Documentation Oracle Cloud Infrastructure

FastConnect Sécurité

Découvrez comment utiliser le cryptage avec FastConnect pour améliorer la sécurité réseau.

Oracle Cloud Infrastructure FastConnect autorise deux méthodes principales pour crypter le trafic entre votre centre de données et Oracle Cloud Infrastructure : IPSec sur FastConnect et MACsec Encryption.

IPSec sur FastConnect

IPSec sur FastConnect vous permet de configurer un VPN site à site avec des tunnels IPSec sécurisés sur vos circuits virtuels FastConnect, ce qui renforce la sécurité de ce qui est déjà une connexion privée. Ces tunnels IPSec protègent les connexions réseau à réseau sur la couche 3.

IPSec sur FastConnect est disponible pour les trois modèles de connectivité (partenaire, colocalisé et tiers) et prend en charge les fonctionnalités suivantes :

  • Plusieurs tunnels IPSec peuvent exister sur un seul circuit virtuel FastConnect.
  • Un mélange de trafic chiffré et non chiffré peut exister sur le même circuit virtuel, bien que vous puissiez exiger que tout le trafic soit chiffré.
  • Les adresses de tunnel IPSec peuvent utiliser des adresses IP publiques ou privées, mais si les adresses sont publiques, elles ne seront pas accessibles sur Internet car le transport pour cette connectivité est une connexion privée et non sur Internet.
  • Vous pouvez agréger plusieurs tunnels IPSec entre les mêmes adresses à l'aide d'ECMP.

Configuration de IPSec sur FastConnect

Remarque

Oracle recommande d'utiliser des connexions IPSec basées sur un routage BGP pour IPSec sur FastConnect.

La configuration de FastConnect et du VPN site à site pour fonctionner en tant que connexion de données unique nécessite la configuration des composants dans un ordre spécifique. En supposant que votre location cloud comporte déjà au moins un VCN et un DRG, créez les services dans l'ordre suivant :

  1. Créez un circuit virtuel FastConnect ou choisissez un circuit virtuel privé existant. Ce circuit virtuel peut utiliser l'un des trois modèles de connectivité FastConnect. Aucune modification n'est requise pour vos circuits virtuels privés, nouveaux ou existants, afin d'activer IPSec sur FastConnect, mais vous pouvez modifier le circuit virtuel afin d'autoriser uniquement le trafic qui utilise IPSec sur FastConnect. Différentes tables de routage doivent être configurées pour les attachements VIRTUAL_CIRCUIT et IPSEC_TUNNEL, car ces attachements ne pourront pas partager de table de routage DRG.
  2. Créez un objet CPE (Customer-Premises Equipment). Cet objet est une représentation virtuelle du périphérique en périphérie physique de votre réseau sur site. IPSec sur FastConnect doit être activé pour l'objet CPE. Après avoir créé l'objet CPE, configurez l'appareil en périphérie physique de sorte qu'il corresponde normalement aux paramètres CPE pour le VPN site à site. L'adresse IP utilisée comme identificateur IKE du CPE peut être privée ou publique. Un objet CPE précédemment configuré ne peut pas être utilisé pour IPSec sur FastConnect car la représentation n'inclut pas l'option permettant d'utiliser IPSec sur FastConnect. Bien sûr, vous pouvez toujours utiliser votre objet CPE existant pour le trafic qui traverse Internet.
  3. Créez une connexion IPSec de VPN site à site en sélectionnant le CPE que vous venez de créer. Le routage BGP est recommandé pour les connexions qui utilisent IPSec plutôt que FastConnect, et vous devez indiquer le circuit virtuel FastConnect que vous prévoyez d'utiliser. IPSec sur FastConnect n'est disponible qu'avec le service VPN site à site mis à jour.

Pièces jointes de loopback

IPSec sur FastConnect requiert un DRG mis à niveau, qui peut comporter des pièces jointes avec les types suivants :

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • LOOPBACK

Un attachement loopback permet au trafic crypté de circuler entre un attachement de circuit virtuel et un attachement de tunnel IPSec, en fournissant le côté Oracle de l'adresse IP privée du tunnel au DRG. Sans connexion loopback, le trafic directement entre une connexion de circuit virtuel et une connexion de tunnel IPSec n'est pas autorisé. Lorsque le trafic revient en boucle via l'attachement de tunnel IPSec, il est décrypté, puis envoyé au DRG. Seules les attachements de circuit virtuel et de tunnel IPSec peuvent être acheminés vers une attachement de loopback. Tous les routages vers ou depuis un attachement loopback sont gérés par Oracle et ne peuvent pas être gérés par les administrateurs de location.

