Documentation sur Oracle Cloud Infrastructure

FastConnect Sécurité

Découvrez comment utiliser le chiffrement avec FastConnect pour une meilleure sécurité réseau.

Oracle Cloud Infrastructure FastConnect permet deux méthodes principales pour chiffrer le trafic entre votre centre de données et Oracle Cloud Infrastructure : IPSec sur FastConnect et MACsec Encryption.

IPSec sur FastConnect

IPSec sur FastConnect vous permet de configurer un RPV site à site avec des tunnels IPSec sécurisés sur vos circuits virtuels FastConnect, offrant ainsi une sécurité accrue à ce qui est déjà une connexion privée. Ces tunnels IPSec protègent les connexions réseau à réseau sur la couche 3.

IPSec sur FastConnect est disponible pour les trois modèles de connectivité (partenaire, colocalisé et tierce partie) et prend en charge les fonctions suivantes :

  • Plusieurs tunnels IPSec peuvent exister sur un seul circuit virtuel FastConnect.
  • Un mélange de trafic chiffré et non chiffré peut exister sur le même circuit virtuel, bien que vous puissiez avoir besoin que tout le trafic soit chiffré.
  • Les points d'extrémité de tunnel IPSec peuvent utiliser des adresses IP publiques ou privées, mais si elles sont publiques, elles ne seront pas accessibles sur Internet, car le transport pour cette connectivité est une connexion privée et non sur Internet.
  • Vous pouvez agréger plusieurs tunnels IPSec entre les mêmes points d'extrémité à l'aide d'ECMP.

Configuration de IPSec sur FastConnect

Note

Oracle recommande d'utiliser des connexions IPSec basées sur une route BGP pour IPSec sur FastConnect.

La configuration de FastConnect et de RPV site à site pour fonctionner en tant que connexion de données unique nécessite la configuration de composants dans un ordre spécifique. En supposant que vous avez déjà au moins un VCN et une passerelle DRG dans votre location en nuage, créez des services dans l'ordre suivant :

  1. Créez un circuit virtuel FastConnect ou sélectionnez un circuit virtuel privé existant. Ce circuit virtuel peut utiliser l'un des trois modèles de connectivité FastConnect. Aucune modification n'est requise pour vos circuits virtuels privés, nouveaux ou existants, pour activer IPSec sur FastConnect, mais vous pouvez modifier le circuit virtuel pour autoriser uniquement le trafic qui utilise IPSec sur FastConnect. La passerelle DRG doit avoir des tables de routage différentes configurées pour les attachements VIRTUAL_CIRCUIT et IPSEC_TUNNEL, car ces attachements ne pourront pas partager une table de routage DRG.
  2. Créez un nouvel objet d'équipement local d'abonné (CPE). Cet objet est une représentation virtuelle de l'appareil en périphérie physique de votre réseau sur place. IPSec doit être activé pour l'objet CPE sur FastConnect. Après avoir créé l'objet CPE, configurez l'appareil en périphérie physique pour qu'il corresponde aux paramètres CPE comme d'habitude pour le RPV site à site. L'adresse IP utilisée comme identificateur IKE de l'équipement local d'abonné peut être privée ou publique. Un objet CPE configuré précédemment ne peut pas être utilisé pour IPSec sur FastConnect, car la représentation n'inclut pas l'option d'utilisation de IPSec sur FastConnect. Bien sûr, vous pouvez toujours utiliser votre objet CPE existant pour le trafic qui traverse Internet.
  3. Créez une connexion IPSec de RPV site à site, en sélectionnant le nouvel équipement local d'abonné que vous venez de créer. Le routage BGP est privilégié pour les connexions qui utilisent IPSec sur FastConnect et vous devez spécifier le circuit virtuel FastConnect que vous prévoyez d'utiliser. IPSec sur FastConnect est disponible uniquement avec le service de RPV site à site mis à jour.

Attachements de bouclage

IPSec sur FastConnect nécessite une passerelle DRG mise à niveau, qui peut avoir des attachements avec les types suivants :

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • BOUCLAGE

Un attachement de bouclage permet au trafic chiffré de circuler entre un attachement de circuit virtuel et un attachement de tunnel IPSec, en fournissant le côté Oracle de l'adresse IP privée du tunnel à la passerelle de routage dynamique. Sans l'attachement de bouclage, le trafic direct entre un attachement de circuit virtuel et un attachement de tunnel IPSec n'est pas autorisé. Lorsque le trafic revient à travers l'attachement de tunnel IPSec, il est déchiffré, puis envoyé à la passerelle DRG. Seuls les attachements de circuit virtuel et de tunnel IPSec peuvent être acheminés vers un attachement de bouclage. Tous les acheminements vers ou depuis un attachement de bouclage sont gérés par Oracle et ne peuvent pas être gérés par les administrateurs de votre location.

