MACsec for Cloud Interconnect 개요

MACsec for Cloud Interconnect는 특히 온프레미스 라우터와 Google의 에지 라우터 간의 Cloud Interconnect 연결에서 트래픽을 보호하는 데 도움이 됩니다. MACsec for Cloud Interconnect는 IEEE 표준 802.1AE Media Access Control Security(MACsec)를 사용하여 온프레미스 라우터와 Google 에지 라우터 간의 트래픽을 암호화합니다.

MACsec for Cloud Interconnect는 Google 내에서 전송 중인 데이터 암호화를 제공하지 않습니다. 보안 강화를 위해 인터넷 보안 프로토콜(IPsec) 및 전송 계층 보안(TLS)과 같은 다른 네트워크 보안 프로토콜과 함께 MACsec를 사용하는 것이 좋습니다. IPsec를 사용하여 Google Cloud로의 네트워크 트래픽을 보호하는 방법에 대한 자세한 내용은 Cloud Interconnect를 통한 HA VPN 개요를 참조하세요. 교차 사이트 Interconnect의 암호화에 대한 자세한 내용은 암호화 옵션을 참조하세요.

MACsec for Cloud Interconnect는 10Gbps 및 100Gbps 회선에 사용할 수 있습니다. 그러나 10Gbps 회선의 MACsec for Cloud Interconnect를 주문하려면 계정 관리자에게 문의해야 합니다.

MACsec for Cloud Interconnect는 IPv4, IPv6, IPsec을 포함한 모든 VLAN 연결 기능을 지원합니다.

다음 다이어그램에서는 MACsec가 트래픽을 암호화하는 방법을 보여줍니다.

그림 1에서는 Dedicated Interconnect에서 트래픽을 암호화하는 MACsec를 보여줍니다. 이 다이어그램에 표시된 암호화는 교차 사이트 Interconnect에도 적용됩니다.
그림 2에서는 Partner Interconnect에서 트래픽을 암호화하는 MACsec를 보여줍니다.

MACsec는 Google의 피어링 에지 라우터와 온프레미스 라우터 간의 Dedicated Interconnect에서 트래픽을 암호화합니다. — **그림 1.** MACsec는 Google의 피어링 에지 라우터와 온프레미스 라우터 간에 Dedicated Interconnect의 트래픽을 암호화합니다(확대하려면 클릭).

MACsec는 Google의 피어링 에지 라우터와 서비스 제공업체의 피어링 에지 라우터 간에 Partner Interconnect의 트래픽을 암호화합니다. — **그림 2.** MACsec는 Google의 피어링 에지 라우터와 서비스 제공업체의 피어링 에지 라우터 간에 Partner Interconnect의 트래픽을 암호화합니다 (확대하려면 클릭).

Partner Interconnect에서 MACsec를 사용하려면 서비스 제공업체와 협력하여 네트워크 트래픽이 제공업체 네트워크를 통해 암호화되는지 확인합니다.

Cloud Interconnect용 MACsec 사용에 대한 추가 비용은 없습니다.

MACsec for Cloud Interconnect 작동 방식

Cloud Interconnect용 MACsec는 온프레미스 라우터와 Google의 피어링 에지 라우터 간의 트래픽을 보호하는 데 도움이 됩니다. Google Cloud CLI(gcloud CLI) 또는 Google Cloud 콘솔을 사용하여 GCM-AES-256 연결 키(CAK)와 연결 키 이름(CKN) 값을 생성합니다. CAK 및 CKN 값을 사용하여 MACsec를 구성하도록 라우터를 구성합니다. 라우터와 Cloud Interconnect에서 MACsec를 사용 설정하면 MACsec에서 온프레미스 라우터와 Google의 피어링 에지 라우터 간의 트래픽을 암호화합니다.

암호화에는 계층화된 보안 접근 방식을 사용하는 것이 좋습니다. 레이어 2에서 MACsec는 인접한 라우터 간의 트래픽을 암호화합니다. 레이어 3에서 IPsec는 고객 온프레미스 네트워크와 VPC 네트워크 간의 트래픽을 보호합니다. 애플리케이션 수준 보안 프로토콜을 사용하여 추가 보호를 받을 수 있습니다.