IPSec sur FastConnect implique à la fois un circuit virtuel et un tunnel IPSec, et ces connexions doivent se terminer sur une connexion DRG avec le type correspondant. Comme indiqué dans le diagramme simplifié suivant pour le trafic entrant, avec IPSec sur FastConnect, le tunnel IPSec provient du CPE (légende 1). Le circuit virtuel provient d'un routeur en périphérie sur site (légende 2) et se termine par une attachement VIRTUAL_CIRCUIT (légende 3). Ensuite, le trafic de tunnel IPSec passe à une connexion LOOPBACK (légende 4) et se termine sur une connexion IPSEC_TUNNEL (légende 5). Le trafic non chiffré passe ensuite par un attachement VCN (légende 6) et sort vers l'adresse IP de destination finale dans le VCN. Le trafic peut également être acheminé vers un attachement REMOTE_PEERING_CONNECTION lié à un autre DRG dans la même région ou une autre région, mais ce n'est pas le cas dans le diagramme.

Diagramme présentant les extrémités de terminaison du circuit virtuel et du tunnel IPSec
Numéro Fonction
1 Dispositif CPE. Met fin à la connexion IPSec.
2 Routeur de périphérie. Met fin au circuit virtuel.

Remarque : les légendes 1 et 2 peuvent potentiellement être le même périphérique physique.
3 Pièce jointe VIRTUAL_CIRCUIT. Met fin au circuit virtuel.
4 Fixation LOOPBACK. Transfère le trafic IPSec vers l'attachement IPSEC_TUNNEL. Il s'agit également de l'adresse IP de l'adresse VPN.
5 Pièce jointe IPSEC_TUNNEL. Met fin à la connexion IPSec.
6 Pièce jointe VCN
Remarque

Lorsque vous utilisez IPSec sur FastConnect, l'attachement de tunnel IPSec (légende 5) et l'attachement de circuit virtuel (légende 3) doivent utiliser des tables de routage DRG et des distributions de routage d'import différentes.

Mode TransportOnly : autoriser uniquement le trafic chiffré sur un circuit virtuel

IPSec sur FastConnect permet à un circuit virtuel FastConnect d'agir en tant que support de transport pour le trafic crypté sur un tunnel IPSec privé, ce qui permet la connectivité à partir d'un réseau sur site vers le VCN pour le trafic sécurisé et non sécurisé.

Si vous souhaitez une posture de sécurité stricte qui autorise uniquement le trafic crypté sur vos circuits virtuels, définissez l'indicateur de mode transportOnly sur votre circuit virtuel et l'attachement DRG du circuit virtuel (dans la console, définissez l'option IPSec sur FastConnect traffic only, que ce soit lors de la création du circuit virtuel ou ultérieurement).

Avant d'essayer de définir l'indicateur de mode transportOnly :

  1. Enlevez toutes les règles statiques de la table de routage "Table de routage Drg générée automatiquement pour les attachements RPC, VC et IPSec" ou de la table de routage par défaut pour les attachements de circuit virtuel. Par défaut, la distribution de routage d'import associée à la table de routage générée automatiquement est la distribution de routage d'import générée automatiquement pour les routages VCN.
  2. Supprimez toutes les instructions de distribution de routage de la distribution de routage d'import générée automatiquement pour les routes VCN (ou la distribution de routage d'import créée manuellement associée à une table de routage personnalisée pour les circuits virtuels) qui ont un paramètre "Circuit virtuel de type d'attachement de correspondance" ou "Correspondre à TOUT".

Si vous tentez d'activer le mode transportOnly sur un DRG qui ne répond pas à ces exigences, vous devez obtenir un message d'erreur détaillé décrivant les paramètres à ajuster. Une fois que vous avez apporté les modifications requises à votre DRG, vous pouvez définir le circuit virtuel et son attachement sur le mode transportOnly. Après avoir défini l'indicateur de mode transportOnly, Oracle applique les comportements suivants aux tables de routage et aux distributions de routage d'import du DRG :

  1. La table de routage de l'attachement de circuit virtuel n'autorise qu'une seule route vers chacune de ses attachements loopback associés et aucune autre route.
  2. La table de routage de l'attachement de circuit virtuel ne peut pas comporter de routes statiques.
  3. La distribution de routage d'import de la table de routage associée à l'attachement de circuit virtuel peut uniquement importer des routages à partir des attachements DRG loopback.
  4. Aucune des pièces jointes du DRG ne peut importer de routes à partir de l'attachement de circuit virtuel, à l'exception de l'attachement de loopback. Cela signifie qu'aucune distribution de routage d'import pour une autre connexion ne peut avoir un paramètre générique "Match ALL" ou "Match attachement type - Virtual Circuit".

