Documentación de Oracle Cloud Infrastructure

FastConnect Seguridad

Obtenga información sobre el uso del cifrado con FastConnect para mejorar la seguridad de la red.

Oracle Cloud Infrastructure FastConnect permite dos métodos principales para cifrar el tráfico entre el centro de datos y Oracle Cloud Infrastructure: IPSec en FastConnect y MACsec Encryption.

IPSec en FastConnect

IPSec a través de FastConnect permite configurar la VPN de sitio a sitio con túneles IPSec seguros en los circuitos virtuales FastConnect, lo que proporciona seguridad adicional a lo que ya es una conexión privada. Estos túneles IPSec protegen las conexiones de red a red en la capa 3.

IPSec a través de FastConnect está disponible para los tres modelos de conectividad (socio, colocado y de terceros) y admite las siguientes capacidades:

  • Pueden existir varios túneles IPSec en un único circuito virtual FastConnect.
  • Puede existir una combinación de tráfico cifrado y no cifrado en el mismo circuito virtual, aunque puede requerir que todo el tráfico esté cifrado.
  • Los puntos finales de túnel IPSec pueden utilizar direcciones IP públicas o privadas, pero si las direcciones son públicas, no se podrá acceder a ellas a través de Internet, ya que el transporte para esta conectividad es una conexión privada y no de Internet.
  • Puede agregar varios túneles IPSec entre los mismos puntos finales mediante ECMP.

Configuración de IPSec a través de FastConnect

Nota

Oracle recomienda utilizar conexiones IPSec basadas en rutas de BGP para IPSec en FastConnect.

La configuración de FastConnect y VPN de sitio a sitio para que funcionen como una única conexión de datos requiere la configuración de componentes en un orden específico. Si ya tiene al menos una VCN y un DRG en su arrendamiento en la nube, cree servicios en el siguiente orden:

  1. Cree un circuito virtual FastConnect o seleccione un circuito virtual privado existente. Este circuito virtual puede utilizar cualquiera de los tres modelos de conectividad FastConnect. No es necesario realizar ningún cambio en los circuitos virtuales privados nuevos o existentes para activar IPSec a través de FastConnect, pero puede editar el circuito virtual para permitir solo el tráfico que utiliza IPSec a través de FastConnect. El DRG debe tener diferentes tablas de rutas configuradas para las asociaciones VIRTUAL_CIRCUIT y IPSEC_TUNNEL, ya que estas asociaciones no podrán compartir una tabla de rutas de DRG.
  2. Crear un nuevo objeto de equipo local de cliente (CPE). Este objeto es una representación virtual del dispositivo perimetral físico de la red local. El objeto CPE debe tener activado IPSec mediante FastConnect. Después de crear el objeto CPE, configure el dispositivo de perímetro físico para que coincida con la configuración de CPE normal para la VPN de sitio a sitio. La dirección IP utilizada como identificador IKE de CPE puede ser privada o pública. No se puede utilizar un objeto CPE configurado previamente para IPSec en FastConnect, ya que la representación no incluirá la opción de utilizar IPSec en FastConnect. Por supuesto, puede seguir utilizando su objeto CPE existente para el tráfico que atraviesa Internet.
  3. Cree una conexión IPSec de VPN de sitio a sitio y seleccione el nuevo CPE que acaba de crear. Se prefiere el enrutamiento BGP para las conexiones que utilizan IPSec en lugar de FastConnect, y debe especificar el circuito virtual FastConnect que desea utilizar. IPSec a través de FastConnect solo está disponible con el servicio VPN de sitio a sitio actualizado.

Asociaciones de loopback

IPSec en FastConnect necesita un DRG actualizado, que puede tener asociaciones con los siguientes tipos:

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • LOOPBACK

Una asociación de bucle de retorno permite que el tráfico cifrado fluya entre una asociación de circuito virtual y una asociación de túnel IPSec, proporcionando el lado de Oracle de la dirección IP privada del túnel al DRG. Sin la asociación de bucle de retorno, no se permite el tráfico directamente entre una asociación de circuito virtual y una asociación de túnel IPSec. Cuando el tráfico vuelve a realizar un bucle a través de la asociación de túnel IPSec, se descifra y, a continuación, se envía al DRG. Solo las asociaciones de circuito virtual y las asociaciones de túnel IPSec pueden enrutarse a una asociación de bucle de retorno. Oracle gestiona todo el enrutamiento desde o hacia una asociación de bucle de retorno y los administradores de su arrendamiento no pueden gestionarlo.

