der OCI-SAK-Neuschlüsselzeit von 1 Stunde übereinstimmen.

MACsec-Hitless-Schlüssel-Rollover

Wenn Sie bereit sind, Ihre Schlüssel zu rotieren, unterstützt MACsec für FastConnect den Hitless-Schlüssel-Rollover. Damit die Kommunikation beim Rotieren von Schlüsseln nicht verloren geht, aktualisieren Sie CKN und CAK stets gleichzeitig. Ändern Sie zuerst das CKN-CAK-CAK-Paar auf der OCI-Seite des Links FastConnect, und aktualisieren Sie dann das CPE.

Führen Sie die folgenden Aufgaben in der beschriebenen Reihenfolge aus. Wenn Sie diese Schritte nicht in der richtigen Reihenfolge ausführen, kann dies zu einer vorübergehenden Unterbrechung der Kommunikation führen.

Aufgabe 1: CKN-CAK-Paar aktualisieren
  1. Öffnen Sie das Navigationsmenü , wählen Sie Identität und Sicherheit aus, und wählen Sie Vault aus.
  2. Wählen Sie ein Compartment aus, für das Sie über Zugriffsberechtigungen verfügen (links auf der Seite). Die Seite wird aktualisiert und zeigt nur die Ressourcen in diesem Compartment an. Wenn Sie nicht sicher sind, welches Compartment verwendet werden soll, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Zugriffskontrolle.
  3. Klicken Sie auf den Namen des Vaults, der Ihre CKN- und CAK-Secrets enthält.
  4. Klicken Sie unter Ressourcen auf Secrets.
  5. Klicken Sie auf den Namen des Secrets, das Ihren CKN darstellt.
  6. Klicken Sie auf Secret-Version erstellen.
  7. Geben Sie unter Secret-Inhalte den neuen Wert für Ihren CKN ein.
  8. Klicken Sie auf Secret-Version erstellen.

Wiederholen Sie diese Schritte, um auch den Wert Ihres CAK-Secrets zu ändern.

Wenn Sie einen Hitless-Schlüssel-Rollover durchführen, aktualisieren Sie immer sowohl den CKN als auch den CAK.

Aufgabe 2: Crossconnect-CKN- und CAK-Secret-Versionen aktualisieren
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter Kundenkonnektivität die Option FastConnect aus.
  2. Klicken Sie auf den Namen des FastConnect, der die in Aufgabe 1 geänderten Vault Secrets verwendet. Sie sehen den Crossconnect, der Ihr FastConnect darstellt.
  3. Klicken Sie auf Bearbeiten.
  4. Wählen Sie unter Connectivity Association Key Name (CKN) die Option Aktuelle Version in Vault verwenden: <number> aus, wobei <number> mit der neuesten Secret-Version Ihres CKN-Secrets im Vault übereinstimmt.
  5. Wählen Sie unter Konnektivitätszuordnungsschlüssel die Option Aktuelle Version in Vault verwenden: <number> aus, wobei <number> mit der neuesten Secret-Version Ihres CAK-Secrets im Vault übereinstimmt.
  6. Klicken Sie nach der Aktualisierung der CKN- und CAK-Version auf Änderungen speichern.
  7. Ein neues Popup-Fenster zum Bestätigen der Änderungen wird angezeigt Klicken Sie auf Bestätigen.

Nachdem der Crossconnect auf die neuen CKN- und CAK-Werte aktualisiert wurde, haben Sie einen Neueingabezeitraum von einer Stunde, um den CKN und CAK auf Ihrem CPE zu aktualisieren, bevor die Session beendet wird.

Aufgabe 3: CKN und CAK auf Ihrem CPE aktualisieren

Nachdem der Crossconnect auf die neuen CKN- und CAK-Werte aktualisiert wurde, haben Sie einen Neueingabezeitraum von einer Stunde, um den CKN und CAK auf Ihrem CPE zu aktualisieren, bevor die Session beendet wird. Lesen Sie die entsprechende Dokumentation für Ihr Gerät.