Sécurité FastConnect
Découvrez comment utiliser le chiffrement avec FastConnect pour une meilleure sécurité réseau.
Oracle Cloud Infrastructure FastConnect offre deux méthodes principales pour chiffrer le trafic entre un centre de données sur place et Oracle Cloud Infrastructure : IPSec sur FastConnect et MACsec Chiffrement.
IPSec sur FastConnect
IPSec sur FastConnect vous permet de configurer un RPV site à site avec des tunnels IPSec sécurisés sur les circuits virtuels FastConnect, assurant ainsi une sécurité supplémentaire pour ce qui est déjà une connexion privée. Ces tunnels IPSec protègent les connexions réseau à réseau sur la couche 3.
IPSec sur FastConnect est disponible pour les trois modèles de connectivité (partenaire, colocalisation avec Oracle et fournisseur tiers) et prend en charge les fonctions suivantes :
- Plusieurs tunnels IPSec peuvent exister sur un seul circuit virtuel FastConnect.
- Un mélange de trafic chiffré et non chiffré peut exister sur le même circuit virtuel, bien que vous puissiez avoir besoin que tout le trafic soit chiffré.
- Les points d'extrémité de tunnel IPSec peuvent utiliser des adresses IP publiques ou privées, mais si elles sont publiques, elles ne sont pas accessibles sur Internet, car le transport pour cette connectivité est une connexion privée et non sur Internet.
- Vous pouvez agréger plusieurs tunnels IPSec entre les mêmes points d'extrémité à l'aide d'ECMP.
Configuration de IPSec sur FastConnect
Nous vous recommandons d'utiliser des connexions IPSec basées sur une route BGP pour IPSec sur FastConnect.
La configuration de FastConnect et du RPV site à site pour fonctionner en tant que connexion de données unique nécessite la configuration de composants dans un ordre spécifique. Si vous avez déjà au moins un VCN et une passerelle DRG dans une location en nuage, créez des services dans l'ordre suivant :
- Créez un circuit virtuel FastConnect ou sélectionnez un circuit virtuel privé existant. Ce circuit virtuel peut utiliser l'un des trois modèles de connectivité FastConnect. Aucune modification n'est requise pour les circuits virtuels privés nouveaux ou existants pour activer IPSec sur FastConnect, mais vous pouvez modifier le circuit virtuel pour autoriser uniquement le trafic qui utilise IPSec sur FastConnect. La passerelle DRG utilise différentes tables de routage configurées pour les attachements VIRTUAL_CIRCUIT et IPSEC_TUNNEL, car ces attachements ne peuvent pas partager une table de routage DRG.
- Créer un nouvel objet d'équipement local d'abonné (CPE). Cet objet est une représentation virtuelle de l'appareil en périphérie physique d'un réseau sur place. L'option IPSec sur FastConnect doit être activée pour l'objet CPE lors de la création. Cette option ne peut pas être ajoutée plus tard. Après avoir créé l'objet CPE, configurez l'appareil en périphérie physique pour qu'il corresponde aux paramètres habituels de l'équipement local d'abonné pour le RPV site à site. L'adresse IP utilisée comme identificateur IKE de l'équipement local d'abonné peut être privée ou publique. Bien sûr, vous pouvez toujours utiliser un objet CPE existant pour le trafic régulier qui traverse Internet.
- Créez une connexion RPV site à site IPSec, en sélectionnant le nouvel équipement local d'abonné que vous avez créé. Le routage BGP est privilégié pour les connexions qui utilisent IPSec par rapport à FastConnect. Vous devez spécifier le circuit virtuel FastConnect que vous prévoyez d'utiliser.
Attachements de bouclage
IPSec sur FastConnect nécessite une passerelle DRG mise à niveau, qui peut avoir des attachements avec les types suivants :
- VCN
- VIRTUAL_CIRCUIT
- IPSEC_TUNNEL
- REMOTE_PEERING_CONNECTION
- BOUCLAGE
Un attachement de bouclage permet au trafic chiffré de circuler entre un attachement de circuit virtuel et un attachement de tunnel IPSec, en fournissant le côté Oracle de l'adresse IP privée du tunnel à la passerelle de routage dynamique. Sans l'attachement de bouclage, le trafic direct entre un attachement de circuit virtuel et un attachement de tunnel IPSec n'est pas autorisé. Lorsque le trafic revient à travers l'attachement de tunnel IPSec, il est déchiffré, puis envoyé à la passerelle DRG. Seuls les attachements de circuit virtuel et de tunnel IPSec peuvent être acheminés vers un attachement de bouclage. Tous les acheminements vers ou depuis un attachement de bouclage sont gérés par Oracle et ne peuvent pas être gérés par les administrateurs de votre location.
