Documentazione dell'infrastruttura Oracle Cloud

FastConnect Sicurezza

Informazioni sull'uso della cifratura con FastConnect per una migliore sicurezza di rete.

Oracle Cloud Infrastructure FastConnect consente due principali metodi per cifrare il traffico tra il data center e Oracle Cloud Infrastructure: IPSec tramite FastConnect e MACsec Encryption.

IPSec su FastConnect

IPSec su FastConnect consente di impostare una VPN da sito a sito con tunnel IPSec sicuri sui circuiti virtuali FastConnect, offrendo così maggiore sicurezza a quella che è già una connessione privata. Questi tunnel IPSec proteggono le connessioni tra rete su Layer 3.

IPSec su FastConnect è disponibile per tutti e tre i modelli di connettività (partner, colocation con Oracle e provider di terze parti) e supporta le seguenti funzionalità:

  • Possono esistere più tunnel IPSec su un singolo circuito virtuale FastConnect.
  • Sullo stesso circuito virtuale può esistere una combinazione di traffico cifrato e non cifrato, anche se è possibile richiedere che tutto il traffico sia cifrato.
  • Gli endpoint del tunnel IPSec possono utilizzare indirizzi IP pubblici o privati, ma se gli indirizzi sono pubblici non sono raggiungibili tramite Internet perché il trasporto per questa connettività è una connessione privata e non su Internet.
  • È possibile aggregare più tunnel IPSec tra gli stessi endpoint utilizzando ECMP.

Configurazione di IPSec su FastConnect

Nota

Si consiglia di utilizzare le connessioni IPSec basate su instradamento BGP per IPSec su FastConnect.

La configurazione di FastConnect e della VPN da sito a sito per funzionare come una singola connessione dati richiede l'impostazione di componenti in un ordine specifico. Presumendo che nella tenancy cloud siano già presenti almeno una VCN e un DRG, creare i servizi nel seguente ordine:

  1. Creare un circuito virtuale FastConnect o scegliere un circuito virtuale privato esistente. Questo circuito virtuale può utilizzare uno dei tre modelli di connettività FastConnect. Non è richiesta alcuna modifica ai circuiti virtuali privati nuovi o esistenti per abilitare IPSec tramite FastConnect, ma è possibile modificare il circuito virtuale solo per consentire il traffico che utilizza IPSec tramite FastConnect. Il DRG utilizza tabelle di instradamento diverse impostate per i collegamenti VIRTUAL_CIRCUIT e IPSEC_TUNNEL, poiché questi collegamenti non sono in grado di condividere una tabella di instradamento DRG.
  2. Creare un nuovo oggetto CPE (Customer on premise Equipment). Questo oggetto è una rappresentazione virtuale del dispositivo edge fisico di una rete in locale. Per l'oggetto CPE deve essere abilitato IPSec su FastConnect. Dopo aver creato l'oggetto CPE, configurare il dispositivo edge fisico in modo che corrisponda alle impostazioni CPE come normale per la VPN da sito a sito. L'indirizzo IP utilizzato come identificativo CPE IKE può essere privato o pubblico. Impossibile utilizzare un oggetto CPE configurato in precedenza per IPSec su FastConnect poiché la rappresentazione non includerà l'opzione per utilizzare IPSec su FastConnect. Naturalmente, puoi comunque utilizzare il tuo oggetto CPE esistente per il traffico che attraversa Internet.
  3. Creare una connessione VPN da sito a sito IPSec, selezionando il nuovo CPE appena creato. L'instradamento BGP è preferito per le connessioni che utilizzano IPSec su FastConnect ed è necessario specificare il circuito virtuale FastConnect che si prevede di utilizzare.

Collegamenti loopback

IPSec su FastConnect richiede un DRG aggiornato, che può avere collegamenti con i tipi riportati di seguito.

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • LOOPBACK

Un collegamento di loopback consente il flusso del traffico cifrato tra un collegamento a un circuito virtuale e un collegamento a un tunnel IPSec, fornendo il lato Oracle dell'indirizzo IP privato del tunnel al DRG. Senza il collegamento di loopback, il traffico diretto tra un collegamento a un circuito virtuale e un collegamento a un tunnel IPSec non è consentito. Quando il traffico esegue nuovamente il loop attraverso il collegamento del tunnel IPSec, viene decifrato e quindi inviato al DRG. Solo i collegamenti dei circuiti virtuali e dei tunnel IPSec possono essere instradati a un collegamento di loopback. Tutti gli instradamenti verso o da un collegamento di loopback sono gestiti da Oracle e non possono essere gestiti dagli amministratori della tenancy.