IPSec en FastConnect implica un circuito virtual y un túnel IPSec, y esas conexiones deben terminar en una asociación de DRG con el tipo correspondiente. Como se muestra en el siguiente diagrama simplificado para el tráfico entrante, con IPSec en FastConnect, el túnel IPSec se origina en el CPE (referencia 1). El circuito virtual se origina en un enrutador perimetral local (referencia 2) y termina en una asociación VIRTUAL_CIRCUIT (referencia 3). A continuación, el tráfico del túnel IPSec pasa a una conexión LOOPBACK (referencia 4) y termina en una conexión IPSEC_TUNNEL (referencia 5). El tráfico no cifrado pasa a continuación por una asociación de VCN (referencia 6) y sale a la dirección IP de destino final de la VCN. El tráfico puede enrutar alternativamente a una asociación REMOTE_PEERING_CONNECTION enlazada a otro DRG en la misma región u otra región, pero eso no se muestra en el diagrama.

Diagrama que muestra los extremos de terminación del circuito virtual y del túnel IPSec
Referencia Función
1 Dispositivo CPE. Termina la conexión IPSec.
2 Enrutador de borde. Termina el circuito virtual.

Nota: Las llamadas 1 y 2 pueden ser potencialmente el mismo dispositivo físico.
3 Anexo VIRTUAL_CIRCUIT. Termina el circuito virtual.
4 Fijación LOOPBACK. Reenvía el tráfico IPSec a la asociación IPSEC_TUNNEL. Esta es también la IP de punto final de VPN.
5 Anexo IPSEC_TUNNEL. Termina la conexión IPSec.
6 Asociación de VCN
Nota

Al utilizar IPSec en FastConnect, la asociación de túnel IPSec (referencia 5) y la asociación de circuito virtual (referencia 3) deben utilizar diferentes tablas de rutas de DRG e importar distribuciones de rutas.

Modo TransportOnly: solo permiso de tráfico cifrado en un circuito virtual

IPSec a través de FastConnect permite a un circuito virtual FastConnect actuar como medio de transporte para el tráfico cifrado en un túnel IPSec privado, lo que permite la conectividad de una red local a la VCN tanto para el tráfico seguro como no seguro.

Si desea una estrategia de seguridad estricta que solo permita el tráfico cifrado a través de los circuitos virtuales, defina el indicador de modo transportOnly en el circuito virtual y la asociación de DRG del circuito virtual (en la consola, defina la opción IPSec solo sobre el tráfico FastConnect, ya sea al crear el circuito virtual o posteriormente).

Antes de intentar definir el indicador de modo transportOnly:

  1. Elimine todas las reglas estáticas de la tabla de rutas "Tabla de rutas de Drg generada automáticamente para asociaciones RPC, VC y IPSec", o la tabla de rutas que sea actualmente la predeterminada para asociaciones de circuito virtual. Por defecto, la distribución de rutas de importación asociada a la tabla de rutas generada automáticamente es "Distribución de rutas de importación generada automáticamente para rutas de VCN".
  2. Elimine todas las sentencias de distribución de rutas de "Distribución de rutas de importación generada automáticamente para rutas de VCN" (o la distribución de rutas de importación creada manualmente asociada a una tabla de rutas personalizada para circuitos virtuales) que tengan un valor de "Coincidencia de tipo de asociación de circuito virtual" o "Coincidencia de TODOS".

