FastConnectセキュリティ
ネットワーク・セキュリティを向上させるために、FastConnectで暗号化を使用する方法について学習します。
Oracle Cloud Infrastructure FastConnectでは、データ・センターとOracle Cloud Infrastructure間のトラフィックを暗号化する2つの主要な方法(IPSec over FastConnectおよびMACsec Encryption)を使用できます。
IPSec/FastConnect
FastConnect上のIPSecを使用すると、FastConnect仮想回線上にセキュアなIPSecトンネルを使用してサイト間VPNを設定できるため、すでにプライベート接続されているものに対するセキュリティが向上します。これらのIPSecトンネルは、レイヤー3のネットワーク間接続を保護します。
IPSec over FastConnectは、3つの接続モデル(パートナ、コロケートおよびサード・パーティ)すべてで使用でき、次の機能をサポートします。
- 1つのFastConnect仮想回線に複数のIPSecトンネルが存在できます。
- すべてのトラフィックを暗号化する必要がある場合でも、暗号化されたトラフィックと暗号化されていないトラフィックの混在が同じ仮想回線上に存在する可能性があります。
- IPSecトンネル・エンドポイントはパブリックIPアドレスまたはプライベートIPアドレスを使用できますが、アドレスがパブリックである場合、この接続のトランスポートはインターネットではなくプライベート接続であるため、インターネット経由でアクセスできません。
- ECMPを使用して、同じエンドポイント間で複数のIPSecトンネルを集計できます。
FastConnectを介したIPSecの構成
Oracleでは、FastConnectを介してIPSecにBGPルートベースのIPSec接続を使用することをお薦めします。
FastConnectとサイト間VPNの両方を単一のデータ接続として動作するように構成するには、特定の順序でコンポーネントを設定する必要があります。クラウド・テナンシに少なくとも1つのVCNおよびDRGがすでに存在する場合、次の順序でサービスを作成します:
- FastConnect仮想回路を作成するか、既存のプライベート仮想回路を選択します。この仮想回線では、3つのFastConnect接続モデルのいずれかを使用できます。IPSec over FastConnectを有効にするために新規または既存のプライベート仮想回線に変更は必要ありませんが、仮想回線を編集して、FastConnectでIPSecを使用するトラフィックのみを許可できます。これらのアタッチメントはDRGルート表を共有できないため、DRGには、VIRTUAL_CIRCUITアタッチメントおよびIPSEC_TUNNELアタッチメントに対して異なるルート表を設定する必要があります。
- 新しい顧客需要場所機器(CPE)オブジェクトを作成します。このオブジェクトは、オンプレミス・ネットワークの物理エッジ・デバイスの仮想表現です。CPEオブジェクトでは、FastConnectよりもIPSecが有効になっている必要があります。CPEオブジェクトを作成した後、サイト間VPNのCPE設定を通常どおりに一致するように物理エッジ・デバイスを構成します。CPE IKE識別子として使用されるIPアドレスは、プライベートまたはパブリックのいずれかです。以前に構成したCPEオブジェクトは、FastConnectを介してIPSecに使用できません。これは、表現にFastConnectを介してIPSecを使用するオプションが含まれないためです。もちろん、インターネットを横断するトラフィックには、既存のCPEオブジェクトを使用できます。
- 作成した新しいCPEを選択して、サイト間VPN IPSec接続を作成します。BGPルーティングは、FastConnectよりもIPSecを使用する接続に推奨され、使用する予定のFastConnect仮想回線を指定する必要があります。FastConnect上のIPSecは、更新されたサイト間VPNサービスでのみ使用できます。
ループバック・アタッチメント
FastConnect上のIPSecには、アップグレードされたDRGが必要です。このDRGには、次のタイプのアタッチメントを含めることができます:
- VCN
- VIRTUAL_CIRCUIT
- IPSEC_TUNNEL
- REMOTE_PEERING_CONNECTION
- ループバック
