Sécurité de FastConnect

Découvrez comment utiliser le cryptage avec FastConnect pour une meilleure sécurité réseau.

Oracle Cloud Infrastructure FastConnect propose deux méthodes principales pour crypter le trafic entre un centre de données on-premise et Oracle Cloud Infrastructure : IPSec sur FastConnect et MACsec Encryption.

IPSec sur FastConnect

IPSec sur FastConnect vous permet de configurer un VPN site à site avec des tunnels IPSec sécurisés sur des circuits virtuels FastConnect, ce qui renforce la sécurité de ce qui est déjà une connexion privée. Ces tunnels IPSec protègent les connexions réseau à réseau sur la couche 3.

IPSec sur FastConnect est disponible pour les trois modèles de connectivité (partenaire, colocalisation avec Oracle et fournisseur tiers) et prend en charge les fonctionnalités suivantes :

  • Plusieurs tunnels IPSec peuvent exister sur un seul circuit virtuel FastConnect.
  • Un mélange de trafic chiffré et non chiffré peut exister sur le même circuit virtuel, mais vous pouvez exiger que tout le trafic soit chiffré.
  • Les adresses de tunnel IPSec peuvent utiliser des adresses IP publiques ou privées, mais si les adresses sont publiques, elles ne sont pas accessibles sur Internet car le transport pour cette connectivité est une connexion privée et non sur Internet.
  • Vous pouvez agréger plusieurs tunnels IPSec entre les mêmes adresses à l'aide d'ECMP.

Configuration de IPSec sur FastConnect

Remarque

Nous vous recommandons d'utiliser des connexions IPSec basées sur un routage BGP pour IPSec sur FastConnect.

La configuration de FastConnect et du VPN site à site en tant que connexion de données unique nécessite la configuration de composants dans un ordre spécifique. En supposant que vous disposez déjà d'au moins un VCN et un DRG dans une location cloud, créez des services dans l'ordre suivant :

  1. Créez un circuit virtuel FastConnect ou sélectionnez un circuit virtuel privé existant. Ce circuit virtuel peut utiliser l'un des trois modèles de connectivité FastConnect. Aucune modification n'est requise pour les circuits virtuels privés nouveaux ou existants afin d'activer IPSec sur FastConnect, mais vous pouvez modifier le circuit virtuel pour autoriser uniquement le trafic qui utilise IPSec sur FastConnect. Le DRG utilise différentes tables de routage configurées pour les pièces jointes VIRTUAL_CIRCUIT et IPSEC_TUNNEL car ces pièces jointes ne peuvent pas partager une table de routage DRG.
  2. Créez un objet CPE (Customer Premise Equipment) : Cet objet est une représentation virtuelle de l'appareil périphérique physique d'un réseau sur site. L'option IPSec sur FastConnect doit être activée pour l'objet CPE au moment de la création. Impossible de l'ajouter ultérieurement. Après avoir créé l'objet CPE, configurez l'appareil en périphérie physique pour qu'il corresponde aux paramètres CPE normalement pour le VPN site à site. L'adresse IP utilisée comme identificateur IKE de CPE peut être privée ou publique. Bien sûr, vous pouvez toujours utiliser un objet CPE existant pour le trafic régulier qui traverse Internet.
  3. Créez une connexion IPSec de VPN site à site, en sélectionnant le nouveau CPE que vous avez créé. Le routage BGP est préférable pour les connexions qui utilisent IPSec sur FastConnect et vous devez indiquer le circuit virtuel FastConnect que vous prévoyez d'utiliser.

Attachements de loopback

IPSec sur FastConnect requiert un DRG mis à niveau, qui peut comporter des pièces jointes avec les types suivants :

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • LOOPBACK

Un attachement de loopback permet au trafic crypté de circuler entre un attachement de circuit virtuel et un attachement de tunnel IPSec, en fournissant le côté Oracle de l'adresse IP privée du tunnel au DRG. Sans l'attachement loopback, le trafic directement entre un attachement de circuit virtuel et un attachement de tunnel IPSec n'est pas autorisé. Lorsque le trafic passe en boucle par l'attachement de tunnel IPSec, il est déchiffré, puis envoyé au DRG. Seuls les attachements de circuit virtuel et les attachements de tunnel IPSec peuvent être acheminés vers un attachement loopback. Tout le routage vers ou depuis un attachement de loopback est géré par Oracle et ne peut pas être géré par les administrateurs de location.