IPSec sur FastConnect implique à la fois un circuit virtuel et un tunnel IPSec, et ces connexions doivent se terminer par un attachement de passerelle de routage dynamique avec le type correspondant. Comme le montre le diagramme simplifié suivant pour le trafic entrant, avec IPSec sur FastConnect, le tunnel IPSec provient du CPE (Légende 1). Le circuit virtuel provient d'un routeur en périphérie de réseau sur place (Légende 2) et se termine par un attachement VIRTUAL_CIRCUIT (Légende 3). Ensuite, le trafic du tunnel IPSec passe à un attachement LOOPBACK (Légende 4) et se termine sur un attachement IPSEC_TUNNEL (Légende 5). Le trafic non chiffré passe ensuite par un attachement de VCN (Légende 6) et sort vers l'adresse IP de destination finale du VCN. Le trafic peut également être acheminé vers un attachement REMOTE_PEERING_CONNECTION lié à une autre passerelle DRG dans la même région ou une autre région, mais cela n'est pas indiqué dans le diagramme.
Légende | Fonction |
---|---|
1 | Appareil CPE. Met fin à la connexion IPSec. |
2 | Routeur Edge. Met fin au circuit virtuel. Note : Les légendes 1 et 2 peuvent être le même appareil physique. |
3 | Fichier joint VIRTUAL_CIRCUIT. Met fin au circuit virtuel. |
4 | Attachement LOOPBACK. Transmet le trafic IPSec à l'attachement IPSEC_TUNNEL. Il s'agit également de l'adresse IP du point d'extrémité RPV. |
5 | Fichier joint IPSEC_TUNNEL. Met fin à la connexion IPSec. |
6 | Attachement de VCN |
Lors de l'utilisation de IPSec sur FastConnect, l'attachement de tunnel IPSec (Légende 5) et l'attachement de circuit virtuel (Légende 3) doivent utiliser des tables de routage DRG et des répartitions de routes d'importation différentes.
Mode TransportOnly : Autoriser uniquement le trafic chiffré sur un circuit virtuel
IPSec sur FastConnect permet à un circuit virtuel FastConnect d'agir comme support de transport pour le trafic chiffré sur un tunnel IPSec privé, ce qui permet la connectivité d'un réseau sur place vers le VCN pour le trafic sécurisé et non sécurisé.
Si vous voulez une sécurité stricte qui autorise uniquement le trafic chiffré sur vos circuits virtuels, réglez l'indicateur de mode transportOnly
sur votre circuit virtuel et l'attachement de passerelle de routage dynamique du circuit virtuel (dans la console, réglez l'option IPSec sur le trafic FastConnect uniquement, lorsque vous créez le circuit virtuel ou ultérieurement).
Avant d'essayer de définir l'indicateur de mode transportOnly
:
- Supprimez toutes les règles statiques de la table de routage "Table de routage Drg générée automatiquement pour les attachements RPC, VC et IPSec" ou de la table de routage qui est actuellement la table par défaut pour les attachements de circuit virtuel. Par défaut, la répartition de routes d'importation associée à la table de routage générée automatiquement est "Répartition de routes d'importation générée automatiquement pour les routes VCN".
- Supprimez tous les énoncés de répartition de routes de l'option "Répartition de routes d'importation générée automatiquement pour les routes VCN" (ou la répartition de routes d'importation créée manuellement associée à une table de routage personnalisée pour les circuits virtuels) qui ont un paramètre "Apparier le type d'attachement au circuit virtuel" ou "Apparier TOUT".
Si vous tentez d'activer le mode transportOnly
sur une passerelle DRG qui ne répond pas à ces exigences, vous devriez obtenir un message d'erreur détaillé décrivant les paramètres à ajuster. Après avoir apporté les modifications requises à votre passerelle DRG, vous pourrez régler le circuit virtuel et son attachement au mode transportOnly
. Après avoir défini l'indicateur de mode transportOnly
, Oracle applique les comportements suivants aux tables de routage et aux répartitions de routage d'importation de votre passerelle DRG :
- La table de routage de l'attachement de circuit virtuel n'autorise qu'une seule route vers chacun de ses attachements de bouclage associés et aucune autre route.
