FastConnectセキュリティ
FastConnectで暗号化を使用してネットワーク・セキュリティを向上する方法について学習します。
Oracle Cloud Infrastructure FastConnectでは、データ・センターとOracle Cloud Infrastructure間のトラフィックを暗号化するための2つの主要なメソッド(IPSec over FastConnectおよびMACsec Encryption)を使用できます。
FastConnect経由のIPSec
FastConnect上のIPSecを使用すると、FastConnect仮想回線上にセキュアなIPSecトンネルを使用してサイト間VPNを設定できるため、すでにプライベート接続されているものに対するセキュリティが強化されます。これらのIPSecトンネルは、レイヤー3のネットワーク間接続を保護します。
IPSec over FastConnectは、3つの接続モデル(パートナ、Oracleとのコロケーションおよびサードパーティ・プロバイダ)すべてで使用でき、次の機能をサポートしています。
- 単一のFastConnect仮想回線上に複数のIPSecトンネルが存在できます。
- 暗号化トラフィックと暗号化されていないトラフィックの組合せが同じ仮想回線上に存在する場合がありますが、すべてのトラフィックを暗号化する必要があります。
- IPSecトンネル・エンドポイントはパブリックIPアドレスまたはプライベートIPアドレスを使用できますが、アドレスがパブリックである場合、インターネット上ではなくプライベート接続であるため、インターネット経由でアクセスできません。
- ECMPを使用して、同じエンドポイント間で複数のIPSecトンネルを集計できます。
FastConnectに対するIPSecの構成
FastConnectを介したIPSecには、BGPルートベースのIPSec接続を使用することをお薦めします。
FastConnectとサイト間VPNの両方を単一のデータ接続として動作するように構成するには、特定の順序でコンポーネントを設定する必要があります。クラウド・テナンシに少なくとも1つのVCNおよびDRGがすでに存在する場合、次の順序でサービスを作成します:
- FastConnect仮想回線を作成するか、既存のプライベート仮想回線を選択します。この仮想回線では、3つのFastConnect接続モデルのいずれかを使用できます。FastConnectでIPSecを有効にするために新規または既存のプライベート仮想回線に変更は必要ありませんが、FastConnectでIPSecを使用するトラフィックのみを許可するように仮想回線を編集できます。DRGでは、VIRTUAL_CIRCUITアタッチメントおよびIPSEC_TUNNELアタッチメントに設定された異なるルート表が使用されます。これらのアタッチメントはDRGルート表を共有できないためです。
- 新しい顧客構内機器(CPE)オブジェクトを作成します。このオブジェクトは、オンプレミス・ネットワークの物理エッジ・デバイスの仮想表現です。CPEオブジェクトでは、IPSec over FastConnectが有効になっている必要があります。CPEオブジェクトを作成した後、サイト間VPNの通常どおりCPE設定と一致するように物理エッジ・デバイスを構成します。CPE IKE識別子として使用されるIPアドレスは、プライベートまたはパブリックのいずれかです。表現にはFastConnectでIPSecを使用するオプションが含まれないため、以前に構成されたCPEオブジェクトはFastConnectでIPSecに使用できません。もちろん、インターネットを横断するトラフィックには、既存のCPEオブジェクトを引き続き使用できます。
- 作成した新しいCPEを選択して、サイト間VPN IPSec接続を作成します。BGPルーティングは、FastConnectよりもIPSecを使用する接続に優先され、使用する予定のFastConnect仮想回線を指定する必要があります。
ループバック・アタッチメント
FastConnectに対するIPSecには、アップグレードされたDRGが必要です。このDRGには、次のタイプのアタッチメントを含めることができます。
- VCN
- VIRTUAL_CIRCUIT
- IPSEC_TUNNEL
- REMOTE_PEERING_CONNECTION
- ループバック
ループバック・アタッチメントを使用すると、トンネルのプライベートIPアドレスのOracle側をDRGに提供することで、暗号化されたトラフィックが仮想回線アタッチメントとIPSecトンネル・アタッチメントの間を流れるようになります。ループバック・アタッチメントがない場合、仮想回線アタッチメントとIPSecトンネル・アタッチメント間の直接トラフィックは許可されません。トラフィックは、IPSecトンネル・アタッチメントを介してループバックすると、復号化され、DRGに送信されます。ループバック・アタッチメントにルーティングできるのは、仮想回線アタッチメントおよびIPSecトンネル・アタッチメントのみです。ループバック・アタッチメントとの間のすべてのルーティングはOracleによって管理され、テナンシ管理者は管理できません。
