Documentação do Oracle Cloud Infrastructure

FastConnect Segurança

Saiba mais sobre o uso da criptografia com FastConnect para melhor segurança de rede.

O Oracle Cloud Infrastructure FastConnect permite que dois métodos principais criptografem o tráfego entre seu data center e o Oracle Cloud Infrastructure: IPSec em FastConnect e Criptografia MACsec.

IPSec por FastConnect

IPSec em FastConnect permite configurar a VPN Site a Site com túneis IPSec seguros em seus circuitos virtuais FastConnect, fornecendo assim segurança adicional ao que já é uma conexão privada. Esses túneis IPSec protegem conexões de rede para rede na Camada 3.

IPSec sobre FastConnect está disponível para todos os três modelos de conectividade (parceiro, colocado e terceiro) e suporta os seguintes recursos:

  • Vários túneis IPSec podem existir em um único circuito virtual FastConnect.
  • Uma mistura de tráfego criptografado e não criptografado pode existir no mesmo circuito virtual, embora você possa exigir que todo o tráfego seja criptografado.
  • Os pontos finais do túnel IPSec podem usar endereços IP públicos ou privados, mas se os endereços forem públicos, eles não poderão ser acessados pela internet, pois o transporte dessa conectividade é uma conexão privada e não na internet.
  • Você pode agregar vários túneis IPSec entre os mesmos pontos finais usando o ECMP.

Configurando IPSec em FastConnect

Observação

A Oracle recomenda que você use conexões IPSec baseadas em rota BGP para IPSec em FastConnect.

A configuração de FastConnect e VPN Site a Site para funcionar como uma única conexão de dados requer a configuração de componentes em uma ordem específica. Supondo que você já tenha pelo menos uma VCN e um DRG em sua tenancy na nuvem, crie serviços na seguinte ordem:

  1. Crie um circuito virtual FastConnect ou escolha um circuito virtual privado existente. Esse circuito virtual pode usar qualquer um dos três modelos de conectividade FastConnect. Não é necessária alteração nos seus circuitos virtuais privados novos ou existentes para ativar IPSec por FastConnect, mas você pode editar o circuito virtual para permitir apenas o tráfego que usa IPSec por FastConnect. O DRG deve ter diferentes tabelas de roteamento configuradas para anexos VIRTUAL_CIRCUIT e anexos IPSEC_TUNNEL, pois esses anexos não poderão compartilhar uma tabela de roteamento do DRG.
  2. Crie um novo objeto CPE (customer premises equipment). Este objeto é uma representação virtual do dispositivo de borda físico da sua rede local. O objeto CPE deve ter IPSec em FastConnect ativado. Depois de criar o objeto CPE, configure o dispositivo de borda física para corresponder às definições de CPE normalmente para a VPN Site a Site. O endereço IP usado como o identificador IKE do CPE pode ser privado ou público. Um objeto CPE configurado anteriormente não pode ser usado para IPSec em FastConnect, pois a representação não incluirá a opção de usar IPSec em FastConnect. É claro que você ainda pode usar seu objeto CPE existente para tráfego que atravessa a internet.
  3. Crie uma conexão IPSec da VPN Site a Site, selecionando o novo CPE que você acabou de criar. O roteamento BGP é preferencial para conexões que usam IPSec em vez de FastConnect, e você deve especificar o circuito virtual FastConnect que planeja usar. IPSec em FastConnect só está disponível com o Serviço de VPN Site a Site Atualizado.

Anexos de Loopback

IPSec em FastConnect requer um DRG submetido a upgrade, que pode ter anexos com os seguintes tipos:

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • LOOPBACK

Um anexo de loopback permite que o tráfego criptografado flua entre um anexo de circuito virtual e um anexo de túnel IPSec, fornecendo o lado Oracle do endereço IP privado do túnel ao DRG. Sem o anexo de loopback, o tráfego diretamente entre um anexo de circuito virtual e um anexo de túnel IPSec não é permitido. Quando o tráfego retorna pelo anexo de túnel IPSec, ele é decriptografado e, em seguida, enviado ao DRG. Somente anexos de circuito virtual e anexos de túnel IPSec podem ser roteados para um anexo de loopback. Todo o roteamento de/para um anexo de loopback é gerenciado pela Oracle e não pode ser gerenciado pelos administradores da tenancy.