- La table de routage de l'attachement de circuit virtuel ne peut pas avoir de routes statiques.
- La répartition des routes d'importation de la table de routage associée à l'attachement de circuit virtuel peut uniquement importer des routes à partir des attachements DRG de bouclage.
- Aucun des attachements de la passerelle DRG ne peut importer des routes à partir de l'attachement de circuit virtuel, à l'exception de l'attachement de bouclage. Cela signifie qu'aucune répartition de routes d'importation pour un autre attachement ne peut avoir un paramètre générique "Apparier TOUT" ou "Apparier le type d'attachement - Circuit virtuel".
Toute autre modification apportée à la répartition de routes d'importation ou aux règles de routage statique sur cette passerelle DRG sera validée pour appliquer les comportements de routage nécessaires.
Chiffrement MACsec
Vous pouvez configurer FastConnect pour utiliser MACsec (norme EIEE 802.1AE) pour protéger les connexions réseau à réseau sur la couche 2. Pour activer MACsec, sélectionnez un algorithme de chiffrement AES. Les deux réseaux connectés échangent et vérifient des clés de sécurité, puis établissent une liaison bidirectionnelle sécurisée. Le service Oracle Cloud Infrastructure Vault stocke en toute sécurité les clés de chiffrement réelles.
L'utilisation de MACsec comporte les exigences suivantes :
- Le dispositif d'équipement local d'abonné (CPE) doit également prendre en charge MACsec.
- La vitesse de port sélectionnée FastConnect pour les interconnexions uniques ou les groupes d'interconnexions doit être supérieure ou égale à 10 Gbit/s.
- Les interconnexions ou les groupes d'interconnexions existants ne prennent pas tous en charge MACsec. Pour mettre à niveau une interconnexion ou un groupe d'interconnexions existant, le champ MACsec Encryption est réglé à Possible ou Impossible dans la page des détails de ces derniers. La connexion doit être compatible avec MACsec. S'il est impossible pour l'interconnexion ou le groupe d'interconnexions d'utiliser MACsec, vous devez effectuer un nouveau provisionnement avant de configurer MACsec.
- Les fournisseurs de tierce partie ne peuvent pas tous prendre en charge MACsec sur le type de circuit qu'ils proposent. Vérifiez auprès du fournisseur que le type de connectivité que vous achetez prend en charge MACsec.
FastConnect avec MACsec s'intègre au service Chambre forte. Voici un aperçu des étapes permettant de configurer entièrement FastConnect avec MACsec.
- Créer une chambre forte.
- Créez une clé de chiffrement principale dans le service de chambre forte.
- Créer deux clés secrètes pour représenter la clé d'association de connectivité (CAK) et le nom de clé d'association de connectivité (CKN) dans la chambre forte. Les clés CAK et CKN doivent être des chaînes hexadécimales d'une longueur comprise entre 32 et 64 caractères.
- Configurez MACsec dans une interconnexion de fournisseur de tierce partie ou de colocalisation à l'aide des clés secrètes CKN et CAK créées pour le circuit FastConnect.
- Donnez à l'administrateur de réseau sur place les clés CAK et CKN initiales à utiliser lors de la configuration de l'équipement local d'abonné.
- Activez les interconnexions pour les circuits virtuels de fournisseur de tierce partie ou de colocalisation.
Si vous décidez d'ajouter le chiffrement MACsec à une interconnexion FastConnect existante, rappelez-vous que la modification des paramètres de chiffrement nécessite le redémarrage de la session BGP, ce qui interrompt brièvement le trafic BGP.
Paramètres MACsec
Lors de la configuration de MACsec sur un équipement local d'abonné, voir le tableau pour les divers paramètres requis.