IPSec su FastConnect coinvolge sia un circuito virtuale che un tunnel IPSec e tali connessioni devono terminare su un collegamento DRG con il tipo corrispondente. Come mostrato nel seguente diagramma semplificato per il traffico in entrata, con IPSec su FastConnect il tunnel IPSec ha origine dal CPE (Callout 1). Il circuito virtuale ha origine su un router perimetrale in locale (Callout 2) e termina su un collegamento VIRTUAL_CIRCUIT (Callout 3). Quindi il traffico del tunnel IPSec passa a un collegamento LOOPBACK (Callout 4) e termina su un collegamento IPSEC_TUNNEL (Callout 5). Il traffico non cifrato passa quindi attraverso un collegamento VCN (Callout 6) e all'indirizzo IP di destinazione finale nella VCN. In alternativa, il traffico potrebbe instradare a un collegamento REMOTE_PEERING_CONNECTION associato a un altro DRG nella stessa area o in un'altra area, ma non viene visualizzato nel diagramma.

Diagramma che mostra le estremità di interruzione sia del circuito virtuale che del tunnel IPSec
Callout Funzione
1 Dispositivo CPE. Termina la connessione IPSec.
2 Router edge. Termina il circuito virtuale.

Nota: il callout 1 e 2 possono essere potenzialmente lo stesso dispositivo fisico.
3 VIRTUAL_CIRCUIT allegato. Termina il circuito virtuale.
4 Collegamento LOOPBACK. Inoltra il traffico IPSec all'allegato IPSEC_TUNNEL. Questo è anche l'IP dell'endpoint VPN.
5 IPSEC_TUNNEL allegato. Termina la connessione IPSec.
6 Collegamento a VCN
Nota

Quando si utilizza IPSec su FastConnect, il collegamento del tunnel IPSec (Callout 5) e il collegamento del circuito virtuale (Callout 3) devono utilizzare tabelle di instradamento DRG diverse e importare le distribuzioni di instradamento.

Modalità TransportOnly: consente solo il traffico cifrato su un circuito virtuale

IPSec su FastConnect consente a un circuito virtuale FastConnect di fungere da mezzo di trasporto per il traffico cifrato in un tunnel IPSec privato, consentendo la connettività da una rete in locale alla VCN per il traffico sia protetto che non protetto.

Se si desidera un livello di sicurezza rigoroso che consenta solo il traffico cifrato sui circuiti virtuali, impostare il flag della modalità transportOnly sul circuito virtuale e il collegamento DRG del circuito virtuale (nella console, impostare l'opzione IPSec solo sul traffico FastConnect, quando si crea il circuito virtuale o in un secondo momento).

Prima di provare a impostare il flag della modalità transportOnly:

  1. Rimuovere tutte le regole statiche dalla tabella di instradamento Drg generata automaticamente per i collegamenti RPC, VC e IPSec o dalla tabella di instradamento corrente predefinita per i collegamenti dei circuiti virtuali. Per impostazione predefinita, la distribuzione di instradamento di importazione associata per la tabella di instradamento generata automaticamente è la distribuzione di instradamento di importazione generata automaticamente per gli instradamenti VCN.
  2. Rimuovere tutte le istruzioni di distribuzione instradamenti dalla funzione "Distribuzione instradamento importazione generata automaticamente per gli instradamenti VCN" (o dalla distribuzione instradamento importazione creata manualmente associata a una tabella di instradamento personalizzata per i circuiti virtuali) che dispone dell'impostazione "Circuito virtuale di tipo collegamento corrispondenza" o "Corrispondenza con TUTTI".

Se si tenta di abilitare la modalità transportOnly in un DRG che non soddisfa questi requisiti, è necessario ricevere un messaggio di errore dettagliato che descriva le impostazioni da modificare. Dopo aver apportato le modifiche necessarie al gateway DRG, sarà possibile impostare il circuito virtuale e il relativo collegamento in modalità transportOnly. Dopo aver impostato il flag della modalità transportOnly, Oracle applica le operazioni riportate di seguito alle tabelle di instradamento del DRG e alle distribuzioni di instradamento importate.