IPSec em FastConnect envolve um circuito virtual e um túnel IPSec, e essas conexões devem terminar em um anexo do DRG com o tipo correspondente. Conforme mostrado no diagrama simplificado a seguir para tráfego de entrada, com IPSec sobre FastConnect, o túnel IPSec se origina do CPE (Callout 1). O circuito virtual se origina em um roteador de borda local (Callout 2) e termina em um anexo VIRTUAL_CIRCUIT (Callout 3). Em seguida, o tráfego do túnel IPSec passa para um anexo LOOPBACK (Callout 4) e termina em um anexo IPSEC_TUNNEL (Callout 5). O tráfego não criptografado passa por um anexo da VCN (Callout 6) e sai para o endereço IP de destino final na VCN. Como alternativa, o tráfego pode ser roteado para um anexo REMOTE_PEERING_CONNECTION vinculado a outro DRG na mesma região ou em outra região, mas isso não é mostrado no diagrama.

Diagrama mostrando as extremidades de encerramento do circuito virtual e do túnel IPSec
Callout Função
1 Dispositivo CPE. Encerra a conexão IPSec.
2 Roteador de ponta. Encerra o circuito virtual.

Observação: As chamadas 1 e 2 podem potencialmente ser o mesmo dispositivo físico.
3 Anexo VIRTUAL_CIRCUIT. Encerra o circuito virtual.
4 Anexo LOOPBACK. Encaminha o tráfego IPSec para o anexo IPSEC_TUNNEL. Este também é o IP do ponto final da VPN.
5 Anexo IPSEC_TUNNEL. Encerra a conexão IPSec.
6 Anexo da VCN
Observação

Ao usar IPSec em FastConnect, o anexo de túnel IPSec (Callout 5) e o anexo de circuito virtual (Callout 3) devem usar tabelas de roteamento DRG diferentes e importar distribuições de roteamento.

Modo TransportOnly: Somente Permitindo Tráfego Criptografado em um Circuito Virtual

IPSec por FastConnect permite que um circuito virtual FastConnect atue como meio de transporte para tráfego criptografado em um túnel IPSec privado, permitindo conectividade de uma rede local para a VCN para tráfego seguro e não seguro.

Se você quiser uma postura de segurança estrita que só permita tráfego criptografado em seus circuitos virtuais, defina o flag do modo transportOnly no seu circuito virtual e o anexo DRG do circuito virtual (na Console, defina a opção IPSec somente sobre tráfego FastConnect, quando você criar o circuito virtual ou posteriormente).

Antes de tentar definir o flag do modo transportOnly:

  1. Remova todas as regras estáticas da tabela de roteamento "Tabela de Roteamento de Drg Gerada Automaticamente para anexos RPC, VC e IPSec" ou qualquer tabela de roteamento que seja atualmente o padrão para anexos de circuito virtual. Por padrão, a distribuição de rota de importação associada à tabela de roteamento gerada automaticamente é a "Distribuição de Rota de Importação Gerada Automaticamente para Rotas de VCN".
  2. Remova todas as instruções de distribuição de rota da "Distribuição de Rota de Importação Gerada Automaticamente para Rotas de VCN" (ou a distribuição de rota de importação criada manualmente associada a uma tabela de roteamento personalizada para circuitos virtuais) que tenham uma definição "Corresponder tipo de anexo Circuito Virtual" ou "Corresponder a TODOS".

Se você tentar ativar o modo transportOnly em um DRG que não atenda a esses requisitos, receberá uma mensagem de erro detalhada descrevendo quais definições precisam ser ajustadas. Depois de fazer as alterações necessárias no seu DRG, você poderá definir o circuito virtual e seu anexo para o modo transportOnly. Depois de definir o flag do modo transportOnly, o sistema Oracle impõe os seguintes comportamentos nas tabelas de roteamento do DRG e importa distribuições de roteamento:

  1. A tabela de roteamento do anexo de circuito virtual só permite uma única rota para cada um de seus anexos de loopback associados e nenhuma outra rota.
  2. A tabela de roteamento do anexo do circuito virtual não pode ter rotas estáticas.
  3. A distribuição de rota de importação da tabela de roteamento associada ao anexo do circuito virtual só pode importar rotas dos anexos do DRG de loopback.
  4. Nenhum dos anexos no DRG pode importar rotas do anexo do circuito virtual, exceto o anexo de loopback. Isso significa que nenhuma distribuição de rota de importação para qualquer outro anexo pode ter uma configuração genérica "Corresponder TODOS" ou "Corresponder tipo de anexo - Circuito Virtual".