IPSec sur FastConnect implique à la fois un circuit virtuel et un tunnel IPSec, et ces connexions doivent se terminer sur une connexion DRG avec le type correspondant. Comme indiqué dans le diagramme simplifié suivant pour le trafic entrant, avec IPSec sur FastConnect, le tunnel IPSec provient du CPE (légende 1). Le circuit virtuel provient d'un routeur en périphérie sur site (légende 2) et se termine par une attachement VIRTUAL_CIRCUIT (légende 3). Ensuite, le trafic de tunnel IPSec passe à une attachement LOOPBACK (légende 4) et se termine sur une attachement IPSEC_TUNNEL (légende 5). Le trafic non chiffré passe ensuite par une pièce jointe VCN (légende 6) et sort vers l'adresse IP de destination finale dans le VCN. Le trafic peut également être acheminé vers une attachement REMOTE_PEERING_CONNECTION liée à une autre instance DRG de la même région ou d'une autre région, mais cela n'est pas illustré dans le diagramme.

Diagramme présentant les extrémités de terminaison du circuit virtuel et du tunnel IPSec
Numéro Fonction
1 Dispositif CPE. Met fin à la connexion IPSec.
2 Routeur de périphérie. Met fin au circuit virtuel.

Remarque : les légendes 1 et 2 peuvent être le même périphérique physique.

3 Pièce jointe VIRTUAL_CIRCUIT. Met fin au circuit virtuel.
4 Pièce jointe LOOPBACK. Transfère le trafic IPSec vers l'attachement IPSEC_TUNNEL. Il s'agit également de l'adresse IP d'adresse VPN.
5 Pièce jointe IPSEC_TUNNEL. Met fin à la connexion IPSec.
6 Pièce jointe VCN
Remarque

Lorsque vous utilisez IPSec sur FastConnect, l'attachement de tunnel IPSec (légende 5) et l'attachement de circuit virtuel (légende 3) doivent utiliser des tables de routage DRG et des distributions de routage d'import différentes.

Mode TransportOnly : autorise uniquement le trafic chiffré sur un circuit virtuel

IPSec sur FastConnect permet à un circuit virtuel FastConnect d'agir comme support de transport pour le trafic crypté sur un tunnel IPSec privé, ce qui permet la connectivité d'un réseau sur site vers le VCN pour le trafic sécurisé et non sécurisé.

Si vous voulez un état de sécurité strict qui autorise uniquement le trafic crypté sur vos circuits virtuels, définissez l'indicateur de mode transportOnly sur votre circuit virtuel et l'attachement DRG du circuit virtuel (dans la console, définissez l'option IPSec sur le trafic FastConnect uniquement, lors de la création du circuit virtuel ou ultérieurement).

Avant d'essayer de définir l'indicateur de mode transportOnly :

  1. Enlevez toutes les règles statiques de la table de routage Drg générée automatiquement pour les attachements RPC, VC et IPSec, ou de la table de routage par défaut pour les attachements de circuit virtuel. Par défaut, la distribution de routage d'import associée pour la table de routage générée automatiquement est la distribution de routage d'import générée automatiquement pour les routages VCN.
  2. Supprimez toutes les instructions de distribution de routage de la "Distribution de routage d'import générée automatiquement pour les routes VCN" (ou de la distribution de routage d'import créée manuellement associée à une table de routage personnalisée pour les circuits virtuels) qui ont un paramètre "Mettre en correspondance le type d'attachement Circuit virtuel" ou "Mettre en correspondance TOUT".

Si vous tentez d'activer le mode transportOnly sur un DRG qui ne répond pas à ces exigences, vous devez obtenir un message d'erreur détaillé décrivant les paramètres à ajuster. Une fois que vous avez apporté les modifications requises à votre DRG, vous pouvez définir le circuit virtuel et son attachement sur le mode transportOnly. Une fois que vous avez défini l'indicateur de mode transportOnly, Oracle applique les comportements suivants aux tables de routage de votre DRG et aux distributions de routage d'import :

  1. La table de routage de l'attachement de circuit virtuel ne permet qu'une seule route vers chacun de ses attachements loopback associés et aucune autre route.
  2. La table de routage de l'attachement de circuit virtuel ne peut pas avoir de routes statiques.
  3. La distribution de routage d'import de la table de routage associée à l'attachement de circuit virtuel peut uniquement importer des routages à partir des attachements DRG loopback.
  4. Aucun des attachements dans le DRG ne peut importer des routages à partir de l'attachement de circuit virtuel, à l'exception de l'attachement loopback. Cela signifie qu'aucune distribution de routage d'import pour un autre attachement ne peut avoir un paramètre générique "Match ALL" ou "Match attachement type - Virtual Circuit".