Toute autre modification apportée à la distribution de routage d'import ou à des règles de routage statiques sur ce DRG sera validée pour appliquer les comportements de routage nécessaires.

MACsec Chiffrement

Vous pouvez configurer FastConnect pour utiliser MACsec (norme IEEE 802.1AE) afin de protéger les connexions réseau à réseau sur la couche 2. Pour activer MACsec, choisissez un algorithme de cryptage AES (Advanced Encryption Standard). Les deux réseaux connectés échangent et vérifient les clés de sécurité, puis établissent une liaison bidirectionnelle sécurisée. Le service Oracle Cloud Infrastructure Vault stocke en toute sécurité les clés de cryptage réelles.

L'utilisation de MACsec présente les exigences suivantes :

  • Le CPE (Customer-Premises Equipment) doit également prendre en charge MACsec.
  • La vitesse de port FastConnect sélectionnée pour les connexions croisées uniques ou les groupes de connexions croisées doit être supérieure ou égale à 10 Gbits/s.
  • Les connexions croisées ou groupes de connexions croisées existants ne peuvent pas tous prendre en charge MACsec. Pour mettre à niveau une connexion croisée ou un groupe de connexions croisées existant, la page de détails de la connexion croisée ou du groupe de connexions croisées comporte un champ Cryptage MACsec avec le paramètre Capable ou Incapable. La connexion doit pouvoir utiliser MACsec. Si la connexion croisée ou le groupe de connexions croisées ne peut pas utiliser MACsec, vous devez effectuer un reprovisionnement avant de configurer MACsec.
  • Les fournisseurs tiers ne peuvent pas tous prendre en charge MACsec sur le type de circuit qu'ils fournissent. Vérifiez auprès de votre fournisseur que le type de connectivité acheté prend en charge MACsec.

FastConnect avec MACsec s'intègre au service Vault. Voici un aperçu des étapes de configuration complète de FastConnect avec MACsec.

  1. Créer un coffre.
  2. Créez une clé de cryptage maître dans Vault.
  3. Créez deux clés secrètes pour représenter la clé d'association de connectivité et le nom de clé d'association de connectivité dans le coffre. La clé d'association de connectivité et le nom de clé d'association de connectivité doivent être des chaînes hexadécimales d'une longueur de 32 à 64 caractères.
  4. Configurez MACsec dans une connexion croisée de fournisseur tiers ou de colocalisation à l'aide des clés secrètes de nom de clé d'association de connectivité et de clé d'association de connectivité créées pour le circuit FastConnect.
  5. Donnez à l'administrateur du réseau sur site les clés de clé d'association de connectivité et de nom de clé d'association de connectivité d'origine à utiliser lors de la configuration du CPE (Customer-Premises Equipment).
  6. Activez les connexions croisées pour les circuits virtuels du fournisseur tiers ou de la colocalisation.

Si vous décidez d'ajouter le cryptage MACsec à une connexion croisée FastConnect existante, n'oubliez pas que la modification des paramètres de cryptage nécessite le redémarrage de la session, BGP, ce qui suspend brièvement le trafic BGP.

MACsec Paramètres

Lors de la configuration de MACsec sur le CPE, reportez-vous au tableau pour connaître les différents paramètres requis.

Paramètre Valeurs possibles Description
Clé d'association de connectivité De 32 à 64 caractères 32 caractères hexadécimaux minimum (0-9, A-F).
Mécanismes de cryptage

aes128-gcm-xpn

aes256-gcm-xpn

 Configurez le CPE afin qu'il reprenne le mécanisme de cryptage configuré dans OCI.
CKN De 32 à 64 caractères 32 caractères hexadécimaux minimum (0-9, A-F).
Décalage de confidentialité 0 Le côté OCI est toujours 0, ce qui signifie que l'ensemble du cadre est crypté. Si nécessaire, faites correspondre le côté OCI.
Interface

Interface physique unique

Groupe d'agrégation de liaisons (LAG)

 MACsec pour FastConnect prend en charge la configuration de MACsec sur une connexion FastConnect unique ou un LAG. Configurez le CPE afin qu'il respecte cette option.
Serveur de clé 1 ou plus Utilisez une valeur supérieure à 0 sur le CPE. L'appareil en périphérie OCI FastConnect utilise toujours 0.
L'ACM inclut l'ACM Inclure SCI Configurez le CPE de façon à inclure une balise SCI (Secure Channel Identifier). Configurez la balise d'inclusion de SCI côté OCI.
Option de stratégie MKA

Sécurisation requise

 Cela nécessite que tout le trafic envoyé sur le segment réseau compatible MACsec soit sécurisé (option Fail Close dans la console). Configurez le CPE afin qu'il respecte cette option. L'option should-secure (option Echec de l'ouverture dans la console) est disponible mais n'est pas recommandée par Oracle.
Période de recréation de la clé primaire 3 600 secondes (1 heure) La configuration du CPE doit reprendre la période de recréation de clé SAK OCI (1 heure).