Si intenta activar el modo transportOnly en un DRG que no cumple estos requisitos, debe obtener un mensaje de error detallado que describa qué configuración se debe ajustar. Después de realizar los cambios necesarios en el DRG, podrá definir el circuito virtual y su asociación en modo transportOnly. Después de definir el indicador de modo transportOnly, Oracle aplica los siguientes comportamientos en las tablas de rutas de DRG e importa las distribuciones de rutas:

  1. La tabla de rutas de la asociación de circuito virtual solo permite una única ruta hacia cada una de sus asociaciones de bucle de retorno asociadas y ninguna otra ruta.
  2. La tabla de rutas de la asociación de circuito virtual no puede tener rutas estáticas.
  3. La distribución de rutas de importación de la tabla de rutas asociada a la asociación de circuito virtual solo puede importar rutas de las asociaciones de DRG en bucle de retorno.
  4. Ninguna de las asociaciones del DRG puede importar rutas de la asociación de circuito virtual, excepto la asociación de bucle de retorno. Esto significa que ninguna distribución de rutas de importación para ninguna otra asociación puede tener una configuración genérica "Coincidir TODO" o "Coincidir tipo de asociación - Circuito virtual".

Cualquier otro cambio en la distribución de rutas de importación o en las reglas de rutas estáticas de este DRG se validará para aplicar los comportamientos de enrutamiento necesarios.

cifrado de MACsec

Puede configurar FastConnect para utilizar MACsec (estándar IEEE 802.1AE) para proteger las conexiones de red a red en la capa 2. Para activar MACsec, seleccione un algoritmo basado en el estándar de cifrado avanzado (AES). Las dos redes conectadas intercambian y verifican las claves de seguridad y, luego, establecen un enlace bidireccional seguro. El servicio Oracle Cloud Infrastructure Vault almacena de forma segura las claves de cifrado reales.

El uso de MACsec tiene los siguientes requisitos:

  • El dispositivo de equipo local de cliente (CPE) también debe soportar MACsec.
  • La velocidad de puerto seleccionada de FastConnect para interconexiones o grupos de interconexiones individuales debe ser de 10 Gbps o superior.
  • No todas las interconexiones o grupos de interconexiones existentes son compatibles con MACsec. Para actualizar una interconexión o un grupo de interconexiones existente, la página de detalles de la interconexión o el grupo de interconexiones tiene el campo Cifrado de MACsec definido como Capaz o Incapaz. La conexión debe ser capaz de utilizar MACsec. Si la interconexión o el grupo de interconexiones no pueden utilizar MACsec, debe repetir el aprovisionamiento antes de configurar MACsec.
  • No todos los proveedores de terceros pueden soportar MACsec en el tipo de circuito que proporcionan. Consulte a su proveedor para verificar que el tipo de conectividad que compre sea compatible con MACsec.

FastConnect con MACsec se integra con el servicio Vault. A continuación, se muestra una visión general de los pasos para configurar completamente FastConnect con MACsec.

  1. Crear un almacén.
  2. Cree una clave de cifrado maestra en el almacén.
  3. Cree dos secretos que representen la Clave de asociación de conectividad (CAK) y el Nombre de clave de asociación de conectividad (CKN) en el almacén. La CAK y el CKN deben ser cadenas hexadecimales con una longitud de 32 a 64 caracteres.
  4. Configure MACsec en una interconexión de proveedor de terceros o de colocación mediante los secretos de CKN y CAK creados para el circuito de FastConnect.
  5. Proporcione a su administrador de red local las claves CAK y CKN originales que debe utilizar al configurar el dispositivo del equipo local de cliente (CPE).
  6. Active las conexiones cruzadas para los circuitos virtuales de proveedor externo o colocación.

Si decide agregar el cifrado MACsec a una interconexión FastConnect existente, recuerde que para cambiar la configuración de cifrado es necesario reiniciar la sesión de BGP, lo que suspende brevemente el tráfico de BGP.

Parámetros de MACsec

Al configurar MACsec en su CPE, consulte la tabla para conocer varios parámetros necesarios.