ループバック・アタッチメントでは、トンネルのプライベートIPアドレスのOracle側をDRGに提供することで、暗号化されたトラフィックが仮想回線アタッチメントとIPSecトンネル・アタッチメント間で流れるようになります。ループバック・アタッチメントがない場合、仮想回線アタッチメントとIPSecトンネル・アタッチメント間の直接トラフィックは許可されません。トラフィックがIPSecトンネル・アタッチメントをループ・バックすると、復号化され、DRGに送信されます。仮想回線アタッチメントおよびIPSecトンネル・アタッチメントのみがループバック・アタッチメントにルーティングできます。ループバック・アタッチメントとの間のすべてのルーティングはOracleによって管理され、テナンシ管理者が管理することはできません。
FastConnect上のIPSecには、仮想回線とIPSecトンネルの両方が含まれ、これらの接続は対応するタイプのDRGアタッチメントで終了する必要があります。インバウンド・トラフィックの次の簡略化された図に示すように、FastConnect上のIPSecを使用すると、IPSecトンネルはCPE (コールアウト1)から発信されます。仮想回線はオンプレミス・エッジ・ルーター(コールアウト2)で発生し、VIRTUAL_CIRCUITアタッチメント(コールアウト3)で終了します。次に、IPSecトンネル・トラフィックはLOOPBACKアタッチメント(コールアウト4)に渡され、IPSEC_TUNNELアタッチメント(コールアウト5)で終了します。暗号化されていないトラフィックは、VCNアタッチメント(コールアウト6)を通過し、VCN内の最後の宛先IPアドレスに渡されます。トラフィックは、同じリージョンまたは別のリージョン内の別のDRGにバインドされているREMOTE_PEERING_CONNECTIONアタッチメントにルーティングすることもできますが、図には示されていません。
| コールアウト | 機能 |
|---|---|
| 1 | CPEデバイス。IPSec接続を終了します。 |
| 2 | エッジルーター。仮想回線を終了します。 ノート:コールアウト1とコールアウト2は、同じ物理デバイスになる可能性があります。 |
| 3 | VIRTUAL_CIRCUITアタッチメント。仮想回線を終了します。 |
| 4 | LOOPBACKアタッチメント。IPSecトラフィックをIPSEC_TUNNELアタッチメントに転送します。これはVPNエンドポイントIPでもあります。 |
| 5 | IPSEC_TUNNELアタッチメント。IPSec接続を終了します。 |
| 6 | VCNアタッチメント |
FastConnectでIPSecを使用する場合、IPSecトンネル・アタッチメント(コールアウト5)と仮想回線アタッチメント(コールアウト3)で異なるDRGルート表を使用し、ルート・ディストリビューションをインポートする必要があります。
TransportOnlyモード: 仮想回線で暗号化されたトラフィックのみを許可
FastConnectを介したIPSecにより、FastConnect仮想回線はプライベートIPSecトンネルで暗号化されたトラフィックのトランスポート・メディアとして機能し、セキュア・トラフィックとセキュアでないトラフィックの両方についてオンプレミス・ネットワークからVCNへの接続を可能にします。
仮想回線を介した暗号化トラフィックのみを許可する厳格なセキュリティ・ポスチャが必要な場合は、仮想回線および仮想回線のDRGアタッチメントにtransportOnlyモード・フラグを設定します(コンソールで、仮想回線の作成時またはそれ以降にIPSec over FastConnect traffic onlyオプションを設定します)。
transportOnlyモード・フラグを設定する前に:
- すべての静的ルールを「RPC、VCおよびIPSecアタッチメントの自動生成されたDrgルート表」ルート表から削除するか、仮想回線アタッチメントのデフォルトであるルート表を削除します。デフォルトでは、自動生成されたルート表に関連付けられたインポート・ルート・ディストリビューションは、「VCNルートの自動生成されたインポート・ルート・ディストリビューション」です。
- 「Match attachment type Virtual Circuit」または「Match ALL」設定を持つ「Autogenerated Import Route Distribution for VCN Routes」(または仮想回線のカスタム・ルート表に関連付けられた手動で作成されたインポート・ルート・ディストリビューション)からすべてのルート・ディストリビューション文を削除します。