Toute autre modification apportée à la distribution de routage d'import ou à des règles de routage statique sur ce DRG sera validée afin d'appliquer les comportements de routage nécessaires.

Cryptage MACsec

Vous pouvez configurer FastConnect de sorte qu'il utilise MACsec (norme IEEE 802.1AE) afin de protéger les connexions réseau sur la couche 2. Pour activer MACsec, sélectionnez un algorithme de cryptage AES (Advanced Encryption Standard). Les deux réseaux connectés échangent et vérifient les clés de sécurité, puis établissent une liaison bidirectionnelle sécurisée. Le service Oracle Cloud Infrastructure Vault stocke en toute sécurité la clé de cryptage réelle.

L'utilisation de MACsec présente les exigences suivantes :

  • Le périphérique CPE (Customer Premise Equipment) doit également prendre en charge MACsec.
  • La vitesse de port sélectionnée FastConnect pour les connexions croisées uniques ou les groupes de connexions croisées doit être supérieure ou égale à 10 Gbits/s.
  • Les connexions croisées ou groupes de connexions croisées existants ne peuvent pas tous prendre en charge MACsec. Pour mettre à niveau une connexion croisée ou une connexion croisée existante, la page de détails de cette connexion croisée ou de ce groupe comporte un champ MACsec Encryption avec les paramètres Capable ou Incapable. La connexion doit être compatible avec MACsec. Si la connexion croisée ou le groupe de connexions croisées ne peut pas utiliser MACsec, vous devez effectuer un reprovisionnement avant de configurer MACsec.
  • Les fournisseurs tiers ne peuvent pas tous prendre en charge MACsec sur le type de circuit qu'ils fournissent. Vérifiez auprès du fournisseur que le type de connectivité que vous achetez prend en charge MACsec.

FastConnect avec MACsec est intégré au service Vault. Voici un aperçu des étapes de configuration complète de FastConnect avec MACsec.

  1. Créer un coffre.
  2. Créez une clé de cryptage maître dans Vault.
  3. Créez deux clés sectuelles pour représenter la clef d'association de connexion (CAK, Connectivity Association Key Name) et son nom dans le coffre. La clé d'association de connectivité et la clé d'association de connectivité doivent être des chaînes hexadécimales d'une longueur de 32 à 64 caractères.
  4. Configurez MACsec dans une connexion croisée de fournisseur tiers ou de colocation à l'aide des clés secrètes CKN et CAK créées pour le circuit FastConnect.
  5. Donnez à l'administrateur du réseau sur site la clé d'association de connectivité et la clé d'association de connectivité d'origine à utiliser lors de la configuration du CPE (Customer Premise Equipment).
  6. Activez les connexions croisées pour les circuits virtuels du fournisseur tiers ou de la colocalisation.

Si vous décidez d'ajouter le cryptage MACsec à une connexion croisée FastConnect existante, n'oubliez pas que la modification des paramètres de cryptage nécessite le redémarrage de la session BGP, ce qui suspend brièvement le trafic BGP.

Paramètres MACsec

Lors de la configuration de MACsec sur un CPE, reportez-vous au tableau pour connaître les différents paramètres requis.

Paramètre Valeurs possibles Description
Clé d'association de connectivité De 32 à 64 caractères hexadécimaux 32 caractères hexadécimaux minimum (0 à 9, A à F).
Mécanismes de cryptage

aes128-gcm-xpn

aes256-gcm-xpn

Configurez l'objet CPE afin qu'il reprenne le mécanisme du cryptage configuré dans OCI.
Nom de clé d'association de connectivité De 32 à 64 caractères hexadécimaux 32 caractères hexadécimaux minimum (0 à 9, A à F).
Décalage de confidentialité 0 Le côté OCI est toujours défini sur la valeur 0, ce que signifie que tout le cadreest crypté. Si nécessaire dans le cadre de la configuration du CPE, configurez le CPE de façon à correspondre au côté OCI.
Interface

Interface physique unique

Groupe d'agrégation de liaisons (LAG)

MACsec pour FastConnect prend en charge la configuration de MACsec sur une connexion FastConnect unique ou un LAG. Faites correspondre cette option de configuration sur le CPE.
Serveur de clé 1 ou plus Utilisez n'importe quelle valeur supérieure à 0 sur le CPE. L'appareil en périphérie OCI FastConnect utilise toujours 0.
Accord de clé MACsec - Inclusion d'une balise SCI Inclusion d'une balise SCI Configurez le CPE de façon à inclure une balise SCI (Secure Channel Identifier). Configurez la balise "Include SCI" côté OCI.
Accord de clé MACsec - Option de stratégie