Paramètre | Valeurs possibles | Description |
---|---|---|
CAK | 32 à 64 caractères hexadécimaux | Minimum de 32 caractères hexadécimaux (0 à 9, A à F). |
Suites de chiffrement |
aes128-gcm-xpn aes256-gcm-xpn |
Configurez le CPE pour qu'il correspond à la suite de chiffrement configurée dans OCI. |
CKN | 32 à 64 caractères hexadécimaux | Minimum de 32 caractères hexadécimaux (0 à 9, A à F). |
Décalage de confidentialité | 0 | Le côté OCI est toujours 0, ce qui signifie que tout le cadre est chiffré. Si nécessaire, mettez en correspondance le côté OCI. |
Interface |
Interface physique unique groupe d'agrégation de liens |
MACsec pour FastConnect prend en charge la configuration de MACsec sur une seule connexion FastConnect ou une agrégation de liens. Faites correspondre cette option de configuration sur le CPE. |
Serveur de clés | 1 ou plus | Utilisez une valeur supérieure à 0 dans l'équipement local d'abonné. L'appareil en périphérie OCI FastConnect utilise toujours 0. |
MKA - Inclure SCI | include SCI | Configurez le CPE pour inclure un marqueur SCI (Secure Channel Identifier). Configurez le marqueur "Inclure SCI" côté OCI. |
Option de politique MKA |
must-secure |
Cela nécessite que tout le trafic envoyé sur le segment de réseau activé pour MACsec soit sécurisé (option Échec de fermeture dans la console). Faites correspondre cette option de configuration sur le CPE. L'option should-secure (l'option Échec de l'ouverture dans la console) est disponible mais n'est pas recommandée par Oracle. |
SAK - Durée de la nouvelle clé | 3 600 secondes (1 heure) | La configuration du CPE doit correspondre au délai de 1 heure de nouvelle clé SAK pour OCI. |
Substitution de clé sans interruption MACsec
Lorsque vous êtes prêt à effectuer la rotation des clés, MACsec pour FastConnect prend en charge la substitution de clé sans interruption. Pour éviter toute perte de communication lors de la rotation des clés, mettez systématiquement à jour les clés CKN et CAK en même temps. Modifiez d'abord la paire CKN et CAK du côté OCI du lien FastConnect, puis mettez à jour le CPE.
Exécutez les tâches suivantes dans l'ordre décrit. Si ces étapes sont effectuées dans le désordre, cela peut entraîner une interruption temporaire de la communication.
- Ouvrez le menu de navigation , sélectionnez Identité et sécurité, puis Chambre forte.
- Sélectionnez un compartiment que vous êtes autorisé à utiliser (dans la partie gauche de la page. La page est mise à jour pour afficher uniquement les ressources de ce compartiment. Si vous ne savez pas quel compartiment utiliser, communiquez avec un administrateur. Pour plus d'informations, voir Contrôle de l'accès.
- Sélectionnez le nom de la chambre forte qui inclut les clés secrètes CKN et CAK.
- Sous Ressources, sélectionnez Clés secrètes.
- Sélectionnez le nom de la clé secrète qui représente le CKN.
- Sélectionnez Créer une version de clé secrète.
- Sous Contenu de la clé secrète, entrez la nouvelle valeur de CKN.
- Sélectionnez Créer une version de clé secrète.
Répétez ces étapes pour modifier également la valeur de la clé secrète CAK.
Lors d'une substitution de clé en transparence, mettez systématiquement à jour la CKN et la CAK ensemble.
- Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Connectivité client, sélectionnez FastConnect.
- Sélectionnez le nom de la FastConnect qui utilise les clés secrètes de chambre forte modifiées dans la tâche 1. Vous voyez l'interconnexion représentant cette FastConnect.
- Sélectionnez Modifier.
- Sous Connectivity Association Key Name (CKN), sélectionnez Use current version in Vault : <number> où <number> correspond à la dernière version de la clé secrète CKN dans la chambre forte.
- Sous Clé d'association de connectivité (CAK) sélectionnez Use current version in Vault : <number> où <number> correspond à la dernière version de la clé secrète CAK dans la chambre forte.
- Une fois les versions CKN et CAK mises à jour, sélectionnez Enregistrer les modifications.
- Une nouvelle fenêtre contextuelle s'affiche où vous pouvez confirmer les modifications. Sélectionnez Confirmer.
Une fois l'interconnexion mise à jour pour utiliser les nouvelles valeurs CKN et CAK, vous disposez d'un période de nouvelle clé de 1 heure pour mettre à jour les valeurs CKN et CAK sur le CPE avant que la session ne s'arrête.
Une fois l'interconnexion mise à jour pour utiliser les nouvelles valeurs CKN et CAK, vous disposez d'un période de nouvelle clé de 1 heure pour mettre à jour les valeurs CKN et CAK sur le CPE avant que la session ne s'arrête. Consultez la documentation appropriée pour l'appareil.