これらの要件を満たさないDRGでtransportOnlyモードを有効にしようとすると、調整する必要がある設定を説明する詳細なエラー・メッセージが表示されます。DRGに必要な変更を行うと、仮想回線とそのアタッチメントをtransportOnlyモードに設定できます。transportOnlyモード・フラグを設定すると、OracleはDRGのルート表に対して次の動作を強制し、ルート・ディストリビューションをインポートします。
- 仮想回線アタッチメントのルート表では、関連付けられた各ループバック・アタッチメントへの単一のルートのみが許可され、他のルートは許可されません。
- 仮想回線アタッチメントのルート表に静的ルートを含めることはできません。
- 仮想回線アタッチメントに関連付けられたルート表のインポート・ルート・ディストリビューションは、ループバックDRGアタッチメントからのルートのみをインポートできます。
- DRG内のアタッチメントは、ループバック・アタッチメントを除き、仮想回線アタッチメントからルートをインポートできません。つまり、他のアタッチメントのインポート・ルート・ディストリビューションには、一般的な"Match ALL"または"Match attachment type - Virtual Circuit"設定を使用できません。
ルート・ディストリビューションのインポートまたはこのDRGの静的ルート・ルールへの変更に対する追加の変更は、必要なルーティング動作を強制するために検証されます。
MACsec暗号化
FastConnectは、MACsec (IEEE標準802.1AE)を使用してレイヤー2上のネットワーク間接続を保護するように構成できます。MACsecを有効にするには、高度な暗号化標準(AES)暗号化アルゴリズムを選択します。2つの接続されたネットワークは、セキュリティ・キーを交換して検証してから、セキュアな双方向リンクを確立します。Oracle Cloud Infrastructure Vaultサービスでは、実際の暗号化キーがセキュアに格納されます。
MACsecの使用には、次の要件があります:
- 顧客構内機器(CPE)デバイスでもMACsecがサポートされている必要があります。
- 単一クロスコネクトまたはクロスコネクト・グループのFastConnect選択ポート速度は、10Gbps以上である必要があります。
- 既存のクロスコネクトまたはクロスコネクト・グループのすべてがMACsecをサポートできるわけではありません。既存のクロスコネクトまたはクロスコネクト・グループをアップグレードするために、クロスコネクトまたはクロスコネクト・グループの詳細ページには、「使用可能」または「使用不可」のいずれかの設定を含む「MACsec暗号化」フィールドがあります。接続は、MACsecの使用に対応している必要があります。クロスコネクトまたはクロスコネクト・グループがMACsecの使用に対応していない場合は、MACsecを構成する前に再プロビジョニングする必要があります。
- すべてのサードパーティ・プロバイダが、提供している回線のタイプでMACsecをサポートできるわけではありません。プロバイダに問い合せて、購入する接続のタイプがMACsecをサポートしていることを確認してください。
FastConnectとMACsecは、ボールト・サービスと統合されます。MACsecを使用してFastConnectを完全に構成するステップの概要を次に示します。
- Vaultの作成
- ボールトにマスター暗号化キーを作成します。
- 2つのシークレットを作成して、ボールト内の接続アソシエーション・キー(CAK)および接続アソシエーション・キー名(CKN)を表します。CAKおよびCKNは、長さが32–64文字の16進文字列である必要があります。
- FastConnect回線用に作成されたCKNおよびCAKシークレットを使用して、サードパーティ・プロバイダまたはコロケーション・クロスコネクトでMACsecを構成します。
- 顧客構内機器(CPE)デバイスの構成時に使用する元のCAKおよびCKNキーをオンプレミス・ネットワーク管理者に提供します。
- サードパーティ・プロバイダまたはコロケーション仮想回線のクロスコネクトをアクティブ化します。
既存のFastConnectクロスコネクトにMACsec暗号化を追加する場合、暗号化設定を変更するには、BGPセッションを再起動してBGPトラフィックを一時停止する必要があることに注意してください。
MACsecパラメータ
CPEでMACsecを構成する場合、様々な必須パラメータの表を参照してください。
| パラメータ | 使用可能な値 | 説明 |
|---|---|---|
| CAK | 32-64個の16進文字 | 最小32個の16進文字(0-9、A-F)。 |