지원되는 온프레미스 라우터

다음 표에 나열된 MACsec 사양을 지원하는 MACsec for Cloud Interconnect와 함께 온프레미스 라우터를 사용할 수 있습니다.

설정	값
MACsec 암호화 스위트	GCM-AES-256-XPN GCM-AES-256 주의: GCM-AES-256 암호화 스위트가 지원되지만 컨트롤 플레인이 오버로드될 경우 패킷 삭제를 일으킬 수 있으므로 높은 대역폭 링크에 권장되지 않습니다. 패킷 손실을 방지하려면 GCM-AES-256-XPN을 사용하는 것이 좋습니다.
CAK 암호화 알고리즘	AES_256_CMAC
키 서버 우선순위	15
보안 연결 키(SAK) 키 갱신 간격	28800초
MACsec 비밀유지 오프셋	0
창 크기	64
무결성 검사 값(ICV) 표시기	예
보안 채널 식별자(SCI)	사용 설정됨

MACsec for Cloud Interconnect는 최대 5개의 키에 대해 자동 키 순환을 지원합니다.

Cisco, Juniper, Arista에서 제조한 여러 라우터가 사양을 충족합니다. Google에서는 특정 라우터를 권장하지 않습니다. 라우터 공급업체에 문의하여 니즈에 가장 적합한 모델을 결정하는 것이 좋습니다.

MACsec for Cloud Interconnect를 사용하기 전에

다음 요구사항을 충족하는지 확인합니다.

네트워크 회선을 정렬하고 구성할 수 있도록 기본 네트워크 상호 연결을 이해합니다.
Dedicated Interconnect와 Partner Interconnect의 차이점과 요구사항을 이해합니다.
온프레미스 에지 라우터에 대한 관리자 액세스 권한이 있어야 합니다.
코로케이션 시설에서 MACsec를 사용할 수 있는지 확인합니다.

MACsec for Cloud Interconnect 설정 단계

MACsec for Cloud Interconnect를 코로케이션 시설에서 사용할 수 있는지 확인한 후 MACsec 지원 Cloud Interconnect 연결이 이미 있는지 확인합니다. 그렇지 않으면 MACsec 지원 Cloud Interconnect 연결을 주문합니다. 교차 사이트 Interconnect를 사용하는 경우 연결은 기본적으로 MACsec를 지원합니다.

Cloud Interconnect 연결에서 테스트를 완료하고 이 연결을 사용할 준비가 되면 MACsec 사전 공유 키를 만들고 온프레미스 라우터를 구성하여 MACsec를 설정할 수 있습니다. 그런 다음 MACsec를 사용 설정하여 링크에 사용 설정되어 있고 링크가 작동되는지 확인할 수 있습니다. 마지막으로 MACsec 연결을 모니터링하여 올바르게 작동하는지 확인할 수 있습니다.

MACsec 가용성

MACsec for Cloud Interconnect는 위치에 관계없이 모든 Cloud Interconnect 100Gbps 연결에서 지원됩니다.

10Gbps 회선의 모든 코로케이션 시설에서 MACsec for Cloud Interconnect를 사용할 수 없습니다. 코로케이션 시설에서 사용할 수 있는 기능에 대한 자세한 내용은 연결 유형에 따라 다음을 참조하세요.

MACsec for Cloud Interconnect를 지원하는 10Gbps 회선의 코로케이션 시설을 확인하려면 다음을 수행하세요. 10Gbps 회선의 MACsec 가용성은 허용 목록에 포함된 프로젝트에만 표시됩니다. 10Gbps 회선의 MACsec for Cloud Interconnect를 주문하려면 계정 관리자에게 문의해야 합니다.

콘솔

Google Cloud 콘솔에서 Cloud Interconnect 실제 연결 탭으로 이동합니다.