  1. La tabella di instradamento del collegamento del circuito virtuale consente solo un singolo instradamento verso ciascuno dei relativi collegamenti di loopback associati e nessun altro instradamento.
  2. La tabella di instradamento del collegamento del circuito virtuale non può avere instradamenti statici.
  3. La distribuzione dell'instradamento di importazione della tabella di instradamento associata al collegamento del circuito virtuale può importare solo gli instradamenti dai collegamenti DRG di loopback.
  4. Nessuno dei collegamenti nel DRG può importare gli instradamenti dal collegamento del circuito virtuale ad eccezione del collegamento di loopback. Ciò significa che nessuna distribuzione del percorso di importazione per qualsiasi altro allegato può avere un'impostazione generica "Corrispondenza TUTTI" o "Corrispondenza tipo di collegamento - Circuito virtuale".

Eventuali ulteriori modifiche alla distribuzione degli instradamenti di importazione o modifiche alle regole di instradamento statico in questo DRG verranno convalidate per applicare le operazioni di instradamento necessarie.

Cifratura MACsec

È possibile configurare FastConnect in modo che utilizzi MACsec (standard IEEE 802.1AE) per proteggere le connessioni tra rete e rete su Layer 2. Per abilitare MACsec, scegliere un algoritmo di cifratura AES (Advanced Encryption Standard). Le due reti connesse scambiano e verificano le chiavi di sicurezza, quindi stabiliscono un collegamento bidirezionale sicuro. Il servizio Oracle Cloud Infrastructure Vault memorizza in modo sicuro le chiavi di cifratura effettive.

L'utilizzo di MACsec prevede i seguenti requisiti:

  • Il dispositivo CPE (Customer On premise Equipment) deve supportare anche MACsec.
  • La velocità di porta selezionata FastConnect per i singoli cross connect o gruppi di cross connect deve essere uguale o superiore a 10 Gbps.
  • Non tutti i cross connect o i gruppi di cross connect esistenti possono supportare MACsec. Per aggiornare un cross connect o un gruppo di cross connect esistente, la pagina dei dettagli relativa al cross connect o al gruppo di cross connect contiene un campo MACsec Cifratura con impostazioni relative a Capable o Incapable. La connessione deve essere in grado di utilizzare MACsec. Se il cross connect o il gruppo di cross connect non può utilizzare MACsec, è necessario eseguire di nuovo il provisioning prima di configurare MACsec.
  • Non tutti i provider di terze parti possono supportare MACsec sul tipo di circuito fornito. Verificare con il proprio provider che il tipo di connettività acquistato supporti MACsec.

FastConnect con MACsec si integra con il servizio Vault. Di seguito viene fornita una panoramica dei passi per configurare completamente FastConnect con MACsec.

  1. Creare un vault.
  2. Creare una chiave di cifratura master nel vault.
  3. Creare due segreti per rappresentare la chiave CAK (Connectivity Association Key) e il nome CKN (Connectivity Association Key Name) nel vault. CAK e CKN devono essere stringhe esadecimali di lunghezza compresa tra 32 e 64 caratteri.
  4. Configurare MACsec in un provider di terze parti o in un cross connect di colocation utilizzando i segreti CKN e CAK creati per il circuito FastConnect.
  5. Fornisci all'amministratore di rete on premise le chiavi CAK e CKN originali da utilizzare durante la configurazione del dispositivo CPE (Customer Premise Equipment).
  6. Attivare i cross connect per i circuiti virtuali provider di terze parti o colocation.

Se si decide di aggiungere la cifratura MACsec a un cross connect FastConnect esistente, tenere presente che la modifica delle impostazioni di cifratura richiede il riavvio della sessione BGP, che sospende brevemente il traffico BGP.

Parametri MACsec

Quando si configura MACsec nel CPE, fare riferimento alla tabella per i vari parametri richiesti.