IPSec sur FastConnect implique à la fois un circuit virtuel et un tunnel IPSec, et ces connexions doivent se terminer sur un attachement de passerelle de routage dynamique avec le type correspondant. Comme le montre le diagramme simplifié suivant pour le trafic entrant, avec IPSec sur FastConnect, le tunnel IPSec provient du CPE (Légende 1). Le circuit virtuel provient d'un routeur en périphérie de réseau sur place (Légende 2) et se termine par un attachement VIRTUAL_CIRCUIT (Légende 3). Ensuite, le trafic du tunnel IPSec passe à un attachement LOOPBACK (Légende 4) et se termine sur un attachement IPSEC_TUNNEL (Légende 5). Le trafic non chiffré passe ensuite par un attachement de VCN (Légende 6) et sort vers l'adresse IP de destination finale du VCN. Le trafic peut également être acheminé vers un attachement REMOTE_PEERING_CONNECTION lié à une autre passerelle DRG dans la même région ou une autre région, mais cela n'est pas indiqué dans le diagramme.

Diagramme montrant les extrémités de terminaison du circuit virtuel et du tunnel IPSec
Légende Fonction
1 Appareil CPE. Met fin à la connexion IPSec.
2 Routeur Edge. Met fin au circuit virtuel.

Note : Les légendes 1 et 2 peuvent être le même appareil physique.
3 Fichier joint VIRTUAL_CIRCUIT. Met fin au circuit virtuel.
4 Attachement LOOPBACK. Transmet le trafic IPSec à l'attachement IPSEC_TUNNEL. Il s'agit également de l'adresse IP du point d'extrémité RPV.
5 Fichier joint IPSEC_TUNNEL. Met fin à la connexion IPSec.
6 Attachement de VCN
Note

Lors de l'utilisation de IPSec sur FastConnect, l'attachement de tunnel IPSec (Légende 5) et l'attachement de circuit virtuel (Légende 3) doivent utiliser des tables de routage DRG et des répartitions de routes d'importation différentes.

Mode TransportOnly : Autoriser uniquement le trafic chiffré sur un circuit virtuel

IPSec sur FastConnect permet à un circuit virtuel FastConnect d'agir comme support de transport pour le trafic chiffré sur un tunnel IPSec privé, ce qui permet la connectivité d'un réseau sur place vers le VCN pour le trafic sécurisé et non sécurisé.

Si vous voulez une sécurité stricte qui autorise uniquement le trafic chiffré sur vos circuits virtuels, réglez l'indicateur de mode transportOnly sur votre circuit virtuel et l'attachement de passerelle de routage dynamique du circuit virtuel (dans la console, réglez l'option IPSec sur le trafic FastConnect uniquement, lorsque vous créez le circuit virtuel ou ultérieurement).

Avant d'essayer de définir l'indicateur de mode transportOnly :

  1. Supprimez toutes les règles statiques de la table de routage "Table de routage Drg générée automatiquement pour les attachements RPC, VC et IPSec" ou de la table de routage qui est actuellement la table par défaut pour les attachements de circuit virtuel. Par défaut, la répartition de routes d'importation associée à la table de routage générée automatiquement est "Répartition de routes d'importation générée automatiquement pour les routes VCN".
  2. Supprimez tous les énoncés de répartition de routes de l'option "Répartition de routes d'importation générée automatiquement pour les routes VCN" (ou la répartition de routes d'importation créée manuellement associée à une table de routage personnalisée pour les circuits virtuels) qui ont un paramètre "Apparier le type d'attachement au circuit virtuel" ou "Apparier TOUT".

Si vous tentez d'activer le mode transportOnly sur une passerelle DRG qui ne répond pas à ces exigences, vous devriez obtenir un message d'erreur détaillé décrivant les paramètres à ajuster. Après avoir apporté les modifications requises à votre passerelle DRG, vous pourrez régler le circuit virtuel et son attachement au mode transportOnly. Après avoir défini l'indicateur de mode transportOnly, Oracle applique les comportements suivants aux tables de routage et aux répartitions de routage d'importation de votre passerelle DRG :

  1. La table de routage de l'attachement de circuit virtuel n'autorise qu'une seule route vers chacun de ses attachements de bouclage associés et aucune autre route.
  2. La table de routage de l'attachement de circuit virtuel ne peut pas avoir de routes statiques.
  3. La répartition des routes d'importation de la table de routage associée à l'attachement de circuit virtuel peut uniquement importer des routes à partir des attachements DRG de bouclage.
  4. Aucun des attachements de la passerelle DRG ne peut importer des routes à partir de l'attachement de circuit virtuel, à l'exception de l'attachement de bouclage. Cela signifie qu'aucune répartition de routes d'importation pour un autre attachement ne peut avoir un paramètre générique "Apparier TOUT" ou "Apparier le type d'attachement - Circuit virtuel".