실제 연결로 이동
실제 연결 설정을 클릭합니다.
Dedicated Interconnect를 선택하고 계속을 클릭합니다.
새 Dedicated Interconnect 주문을 선택하고 계속을 클릭합니다.
Google Cloud 위치 필드에서 선택을 클릭합니다.
코로케이션 시설 선택 창에서 Cloud Interconnect 연결을 설정할 도시를 찾습니다. 지리적 위치 필드에서 지리적 지역을 선택합니다. 현재 프로젝트에 대한 MACsec 지원 열에는 Cloud Interconnect용 MACsec에 사용할 수 있는 회선 크기가 표시됩니다.

gcloud

Google Cloud CLI에 인증합니다.
```
gcloud auth login
```

코로케이션 시설이 MACsec for Cloud Interconnect를 지원하는지 확인하려면 다음 중 하나를 수행합니다.

특정 코로케이션 시설이 MACsec for Cloud Interconnect를 지원하는지 확인합니다.

gcloud compute interconnects locations describe COLOCATION_FACILITY

COLOCATION_FACILITY를 위치 표에 나열된 코로케이션 시설 이름으로 바꿉니다.

출력은 다음 샘플과 비슷합니다. availableFeatures 섹션을 확인합니다. MACsec 지원 연결에서 다음을 표시합니다.

10Gbps 링크: linkType: LINK_TYPE_ETHERNET_10G_LR 및 availableFeatures: IF_MACSEC
100Gbps 링크: linkType: LINK_TYPE_ETHERNET_100G_LR, MACsec에서 지원하는 모든 100Gbps

address: |-
  Equinix
  47 Bourke Road
  Alexandria
  Sydney, New South Wales 2015
  Australia
availabilityZone: zone1
availableFeatures:
- IF_MACSEC
availableLinkTypes:
- LINK_TYPE_ETHERNET_10G_LR
- LINK_TYPE_ETHERNET_100G_LR
city: Sydney
continent: C_ASIA_PAC
creationTimestamp: '2019-12-05T12:56:15.000-08:00'
description: Equinix Sydney (SY3)
facilityProvider: Equinix
facilityProviderFacilityId: SY3
id: '1173'
kind: compute#interconnectLocation
name: syd-zone1-1605
peeringdbFacilityId: '1605'
regionInfos:
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2
- region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7
selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605
status: AVAILABLE

10Gbps 회선에서 MACsec for Cloud Interconnect를 지원하는 모든 코로케이션 시설을 나열합니다.

gcloud compute interconnects locations list \
    --filter "availableFeatures: (IF_MACSEC)"

출력은 다음과 비슷합니다.

NAME                  DESCRIPTION              FACILITY_PROVIDER
... <stripped>
syd-zone1-1605        Equinix Sydney (SY3)     Equinix
... <stripped>

100Gbps 링크가 있는 모든 코로케이션 시설을 나열하므로 기본적으로 MACsec를 지원합니다.

gcloud compute interconnects locations list \
    --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"

출력은 다음과 비슷합니다.

NAME                  DESCRIPTION              FACILITY_PROVIDER
... <stripped>
syd-zone1-1605        Equinix Sydney (SY3)     Equinix
... <stripped>

기존 Cloud Interconnect 연결에 MACsec 지원

MACsec for Cloud Interconnect는 기존 100Gbps Cloud Interconnect 연결에서 지원됩니다.

10Gbps 연결을 사용하는 경우 코로케이션 시설에서 MACsec 가용성을 확인합니다. 코로케이션 시설에서 MACsec 지원을 사용할 수 있는 경우, Cloud Interconnect가 MACsec를 지원하는지 확인합니다.

기존 Cloud Interconnect 연결에서 MACsec를 지원하지 않는 경우 MACsec를 사용 설정할 수 있나요?

코로케이션 시설에서 MACsec를 지원하지 않으면 다음 중 하나를 수행할 수 있습니다.

새 Cloud Interconnect 연결을 요청하고 MACsec를 필수 기능으로 요청합니다.
Google Cloud 계정 관리자에게 문의하여 기존 Cloud Interconnect 연결을 MACsec 지원 포트로 마이그레이션하는 작업을 예약합니다.

예약 제약조건으로 인해 물리적으로 연결을 마이그레이션하는 데 몇 주 정도 걸릴 수 있습니다. 마이그레이션하려면 Cloud Interconnect 연결에 프로덕션 트래픽이 없는 유지보수 기간이 필요합니다.