Sécurisation requise

Cela nécessite que tout le trafic envoyé sur le segment réseau activé par MACsec soit sécurisé (option de fermeture en cas d'échec dans la console). Faites correspondre cette option de configuration sur le CPE. L'option should-secure (option Echec de l'ouverture dans la console) est disponible mais n'est pas recommandée par Oracle.
Clé d'association sécurisée - Période de recréation 3 600 secondes (1 heure) La configuration du CPE doit correspondre à la période de recréation de clé SAK OCI (1 heure).

Remplacement de clé sans interruption MACsec

Lorsque vous êtes prêt à effectuer la rotation des clés, MACsec pour FastConnect prend en charge le basculement de clé sans interruption. Pour éviter toute perte de communication lors de la rotation des clés, mettez toujours à jour le nom de clé d'association de connectivité et la clé d'association de connectivité en même temps. Modifiez d'abord la paire CKN et CAK du côté OCI de la liaison FastConnect, puis mettez à jour la CPE.

Effectuez les tâches suivantes dans l'ordre indiqué. L'exécution de ces étapes dans le désordre peut entraîner une interruption temporaire de la communication.

Tâche 1 : mise à jour de la paire nom d'association de connectivité/clé d'autorité de certification
  1. Ouvrez le menu de navigation , sélectionnez Identité et sécurité, puis Coffre.
  2. Sélectionnez un compartiment dans laquelle vous avez l'autorisation de travailler (dans la partie gauche de la page). La page est mise à jour et affiche uniquement les ressources contenues dans ce compartiment. En cas de doute sur le compartiment à utiliser, contactez un administrateur. Pour plus d'informations, reportez-vous à Contrôle d'accès.
  3. Sélectionnez le nom du coffre qui inclut les clés secrètes d'association de connectivité et d'association de connectivité.
  4. Sous Ressources, sélectionnez Clés secrètes.
  5. Sélectionnez le nom de la clé secrète qui représente le CKN.
  6. Sélectionnez Créer une Version de Clé secrète.
  7. Sous Contenu de clé secrète, entrez la nouvelle valeur du nom de clé d'association de connectivité.
  8. Sélectionnez Créer une Version de Clé secrète.

Répétez ces étapes pour modifier également la valeur de la clé secrète d'association de connectivité.

Lorsque vous effectuez un remplacement de clé sans interruption, mettez toujours à jour le nom de clé d'association de connectivité et la clé d'association de connectivité.

Tâche 2 : mettre à jour les versions de clé secrète de nom de CKN et de CAK de connexion croisée
  1. Ouvrez le menu de navigation et sélectionnez Fonctions de réseau. Sous Connectivité client, sélectionnez FastConnect.
  2. Sélectionnez le nom de l'instance FastConnect qui utilise les clés secrètes du coffre modifiés dans la tâche 1. La connexion croisée représente ce FastConnect.
  3. Sélectionnez l'option Modifier.
  4. Sous Nom de clé d'association de connexion (CKN), sélectionnez Utiliser La version en cours dans Le coffre : <numéro>, où <numéro> correspond à la dernière version de la clé secrète de CKN dans Le coffre.
  5. Sous Clé d'association de connexion, sélectionnez Utiliser le numéro de version en cours dans la chambre forte : <numéro>, où <numéro> correspond à la dernière version de la clé secrète de clé d'association de sécurité dans la chambre forte.
  6. Après la mise à jour d'une version de clé d'association de clé de connectivité et d'association de clé de connectivité, sélectionnez Enregistrer les modifications.
  7. Une nouvelle fenêtre instantanée apparaît pour que vous confirmiez les modifications. Sélectionnez Confirmer.

Une fois la connexion croisée mise à jour pour utiliser les nouvelles valeurs CKN et CAK, vous disposez d'une période de recréation de clé de 1 heure pour mettre à jour le CKN et la CAK sur le CPE avant la suppression de la session.

Tâche 3 : mettre à jour le nom de clé d'association de sécurité (CPE) et l'ACK sur le CPE

Une fois la connexion croisée mise à jour pour utiliser les nouvelles valeurs CKN et CAK, vous disposez d'une période de recréation de clé de 1 heure pour mettre à jour le CKN et la CAK sur le CPE avant la suppression de la session. Consultez la documentation appropriée pour le dispositif.