Quaisquer alterações adicionais na distribuição de rota de importação ou alterações nas regras de rota estáticas neste DRG serão validadas para impor os comportamentos de roteamento necessários.

MACsec Criptografia

Você pode configurar o FastConnect para usar MACsec (padrão IEEE 802.1AE) para proteger conexões rede a rede na Camada 2. Para ativar o MACsec, escolha um algoritmo de criptografia AES (Advanced Encryption Standard). As duas redes conectadas trocam e verificam chaves de segurança e, em seguida, estabelecem um link bidirecional seguro. O serviço Oracle Cloud Infrastructure Vault armazena com segurança as chaves de criptografia reais.

O uso de MACsec tem os seguintes requisitos:

  • Seu dispositivo CPE (Customer Premises Equipment) também deve suportar MACsec.
  • A velocidade da porta selecionada em FastConnect para conexões cruzadas únicas ou grupos de conexões cruzadas deve ser de 10 Gbps ou superior.
  • Nem todas as conexões cruzadas ou todos os grupos de conexões cruzadas existentes podem suportar o MACsec. Para fazer upgrade de uma conexão cruzada ou de um grupo de conexões cruzadas existente, a página de detalhes da conexão cruzada ou do grupo de conexões cruzadas tem um campo Criptografia MACsec que pode ser definido como Compatível ou Incompatível. A conexão deve ser capaz de usar MACsec. Se a conexão cruzada ou o grupo de conexões cruzadas não for compatível com o MACsec, será necessário reprovisioná-lo antes de configurar o MACsec.
  • Nem todos os provedores de terceiros podem suportar MACsec no tipo de circuito que eles fornecem. Verifique com o seu provedor se o tipo de conectividade que você vai comprar será compatível com o MACsec.

O FastConnect com MACsec se integra ao serviço Vault. Aqui está uma visão geral das etapas para configurar totalmente o FastConnect com o MACsec.

  1. Criar um Vault.
  2. Crie uma chave de criptografia principal no Vault.
  3. Crie dois segredos para representar a Chave de Associação de Conectividade (CAK) e o Nome da Chave de associação de Conectividade (CKN) no Vault. O CAK e o CKN devem ser strings hexadecimais com 32 a 64 caracteres.
  4. Configure MACsec em uma conexão cruzada do tipo Provedor de terceiros ou colocalização usando os segredos CKN e CAK criados para o circuito FastConnect.
  5. Dê ao administrador de rede on-premises as chaves CAK e CKN originais a serem usadas ao configurar o dispositivo CPE (Customer Premises Equipment).
  6. Ative as conexões cruzadas para os circuitos virtuais de provedor de terceiros ou colocalização.

Caso decida adicionar a criptografia MACsec a uma conexão cruzada FastConnect existente, lembre-se de que a alteração das definições de criptografia exige a reinicialização da sessão BGP, que suspende brevemente o tráfego BGP.

MACsec Parâmetros

Ao configurar o MACsec no seu CPE, consulte a tabela para obter os vários parâmetros obrigatórios.