Toute autre modification apportée à la répartition de routes d'importation ou aux règles de routage statique sur cette passerelle DRG sera validée pour appliquer les comportements de routage nécessaires.

MACsec Chiffrement

Vous pouvez configurer FastConnect pour utiliser MACsec (norme IEEE 802.1AE) pour protéger les connexions réseau à réseau sur la couche 2. Pour activer MACsec, sélectionnez un algorithme de chiffrement AES. Les deux réseaux connectés échangent et vérifient des clés de sécurité, puis établissent une liaison bidirectionnelle sécurisée. Le service Chambre forte pour Oracle Cloud Infrastructure stocke de manière sécurisée les clés de chiffrement réelles.

L'utilisation de MACsec comporte les exigences suivantes :

  • Votre équipement local d'abonné (CPE) doit également prendre en charge MACsec.
  • La vitesse de port sélectionnée pour FastConnect pour les interconnexions uniques ou les groupes d'interconnexions doit être supérieure ou égale à 10 Gbit/s.
  • Les interconnexions ou les groupes d'interconnexions existants ne prennent pas tous en charge MACsec. Pour mettre à niveau une interconnexion ou un groupe d'interconnexions existant, la page des détails de ces derniers comporte un champ Chiffrement MACsec qui peut être réglé à Possible ou Impossible. La connexion doit être en mesure d'utiliser MACsec. S'il est impossible pour l'interconnexion ou le groupe d'interconnexions d'utiliser MACsec, vous devez effectuer un nouveau provisionnement avant de configurer MACsec.
  • Les fournisseurs de tierce partie ne peuvent pas tous prendre en charge MACsec sur le type de circuit qu'ils proposent. Vérifiez auprès de votre fournisseur que le type de connectivité que vous achetez prend en charge MACsec.

FastConnect avec MACsec s'intègre au service Chambre forte. Voici un aperçu des étapes requises pour configurer entièrement FastConnect avec MACsec.

  1. Créer une chambre forte.
  2. Créez une clé de chiffrement principale dans le service de chambre forte.
  3. Créez deux clés secrètes pour représenter la clé d'association de connectivité (CAK) et le nom de clé d'association de connectivité (CKN) dans votre chambre forte. Les clés CAK et CKN doivent être des chaînes hexadécimales d'une longueur comprise entre 32 et 64 caractères.
  4. Configurez MACsec dans une interconnexion de fournisseur de tierce partie ou de colocalisation à l'aide des clés secrètes CKN et CAK créées pour le circuit FastConnect.
  5. Donnez à l'administrateur de réseau sur place les clés CAK et CKN initiales à utiliser lors de la configuration de l'équipement local d'abonné.
  6. Activez les interconnexions pour les circuits virtuels de fournisseur de tierce partie ou de colocalisation.

Si vous décidez d'ajouter le chiffrement MACsec à une interconnexion FastConnect existante, gardez à l'esprit que la modification des paramètres de chiffrement nécessite le redémarrage de la session, BGP, ce qui interrompt brièvement le trafic BGP.

Paramètres MACsec

Lors de la configuration de MACsec sur votre équipement local d'abonné, consultez le tableau pour connaître les divers paramètres requis.

Paramètre Valeurs possibles Description
CAK 32 à 64 caractères hexadécimaux 32 caractères hexadécimaux (0-9, A-F) au minimum.
Suites de chiffrement

aes128-gcm-xpn

aes256-gcm-xpn

 Configurez votre équipement local d'abonné pour qu'il corresponde à la suite de chiffrement configurée dans OCI.
CKN 32 à 64 caractères hexadécimaux 32 caractères hexadécimaux (0-9, A-F) au minimum.
Décalage de confidentialité 0 Le côté OCI est toujours 0, ce qui signifie que tout le cadre est chiffré. Si nécessaire, mettez en correspondance le côté OCI.
Interface