Parametro Valori possibili descrizione;
CAVO 32-64 caratteri esadecimali Almeno 32 caratteri esadecimali (0-9, A-F).
Suite di cifratura

aes128-gcm-xpn

aes256-gcm-xpn

 Configurare il CPE in modo che corrisponda alla suite di cifratura configurata in OCI.
CKN 32-64 caratteri esadecimali Almeno 32 caratteri esadecimali (0-9, A-F).
Offset riservatezza 0 Il lato OCI è sempre 0, il che significa che l'intero frame è cifrato. Se necessario come parte della configurazione CPE, abbinare il lato OCI.
Interfaccia

Singola interfaccia fisica

gruppo di aggregazione collegamenti (LAG)

 MACsec per FastConnect supporta la configurazione di MACsec su una singola connessione FastConnect o su un'aggregazione LAG. Abbinare questa opzione di configurazione nel CPE.
Server chiavi 1 o successiva Utilizzare qualsiasi valore superiore a 0 nel CPE. Il dispositivo edge FastConnect OCI utilizza sempre 0.
MKA - Includi SCI Includi SCI Configurare il CPE in modo che includa un tag SCI (Secure Channel Identifier). Configurare la tag "Includi SCI" sul lato OCI.
Opzione polizza MKA

deve essere sicuro

 Ciò richiede che tutto il traffico inviato sul segmento di rete abilitato per MACsec sia sicuro (l'opzione di chiusura degli errori nella console). Abbinare questa opzione di configurazione nel CPE. L'opzione should-secure (l'opzione Fail Open nella console) è disponibile ma non è consigliata da Oracle.
Tempo di rekey SAK 3600 secondi (1 ora) La configurazione CPE deve corrispondere al tempo di rekey SAK OCI di 1 ora.

MACsec Rinnovo chiavi senza accesso

Quando si è pronti a ruotare le chiavi, MACsec per FastConnect supporta il rollover delle chiavi hitless. Per evitare perdite di comunicazione durante la rotazione delle chiavi, aggiornare sempre sia il CKN che il CAK contemporaneamente. Modificare prima la coppia CKN e CAK sul lato OCI del collegamento FastConnect, quindi aggiornare il CPE.

Eseguire i task riportati di seguito nell'ordine descritto. Fare questi passaggi fuori ordine potrebbe comportare un'interruzione temporanea della comunicazione.

Task 1: aggiornare la coppia CKN e CAK
  1. Aprire il menu di navigazione , selezionare Identità e sicurezza e quindi Vault.
  2. Scegliere un compartimento in cui si dispone dell'autorizzazione per lavorare (sul lato sinistro della pagina). La pagina viene aggiornata per visualizzare solo le risorse in tale compartimento. Se non si è certi del compartimento da utilizzare, contattare un amministratore. Per ulteriori informazioni, vedere Controllo accesso.
  3. Fare clic sul nome del vault che include i segreti CKN e CAK.
  4. In Risorse fare clic su Segreti.
  5. Fare clic sul nome del segreto che rappresenta il CKN.
  6. Fare clic su Crea versione del segreto.
  7. In Sommario segreto, immettere il nuovo valore per il CKN.
  8. Fare clic su Crea versione del segreto.

Ripetere questi passaggi per modificare anche il valore del segreto CAK.

Quando si esegue il rollover della chiave hitless, aggiornare sempre sia CKN che CAK.

Task 2: aggiornare le versioni dei segreti CKN e CAK cross connect
  1. Aprire il menu di navigazione e selezionare Networking. In Connettività cliente, selezionare FastConnect.
  2. Fare clic sul nome del file FastConnect che utilizza i segreti vault modificati nel task 1. Viene visualizzato il cross connect che rappresenta FastConnect.
  3. Fare clic su Modifica.
  4. In Nome chiave associazione connettività (CKN) selezionare Usa versione corrente nel vault: <number>, dove <number> corrisponde alla versione segreta più recente del segreto CKN nel vault.
  5. In Chiave CAK (Connectivity Association Key) selezionare Usa versione corrente nel vault: <number> in cui <number> corrisponde alla versione segreta più recente del segreto CAK nel vault.
  6. Dopo l'aggiornamento delle versioni CKN e CAK, fare clic su Salva modifiche.
  7. Viene visualizzata una nuova finestra popup per confermare le modifiche. Fare clic su Conferma.

Dopo gli aggiornamenti del cross connect per l'uso dei nuovi valori CKN e CAK, si dispone di un periodo di rekey di 1 ora per aggiornare CKN e CAK sul CPE prima dell'eliminazione della sessione.

Task 3: Aggiorna CKN e CAK sul tuo CPE

Dopo gli aggiornamenti del cross connect per l'uso dei nuovi valori CKN e CAK, si dispone di un periodo di rekey di 1 ora per aggiornare CKN e CAK sul CPE prima dell'eliminazione della sessione. Fare riferimento alla documentazione appropriata per il dispositivo in uso.