Parâmetro Valores Possíveis Descrição
CAK 32 a 64 caracteres sextavados Mínimo de 32 caracteres hexadecimais (0-9, A-F).
Conjuntos de Cifras

aes128-gcm-xpn

aes256-gcm-xpn

 Configure seu CPE para corresponder à suíte de cifragem configurada no OCI.
CKN 32 a 64 caracteres sextavados Mínimo de 32 caracteres hexadecimais (0-9, A-F).
Compensação de Confidencialidade 0 O OCI é sempre 0, o que significa que todo o quadro é criptografado. Se necessário como parte da configuração do seu CPE, corresponda ao lado do OCI.
Interface

Interface física única

grupo de agregações de links (LAG)

 MACsec para FastConnect suporta a configuração de MACsec em uma única conexão FastConnect ou em um LAG. Faça a correspondência dessa opção de configuração no seu CPE.
Servidor de chaves 1 ou uma versão mais recente Use qualquer valor maior que 0 no seu CPE. O dispositivo de borda OCI FastConnect sempre usa 0.
MKA - Incluir SCI include SCI Configure seu CPE para incluir uma tag SCI (Identificador de Canal Seguro). Configure a tag "Incluir SCI" no OCI.
Opção de Política de MKA

deve ser seguro

 Isso requer que todo o tráfego enviado no segmento de rede ativado para MACsec seja seguro (a opção Falha ao Fechar na Console). Faça a correspondência dessa opção de configuração no seu CPE. A opção should-secure (a opção Falha ao Abrir na Console) está disponível, mas não é recomendada pela Oracle.
Tempo de Recodificação de SAK 3600 segundos (1 hora) A configuração do CPE deve corresponder ao tempo de recodificação do SAK do OCI de 1 hora.

Rollover de Chave MACsec sem Interrupção

Quando você estiver pronto para alternar suas chaves, o MACsec para FastConnect suportará o rollover de chave sem interrupção. Para garantir que não haja perda de comunicação no momento de alternar as chaves, sempre atualize o CKN e o CAK ao mesmo tempo. Altere primeiro o par CKN e CAK no lado do OCI do link FastConnect e, em seguida, atualize seu CPE.

Execute as tarefas a seguir na ordem descrita. A execução dessas etapas fora da ordem pode resultar em uma interrupção temporária da comunicação.

Tarefa 1: Atualizar o Par CKN e CAK
  1. Abra o menu de navegação, clique em Identidade e Segurança e depois clique em Vault.
  2. Escolha um compartimento no qual você tenha permissão para trabalhar (no lado esquerdo da página). A página é atualizada para exibir somente os recursos desse compartimento. Se você não tiver certeza sobre qual compartimento usar, entre em contato com um administrador. Para obter mais informações, consulte Controle de Acesso.
  3. Clique no nome do Vault que inclui os segredos CKN e CAK.
  4. Em Recursos, clique em Segredos.
  5. Clique no nome do segredo que representa o CKN.
  6. Clique em Criar Versão do Segredo.
  7. Em Conteúdo do Segredo, informe o novo valor do CKN.
  8. Clique em Criar Versão do Segredo.

Repita estas etapas para também alterar o valor do segredo CAK.

Ao executar o rollover de chave sem interrupção, sempre atualize o CKN e o CAK.

Tarefa 2: Atualizar as Versões Secretas de CKN e CAK da Conexão Cruzada

  1. Abra o menu de navegação e clique em Rede. Em Conectividade do cliente, clique em FastConnect.

  2. Clique no nome do FastConnect que usa os segredos do Vault modificados na Tarefa 1. Você verá a conexão cruzada que representa o FastConnect.
  3. Clique em Editar.
  4. Em Nome da Chave de Associação de Conectividade (CKN), selecione Usar versão atual no Vault: <number>, em que <number> corresponde à versão mais recente do segredo CKN no Vault.
  5. Em Chave de Associação de Conectividade (CAK), selecione Usar versão atual no Vault: <number>, em que <number> corresponde à versão mais recente do segredo CAK no Vault.
  6. Após a atualização das versões do CKN e da CAK, clique em Salvar Alterações.
  7. Será exibida uma nova janela pop-up para confirmar as alterações. Clique em Confirmar.

Depois que as atualizações de conexão cruzada usarem os novos valores de CKN e CAK, você terá um período de recodificação de 1 hora para atualizar o CKN e a CAK no seu CPE antes que a sessão seja desconectada.

Tarefa 3: Atualizar o CKN e a CAK no seu CPE

Depois que as atualizações de conexão cruzada usarem os novos valores de CKN e CAK, você terá um período de recodificação de 1 hora para atualizar o CKN e a CAK no seu CPE antes que a sessão seja desconectada. Consulte a documentação apropriada para seu dispositivo.