Documentación de Oracle Cloud Infrastructure

Seguridad FastConnect

Obtenga información sobre el uso del cifrado con FastConnect para mejorar la seguridad de la red.

Oracle Cloud Infrastructure FastConnect permite dos métodos principales para cifrar el tráfico entre su centro de datos y Oracle Cloud Infrastructure: IPSec en FastConnect y MACsec Encryption.

IPSec a través de FastConnect

IPSec sobre FastConnect le permite configurar una VPN de sitio a sitio con túneles IPSec seguros en circuitos virtuales FastConnect, lo que proporciona seguridad adicional a lo que ya es una conexión privada. Estos túneles IPSec protegen las conexiones de red a red en la capa 3.

IPSec sobre FastConnect está disponible para los tres modelos de conectividad (socio, colocación con Oracle y proveedor de terceros) y admite las siguientes capacidades:

  • Pueden existir varios túneles IPSec en un único circuito virtual FastConnect.
  • En el mismo circuito virtual puede existir una combinación de tráfico cifrado y no cifrado, aunque puede requerir que todo el tráfico esté cifrado.
  • Los puntos finales de túnel IPSec pueden utilizar direcciones IP públicas o privadas, pero si las direcciones son públicas, no se puede acceder a ellas a través de Internet porque el transporte para esta conectividad es una conexión privada y no en Internet.
  • Puede agregar varios túneles IPSec entre los mismos puntos finales mediante ECMP.

Configuración de IPSec a través de FastConnect

Nota

Recomendamos que utilice conexiones IPSec basadas en rutas BGP para IPSec a través de FastConnect.

Para configurar tanto FastConnect como VPN de sitio a sitio para que funcionen como una única conexión de datos, es necesario configurar componentes en un orden específico. Suponiendo que ya tiene al menos una VCN y un DRG en su arrendamiento en la nube, cree servicios en el siguiente orden:

  1. Cree un circuito virtual FastConnect o seleccione un circuito virtual privado existente. Este circuito virtual puede utilizar cualquiera de los tres modelos de conectividad FastConnect. No es necesario realizar ningún cambio en los circuitos virtuales privados nuevos o existentes para activar IPSec en FastConnect, pero puede editar el circuito virtual para permitir solo el tráfico que utiliza IPSec en FastConnect. El DRG utiliza diferentes tablas de rutas configuradas para las asociaciones VIRTUAL_CIRCUIT y IPSEC_TUNNEL, porque estas asociaciones no pueden compartir una tabla de rutas de DRG.
  2. Crear un nuevo objeto de equipo local de cliente (CPE). Este objeto es una representación virtual del dispositivo de perímetro físico de una red local. El objeto CPE debe tener activado IPSec sobre FastConnect. Después de crear el objeto CPE, configure el dispositivo de perímetro físico para que coincida con los valores de CPE normales para la VPN de sitio a sitio. La dirección IP utilizada como identificador IKE de CPE puede ser privada o pública. No se puede utilizar un objeto CPE configurado anteriormente para IPSec en FastConnect, ya que la representación no incluirá la opción de utilizar IPSec en FastConnect. Por supuesto, aún puede utilizar el objeto CPE existente para el tráfico que atraviesa Internet.
  3. Cree una conexión VPN de sitio a sitio IPSec seleccionando el nuevo CPE que acaba de crear. El enrutamiento BGP se prefiere para las conexiones que utilizan IPSec en lugar de FastConnect y debe especificar el circuito virtual FastConnect que desea utilizar.

Archivos adjuntos de loopback

IPSec sobre FastConnect requiere un DRG actualizado, que puede tener asociaciones con los siguientes tipos:

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • LOOPBACK

Una asociación de bucle de retorno permite que el tráfico cifrado fluya entre una asociación de circuito virtual y una asociación de túnel IPSec, proporcionando al DRG el lado de Oracle de la dirección IP privada del túnel. Sin la asociación de bucle de retorno, no se permite el tráfico directamente entre una asociación de circuito virtual y una asociación de túnel IPSec. Cuando el tráfico vuelve a través de la asociación de túnel IPSec, se descifra y, a continuación, se envía al DRG. Solo las asociaciones de circuito virtual y las asociaciones de túnel IPSec se pueden enrutar a una asociación de bucle de retorno. Oracle gestiona todo el enrutamiento hacia o desde una asociación de bucle de retorno y los administradores de su arrendamiento no pueden gestionarlo.