Interface physique unique

groupe d'agrégation de liens

 MACsec pour FastConnect prend en charge la configuration de MACsec sur une seule connexion FastConnect ou un groupe d'agrégation de liens. Sélectionnez cette option de configuration pour votre équipement local d'abonné.
Serveur de clés 1 ou supérieur Utilisez une valeur supérieure à 0 sur votre équipement local d'abonné. L'appareil en périphérie OCI FastConnect utilise toujours 0.
MKA - Inclure SCI include SCI Configurez votre équipement local d'abonné pour inclure un marqueur SCI (Secure Channel Identifier). Configurez le marqueur "Inclure SCI" du côté OCI.
Option de politique MKA

must-secure

 Cela nécessite que tout le trafic envoyé sur le segment de réseau activé pour MACsec soit sécurisé (option Échec de la fermeture dans la console). Sélectionnez cette option de configuration pour votre équipement local d'abonné. L'option should-secure (option Échec de l'ouverture dans la console) est disponible mais n'est pas recommandée par Oracle.
SAK - Durée de la nouvelle clé 3 600 secondes (1 heure) La configuration de l'équipement local d'abonné doit correspondre au délai de 1 heure de nouvelle clé SAK pour OCI .

Substitution de clé sans interruption MACsec

Lorsque vous êtes prêt à effectuer la rotation de vos clés, MACsec pour FastConnect prend en charge la substitution de clé sans interruption. Pour éviter toute perte de communication lors de la rotation des clés, mettez systématiquement à jour les clés CKN et CAK en même temps. Modifiez d'abord la paire CKN et CAK du côté OCI du lien FastConnect, puis mettez à jour votre équipement local d'abonné.

Exécutez les tâches suivantes dans l'ordre décrit. Si ces étapes sont effectuées dans le désordre, cela peut entraîner une interruption temporaire de la communication.

Tâche 1 : Mettre à jour la paire CKN et CAK
  1. Open the navigation menu, cliquez sur Identity & Security, puis sur Vault.
  2. Sélectionnez un compartiment que vous êtes autorisé à utiliser (dans la partie gauche de la page). La page est mise à jour pour afficher uniquement les ressources de ce compartiment. Si vous ne savez pas quel compartiment utiliser, communiquez avec un administrateur. Pour plus d'informations, voir Contrôle de l'accès.
  3. Cliquez sur le nom de la chambre forte qui inclut vos clés secrètes CKN et CAK.
  4. Sous Ressources, cliquez sur Clés secrètes.
  5. Cliquez sur le nom de la clé secrète qui représente votre CKN.
  6. Cliquez sur Créer une version de clé secrète.
  7. Sous Contenu de la clé secrète, entrez la nouvelle valeur de votre nom CKN.
  8. Cliquez sur Créer une version de clé secrète.

Répétez ces étapes pour modifier également la valeur de votre clé secrète CAK.

Lors d'une substitution de clé en transparence, mettez systématiquement à jour la CKN et la CAK ensemble.

Tâche 2 : Mettre à jour les versions de clé secrète CKN et CAK pour l'interconnexion

  1. Ouvrez le menu de navigation et cliquez sur Réseau. Sous Connexion client, cliquez sur FastConnect.

  2. Cliquez sur le nom de la connexion FastConnect qui utilise les clés secrètes de chambre forte modifiées dans la tâche 1. Vous voyez l'interconnexion représentant FastConnect.
  3. Cliquez sur Modifier.
  4. Sous Nom de clé d'association de connectivité (CKN), sélectionnez Utiliser la version courante dans la chambre forte : <number> où <number> correspond à la dernière version de votre clé secrète CKN dans la chambre forte.
  5. Sous Clé d'association de connectivité (CAK) sélectionnez Utiliser la version courante dans la chambre forte : <number> où <number> correspond à la dernière version de votre clé secrète CAK dans la chambre forte.
  6. Une fois les versions CKN et CAK mises à jour, cliquez sur Enregistrer les modifications.
  7. Une nouvelle fenêtre contextuelle s'affiche où vous pouvez confirmer les modifications. Cliquez sur Confirmer.

Une fois l'interconnexion mise à jour pour utiliser les nouvelles valeurs CKN et CAK, vous disposez d'un délai de renouvellement de clé de 1 heure pour mettre à jour les valeurs CKN et CAK sur votre CPE avant que la session ne s'arrête.

Tâche 3 : Mettre à jour les valeurs CKN et CAK sur votre équipement client sur place

Une fois l'interconnexion mise à jour pour utiliser les nouvelles valeurs CKN et CAK, vous disposez d'un délai de renouvellement de clé de 1 heure pour mettre à jour les valeurs CKN et CAK sur votre CPE avant que la session ne s'arrête. Consultez la documentation appropriée pour votre appareil.