| 暗号スイート |
aes128-gcm-xpn aes256-gcm-xpn |
OCIで構成された暗号スイートと一致するようにCPEを構成します。 |
| CKN | 32-64個の16進文字 | 最小32個の16進文字(0-9、A-F)。 |
| 機密性オフセット | 0 | OCI側は常に0で、フレーム全体が暗号化されます。CPE構成の一部として必要な場合は、OCI側と一致します。 |
| Interface |
単一の物理インタフェース リンク・アグリゲーション・グループ(LAG) |
FastConnectのMACsecは、単一のFastConnect接続またはLAGでのMACsecの構成をサポートします。CPEでのこの構成オプションと一致します。 |
| Key-server | 1以上 | CPEで0より大きい任意の値を使用します。OCI FastConnectエッジ・デバイスは常に0を使用します。 |
| MKA Include SCI | SCIを含める | SCI(セキュア・チャネル識別子)タグを含めるようにCPEを構成します。OCI側で"Include SCI"タグを構成します。 |
| MKA Policy Option |
must-secure |
これには、MACsec対応ネットワーク・セグメントで送信されるすべてのトラフィックがセキュアであることが必要です(コンソールの「Fail Close」オプション)。CPEでのこの構成オプションと一致します。should-secureオプション(コンソールの「Fail Open」オプション)は使用できますが、Oracleではお薦めしません。 |
| SAK Rekey time | 3600秒(1時間) | CPE構成は、1時間のOCI SAKキー更新時間と一致する必要があります。 |
MACsecヒットレス・キー・ロールオーバー
キーをローテーションする準備ができたら、FastConnectのMACsecでヒットレス・キー・ロールオーバーがサポートされます。キーのローテーション時に通信が失われないように、常にCKNとCAKの両方を同時に更新してください。最初にFastConnectリンクのOCI側でCKNとCAKのペアを変更してから、CPEを更新します。
説明されている順序で次のタスクを実行します。順序に従わずにこれらのステップを実行すると、通信が一時的に中断する可能性があります。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「Vault」の順にクリックします。
- 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
- CKNおよびCAKシークレットを含むボールトの名前をクリックします。
- 「リソース」で、「シークレット」をクリックします。
- CKNを表すシークレットの名前をクリックします。
- 「シークレット・バージョンの作成」をクリックします。
- 「シークレット・コンテンツ」で、CKNの新しい値を入力します。
- 「シークレット・バージョンの作成」をクリックします。
これらのステップを繰り返して、CAKシークレットの値も変更します。
ヒットレス・キー・ロールオーバーを実行する場合は、常にCKNとCAKの両方を更新してください。
-
- タスク1で変更したボールト・シークレットを使用するFastConnectの名前をクリックします。FastConnectを表すクロスコネクトが表示されます。
- 「編集」をクリックします。
- 「接続アソシエーション・キー名(CKN)」で、「Vaultで現在のバージョンを使用: <number>」を選択します。<number>は、Vault内のCKNシークレットの最新シークレット・バージョンと一致します。
- 「接続アソシエーション・キー(CAK)」で、「Vaultで現在のバージョンを使用: <number>」を選択します。<number>は、Vault内のCAKシークレットの最新シークレット・バージョンと一致します。
- CKNとCAKの両方のバージョンを更新したら、「変更の保存」をクリックします。
- 変更を確認する新しいポップアップが表示されます。「確認」をクリックします。
クロスコネクトが新しいCKNおよびCAKの値を使用するように更新した後、セッションが中断する前に、CPEでCKNおよびCAKを更新する1時間のキー更新期間があります。
クロスコネクトが新しいCKNおよびCAKの値を使用するように更新した後、セッションが中断する前に、CPEでCKNおよびCAKを更新する1時間のキー更新期間があります。使用しているデバイスの適切なドキュメントを参照してください。