IPSec en FastConnect implica un circuito virtual y un túnel IPSec, y esas conexiones deben terminar en una asociación de DRG con el tipo correspondiente. Como se muestra en el siguiente diagrama simplificado para el tráfico entrante, con IPSec en FastConnect, el túnel IPSec se origina desde el CPE (Referencia 1). El circuito virtual se origina en un enrutador perimetral local (referencia 2) y finaliza en una conexión VIRTUAL_CIRCUIT (referencia 3). A continuación, el tráfico de túnel IPSec pasa a una conexión LOOPBACK (llamada 4) y finaliza en una conexión IPSEC_TUNNEL (llamada 5). A continuación, el tráfico no cifrado pasa a través de una asociación de VCN (referencia 6) y sale a la dirección IP de destino final de la VCN. Como alternativa, el tráfico podría enrutar a una asociación REMOTE_PEERING_CONNECTION enlazada a otro DRG en la misma región u otra región, pero eso no se muestra en el diagrama.

Diagrama que muestra los extremos de terminación del circuito virtual y el túnel IPSec
Referencia Función
1 Dispositivo CPE. Termina la conexión IPSec.
2 Router de borde. Termina el circuito virtual.

Nota: Las llamadas 1 y 2 pueden ser potencialmente el mismo dispositivo físico.
3 Anexo de VIRTUAL_CIRCUIT. Termina el circuito virtual.
4 Conexión LOOPBACK. Reenvía el tráfico IPSec a la asociación IPSEC_TUNNEL. También es la IP de punto final de VPN.
5 Anexo de IPSEC_TUNNEL. Termina la conexión IPSec.
6 Asociación de VCN
Nota

Al utilizar IPSec en FastConnect, la asociación de túnel IPSec (Referencia 5) y la asociación de circuito virtual (Referencia 3) deben utilizar diferentes tablas de rutas de DRG y distribuciones de rutas de importación.

Modo TransportOnly: solo permite tráfico cifrado en un circuito virtual

IPSec a través de FastConnect permite que un circuito virtual FastConnect actúe como medio de transporte para el tráfico cifrado en un túnel IPSec privado, lo que permite la conectividad de una red local a la VCN para el tráfico seguro y no seguro.

Si desea una estrategia de seguridad estricta que solo permita el tráfico cifrado a través de los circuitos virtuales, defina el indicador de modo transportOnly en el circuito virtual y la asociación de DRG del circuito virtual (en la consola, defina la opción IPSec solo sobre tráfico FastConnect, ya sea al crear el circuito virtual o más adelante).

Antes de intentar definir el indicador de modo transportOnly:

  1. Elimine todas las reglas estáticas de la tabla de rutas "Tabla de rutas de Drg generado automáticamente para asociaciones de RPC, VC y IPSec" o de la tabla de rutas que sea actualmente la tabla de rutas por defecto para asociaciones de circuitos virtuales. Por defecto, la distribución de rutas de importación asociada para la tabla de rutas generada automáticamente es la "Distribución de rutas de importación generada automáticamente para rutas de VCN".
  2. Elimine todas las sentencias de distribución de rutas de la opción "Distribución de rutas de importación generada automáticamente para rutas de VCN" (o la distribución de rutas de importación creada manualmente asociada a una tabla de rutas personalizada para circuitos virtuales) que tengan un valor de "Coincidencia de tipo de asociación de circuito virtual" o "Coincidencia de TODOS".