Parámetro Valores posibles Descripción
CAK 32-64 caracteres Mínimo de 32 caracteres hexadecimales (0-9, A-F).
Suites de cifrado

aes128-gcm-xpn

aes256-gcm-xpn

 Configure su CPE de modo que coincida con el conjunto de cifrado configurado en OCI.
CKN 32-64 caracteres Mínimo de 32 caracteres hexadecimales (0-9, A-F).
Desfase de confidencialidad 0 En OCI siempre es 0, lo que significa que todo el marco está cifrado. Si es necesario, como parte de la configuración del CPE, coincide con el de OCI.
Interfaz

Interfaz física única

Link Aggregation Group (LAG)

 MACsec para FastConnect soporta la configuración de MACsec en una conexión única de FastConnect o en un grupo de agregación de enlaces (LAG). Esta opción de configuración debe coincidir con la de su CPE.
Clave-servidor 1 o superior Utilice cualquier valor superior a 0 en su CPE. El dispositivo de borde FastConnect de OCI siempre utiliza 0.
MKA Include SCI Incluir SCI Configure su CPE para que incluya una etiqueta SCI (identificador de canal seguro). Configure la etiqueta "Incluir SCI" en el lado de OCI.
MKA Policy Option

must-secure

 Esto requiere que todo el tráfico enviado en el segmento de red activado para MACsec sea seguro (la opción Fail Close en la consola). Esta opción de configuración debe coincidir con la de su CPE. La opción should-secure (la opción Fail Open en la consola) está disponible, pero Oracle no la recomienda.
SAK Rekey time 3600 segundos (1 hora) La configuración de CPE debe coincidir con la hora de la nueva generación de clave de SAK de OCI de 1 hora.

Renovación de claves sin aciertos de MACsec

Cuando esté listo para rotar las claves, MACsec para FastConnect soporta la renovación de claves sin aciertos. Para garantizar que no haya pérdida de comunicación al rotar las claves, actualice siempre el CKN y la CAK al mismo tiempo. Cambie primero el par de CKN y CAK en OCI en el enlace de FastConnect y, a continuación, actualice su CPE.

Realice las siguientes tareas en el orden descrito. La realización de estos pasos sin seguir el orden puede provocar una interrupción temporal de la comunicación.

Tarea 1: Actualizar el par de CKN y CAK
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, en Almacén.
  2. Seleccione un compartimento en el que tenga permiso para trabajar (en la parte izquierda de la página). La página se actualiza para mostrar solo los recursos de ese compartimiento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso.
  3. Haga clic en el nombre del Almacén que incluye sus secretos de CKN y CAK.
  4. En Recursos, haga clic en Secretos.
  5. Haga clic en el nombre del secreto que representa su CKN.
  6. Haga clic en Crear versión del secreto.
  7. En Contenido del secreto, introduzca el nuevo valor para su CKN.
  8. Haga clic en Crear versión del secreto.

Repita estos pasos para cambiar también el valor del secreto de su CAK.

Al realizar una renovación de claves sin aciertos, actualice siempre tanto el CKN como la CAK.

Tarea 2: Actualización de las versiones secretas de CKN y CAK de interconexión

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en FastConnect.

  2. Haga clic en el nombre de FastConnect que utiliza los secretos de almacén modificados en la tarea 1. Se mostrará la interconexión que representa a FastConnect.
  3. Haga clic en Editar.
  4. En Connectivity Association Key Name (CKN), seleccione Use current version in Vault: <number>, donde <number> coincide con la última versión de secreto de CKN en el almacén.
  5. En Clave de asociación de conectividad (CAK), seleccione Usar versión actual en almacén: <number>, donde <number> coincide con la versión de secreto más reciente de su secreto de CAK en el almacén.
  6. Después de actualizar las versiones de CKN y CAK, haga clic en Guardar cambios.
  7. Aparecerá una nueva ventana emergente para confirmar los cambios. Haga clic en Confirmar.

Después de que se actualicen las interconexiones para utilizar los nuevos valores de CKN y CAK, tiene un período de nueva generación de claves de 1 hora para actualizar el CKN y la CAK en su CPE antes de que se borre la sesión.

Tarea 3: Actualizar CKN y CAK en su CPE

Después de que se actualicen las interconexiones para utilizar los nuevos valores de CKN y CAK, tiene un período de nueva generación de claves de 1 hora para actualizar el CKN y la CAK en su CPE antes de que se borre la sesión. Consulte la documentación adecuada para su dispositivo.