Remplacement de clé sans interruption MACsec

Lorsque vous êtes prêt à effectuer la rotation des clés, MACsec pour FastConnect prend en charge le remplacement de clé sans interruption. Pour éviter toute perte de communication lors de la rotation des clés, mettez toujours à jour le nom de clé d'association de connectivité et la clé d'association de connectivité en même temps. Modifiez d'abord la paire nom de clé d'association de connectivité/clé d'association de connectivité du côté OCI de la liaison FastConnect, puis mettez à jour le CPE.

Effectuez les tâches suivantes dans l'ordre indiqué. L'exécution de ces étapes dans le désordre peut entraîner une interruption temporaire de la communication.

Tâche 1 : mise à jour de la paire nom CKN/KKK
  1. Dans le menu de navigation, cliquez sur Identité et sécurité, puis cliquez sur Coffre.
  2. Choisissez un compartiment dans lequel vous êtes autorisé à travailler (dans la partie gauche de la page). La page est mise à jour et affiche uniquement les ressources contenues dans ce compartiment. En cas de doute sur le compartiment à utiliser, contactez un administrateur. Pour plus d'informations, reportez-vous à Contrôle d'accès.
  3. Cliquez sur le nom du coffre qui inclut vos clés secrètes de nom de clé d'association de connectivité et de clé d'association de connectivité.
  4. Sous Ressources, cliquez sur Clés secrètes.
  5. Cliquez sur le nom de la clé secrète qui représente votre nom de clé d'association de connectivité.
  6. Cliquez sur Créer une version de clé secrète.
  7. Sous Contenu de clé secrète, entrez la nouvelle valeur du nom de clé d'association de connectivité.
  8. Cliquez sur Créer une version de clé secrète.

Répétez ces étapes pour modifier également la valeur de la clé secrète de clé d'association de connectivité.

Lorsque vous effectuez un remplacement de clé sans interruption, mettez toujours à jour le nom de clé d'association de connectivité et la clé d'association de connectivité.

Tâche 2 : mise à jour des versions de clé secrète de nom de clé CKN et CAK de connexion croisée

  1. Ouvrez le menu de navigation et cliquez sur Fonctions de réseau. Sous Connexion client, cliquez sur FastConnect.

  2. Cliquez sur le nom de l'instance FastConnect qui utilise les clés secrètes de coffre modifiées dans la tâche 1. La connexion croisée représentant l'instance FastConnect apparaît.
  3. Cliquez sur Modifier.
  4. Sous Nom de clé d'association de connectivité, sélectionnez Utiliser la version en cours dans le coffre : <number>, où <number> correspond à la dernière version de la clé secrète de nom de clé d'association de connectivité dans le coffre.
  5. Sous Clé d'association de connectivité, sélectionnez Utiliser la version en cours dans le coffre : <number>, où <number> correspond à la dernière version de la clé secrète de clé d'association de connectivité dans le coffre.
  6. Après la mise à jour des versions de nom de clé d'association de connectivité et de clé d'association de connectivité, cliquez sur Enregistrer les modifications.
  7. Une nouvelle fenêtre instantanée apparaît pour que vous confirmiez les modifications. Cliquez sur Confirmer.

Une fois la connexion croisée mise à jour de sorte à utiliser les nouvelles valeurs de nom de clé d'association de connectivité et de clé d'association de connectivité, vous disposez d'une période de recréation de clé d'une heure pour mettre à jour le nom de clé d'association de connectivité et la clé d'association de connectivité sur le CPE avant la suppression de la session.

Tâche 3 : mise à jour du nom de CKN et de la CAK sur le CPE

Une fois la connexion croisée mise à jour de sorte à utiliser les nouvelles valeurs de nom de clé d'association de connectivité et de clé d'association de connectivité, vous disposez d'une période de recréation de clé d'une heure pour mettre à jour le nom de clé d'association de connectivité et la clé d'association de connectivité sur le CPE avant la suppression de la session. Reportez-vous à la documentation correspondant à votre appareil.