Si intenta activar el modo transportOnly en un DRG que no cumple estos requisitos, debe obtener un mensaje de error detallado que describa qué configuración se debe ajustar. Después de realizar los cambios necesarios en su DRG, podrá definir el circuito virtual y su asociación en modo transportOnly. Después de definir el indicador de modo transportOnly, Oracle aplica los siguientes comportamientos en las tablas de rutas de DRG y las distribuciones de rutas de importación:

  1. La tabla de rutas de la asociación de circuito virtual solo permite una única ruta hacia cada una de sus asociaciones de bucle de retorno asociadas y ninguna otra ruta.
  2. La tabla de rutas de la asociación de circuito virtual no puede tener rutas estáticas.
  3. La distribución de rutas de importación de la tabla de rutas asociada a la asociación de circuito virtual solo puede importar rutas de las asociaciones de DRG de bucle de retorno.
  4. Ninguna de las asociaciones del DRG puede importar rutas de la asociación de circuito virtual, excepto la asociación de bucle de retorno. Esto significa que ninguna distribución de rutas de importación para cualquier otra asociación puede tener una configuración genérica de "Coincidir con TODO" o "Coincidir tipo de asociación - Circuito virtual".

Cualquier cambio adicional en la distribución de rutas de importación o en las reglas de rutas estáticas en este DRG se validará para aplicar los comportamientos de enrutamiento necesarios.

Cifrado de MACsec

Puede configurar FastConnect para utilizar MACsec (estándar IEEE 802.1AE) para proteger las conexiones de red a red en la capa 2. Para activar MACsec, seleccione un algoritmo basado en el estándar de cifrado avanzado (AES). Las dos redes conectadas intercambian y verifican las claves de seguridad y, luego, establecen un enlace bidireccional seguro. El servicio Oracle Cloud Infrastructure Vault almacena de forma segura las claves de cifrado reales.

El uso de MACsec tiene los siguientes requisitos:

  • El dispositivo de equipo local de cliente (CPE) también debe soportar MACsec.
  • La velocidad de puerto seleccionada por FastConnect para interconexiones únicas o grupos de interconexiones debe ser de 10 Gbps o superior.
  • No todas las interconexiones o grupos de interconexiones existentes son compatibles con MACsec. Para actualizar una interconexión o un grupo de interconexiones existente, la página de detalles de la interconexión o el grupo de interconexiones tiene el campo Cifrado de MACsec definido como Capaz o Incapaz. La conexión debe ser capaz de utilizar MACsec. Si la interconexión o el grupo de interconexiones no pueden utilizar MACsec, debe repetir el aprovisionamiento antes de configurar MACsec.
  • No todos los proveedores de terceros pueden soportar MACsec en el tipo de circuito que proporcionan. Consulte a su proveedor para verificar que el tipo de conectividad que compre sea compatible con MACsec.

FastConnect con MACsec se integra con el servicio Vault. A continuación, se muestra una visión general de los pasos para configurar completamente FastConnect con MACsec.

  1. Creación de un almacén.
  2. Cree una clave de cifrado maestra en el almacén.
  3. Cree dos secretos que representen la Clave de asociación de conectividad (CAK) y el Nombre de clave de asociación de conectividad (CKN) en el almacén. La CAK y el CKN deben ser cadenas hexadecimales con una longitud de 32 a 64 caracteres.
  4. Configure MACsec en una interconexión de proveedor de terceros o de colocación mediante los secretos de CKN y CAK creados para el circuito de FastConnect.
  5. Proporcione a su administrador de red local las claves CAK y CKN originales que debe utilizar al configurar el dispositivo del equipo local de cliente (CPE).
  6. Active las conexiones cruzadas para los circuitos virtuales de proveedor externo o colocación.

Si decide agregar el cifrado MACsec a una interconexión FastConnect existente, recuerde que para cambiar la configuración de cifrado es necesario reiniciar la sesión de BGP, lo que suspende brevemente el tráfico de BGP.

Parámetros de MACsec

Al configurar MACsec en su CPE, consulte la tabla para conocer varios parámetros necesarios.

Parámetro Valores posibles Descripción
CAK 32-64 caracteres hexadecimales Mínimo de 32 caracteres hexadecimales (0-9, A-F).
Conjuntos de cifrado

aes128-gcm-xpn

aes256-gcm-xpn

 Configure su CPE de modo que coincida con el conjunto de cifrado configurado en OCI.
CKN 32-64 caracteres hexadecimales Mínimo de 32 caracteres hexadecimales (0-9, A-F).
Confidentiality Offset 0 En OCI siempre es 0, lo que significa que todo el marco está cifrado. Si es necesario, como parte de la configuración del CPE, coincida con el de OCI.
Interfaz

Interfaz física única

link aggregation group (LAG)

 MACsec para FastConnect soporta la configuración de MACsec en una conexión única de FastConnect o en un grupo de agregación de enlaces (LAG). Esta opción de configuración debe coincidir con la de su CPE.
Key-server 1 o superior Utilice cualquier valor superior a 0 en su CPE. El dispositivo de borde FastConnect de OCI siempre utiliza 0.
MKA Include SCI include SCI Configure su CPE para que incluya una etiqueta SCI (identificador de canal seguro). Configure la etiqueta "Include SCI" en el lado de OCI.
MKA Policy Option

must-secure

 Esto requiere que todo el tráfico enviado en el segmento de red activado para MACsec sea seguro (la opción Fail Close en la consola). Esta opción de configuración debe coincidir con la de su CPE. La opción should-secure (opción Fail Open en la consola) está disponible, pero Oracle no la recomienda.
SAK Rekey time 3600 segundos (1 hora) La configuración de CPE debe coincidir con la hora de la nueva generación de clave de SAK de OCI de 1 hora.

Renovación de claves sin aciertos de MACsec

Cuando esté listo para rotar las claves, MACsec para FastConnect soporta la renovación de claves sin aciertos. Para garantizar que no haya pérdida de comunicación al rotar las claves, actualice siempre el CKN y la CAK al mismo tiempo. Cambie primero el par de CKN y CAK en OCI en el enlace de FastConnect y, a continuación, actualice su CPE.

Realice las siguientes tareas en el orden descrito. La realización de estos pasos sin seguir el orden puede provocar una interrupción temporal de la comunicación.

Tarea 1: actualizar el par de CKN y CAK
  1. Abra el menú de navegación, haga clic en Identidad y seguridad y, a continuación, en Almacén.
  2. Seleccione un compartimento en el que tenga permiso para trabajar (en la parte izquierda de la página). La página se actualiza para mostrar solo los recursos de ese compartimiento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso.
  3. Haga clic en el nombre del Almacén que incluye sus secretos de CKN y CAK.
  4. En Recursos, haga clic en Secretos.
  5. Haga clic en el nombre del secreto que representa su CKN.
  6. Haga clic en Crear versión del secreto.
  7. En Contenido del secreto, introduzca el nuevo valor para su CKN.
  8. Haga clic en Crear versión del secreto.

Repita estos pasos para cambiar también el valor del secreto de su CAK.

Al realizar una renovación de claves sin aciertos, actualice siempre tanto el CKN como la CAK.

Tarea 2: actualizar las versiones secretas de CKN y CAK de interconexión
  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en FastConnect.
  2. Haga clic en el nombre de FastConnect que utiliza los secretos de almacén modificados en la tarea 1. Se mostrará la interconexión que representa a FastConnect.
  3. Haga clic en Editar.
  4. En Connectivity Association Key Name (CKN), seleccione Use current version in Vault: <number>, donde <number> coincide con la versión de secreto más reciente de su secreto de CKN en el almacén.
  5. En Clave de asociación de conectividad (CAK), seleccione Usar versión actual en almacén: <number>, donde <number> coincide con la versión de secreto más reciente de su secreto de CAK en el almacén.
  6. Después de actualizar las versiones de CKN y CAK, haga clic en Guardar cambios.
  7. Aparecerá una nueva ventana emergente para confirmar los cambios. Haga clic en Confirmar.

Después de que se actualicen las interconexiones para utilizar los nuevos valores de CKN y CAK, tiene un período de nueva generación de claves de 1 hora para actualizar el CKN y la CAK en su CPE antes de que se borre la sesión.

Tarea 3: actualizar CKN y CAK en su CPE

Después de que se actualicen las interconexiones para utilizar los nuevos valores de CKN y CAK, tiene un período de nueva generación de claves de 1 hora para actualizar el CKN y la CAK en su CPE antes de que se borre la sesión. Consulte la documentación adecuada para su dispositivo.