FastConnect上のIPSecには仮想回線とIPSecトンネルの両方が含まれ、これらの接続は、対応するタイプのDRGアタッチメントで終了する必要があります。インバウンド・トラフィックの次の簡略化された図に示すように、IPSecがFastConnectを超える場合、IPSecトンネルはCPE (コールアウト1)から生成されます。仮想回線はオンプレミス・エッジ・ルーター(コールアウト2)で発生し、VIRTUAL_CIRCUITアタッチメント(コールアウト3)で終了します。次に、IPSecトンネル・トラフィックがLOOPBACKアタッチメント(コールアウト4)に渡され、IPSEC_TUNNELアタッチメント(コールアウト5)で終了します。暗号化されていないトラフィックは、VCNアタッチメント(コールアウト6)を通過し、VCN内の最後の宛先IPアドレスに渡されます。トラフィックは、同じリージョンまたは別のリージョンの別のDRGにバインドされたREMOTE_PEERING_CONNECTIONアタッチメントにルーティングできますが、図には示されていません。
| コールアウト | 機能 |
|---|---|
| 1 | CPEデバイス。IPSec接続を終了します。 |
| 2 | エッジ ルータ。仮想回線を終了します。 ノート:コールアウト1と2は、同じ物理デバイスである可能性があります。 |
| 3 | VIRTUAL_CIRCUITアタッチメント。仮想回線を終了します。 |
| 4 | LOOPBACKアタッチメント。IPSecトラフィックをIPSEC_TUNNELアタッチメントに転送します。これはVPNエンドポイントIPでもあります。 |
| 5 | IPSEC_TUNNELアタッチメント。IPSec接続を終了します。 |
| 6 | VCNアタッチメント |
FastConnectでIPSecを使用する場合、IPSecトンネル・アタッチメント(コールアウト5)と仮想回線アタッチメント(コールアウト3)で異なるDRGルート表を使用し、ルート・ディストリビューションをインポートする必要があります。
TransportOnlyモード: 仮想回線での暗号化トラフィックの許可のみ
IPSec over FastConnectを使用すると、FastConnect仮想回線はプライベートIPSecトンネル上の暗号化されたトラフィックのトランスポート・メディアとして機能し、セキュア・トラフィックとセキュアでないトラフィックの両方に対してオンプレミス・ネットワークからVCNへの接続が可能になります。
仮想回線を介した暗号化トラフィックのみを許可する厳密なセキュリティ・ポスチャが必要な場合は、仮想回線および仮想回線のDRGアタッチメントにtransportOnlyモード・フラグを設定します(コンソールで、仮想回線の作成時または作成後にIPSec over FastConnect traffic onlyオプションを設定します)。
transportOnlyモード・フラグを設定する前に:
- 「RPC、VCおよびIPSecアタッチメントの自動生成されたDrgルート表」ルート表、または仮想回線アタッチメントのデフォルトになっているルート表から、すべての静的ルールを削除します。デフォルトでは、自動生成されたルート表の関連付けられたインポート・ルート・ディストリビューションは、「VCNルートの自動生成されたインポート・ルート・ディストリビューション」です。
- 「VCNルートの自動生成されたインポート・ルート・ディストリビューション」(または仮想回線のカスタム・ルート表に関連付けられた手動で作成されたインポート・ルート・ディストリビューション)から、「アタッチメント・タイプ仮想回線の照合」または「すべて一致」設定を持つすべてのルート・ディストリビューション文を削除します。
これらの要件を満たさないDRGでtransportOnlyモードを有効にしようとすると、調整する必要がある設定を説明する詳細なエラー・メッセージが表示されます。DRGに必要な変更を行うと、仮想回線とそのアタッチメントをtransportOnlyモードに設定できるようになります。transportOnlyモード・フラグを設定すると、OracleはDRGのルート表に次の動作を強制し、ルート・ディストリビューションをインポートします。
- 仮想回線アタッチメントのルート表は、関連付けられた各ループバック・アタッチメントに対する単一のルートのみを許可し、他のルートは許可しません。
- 仮想回線アタッチメントのルート表に静的ルートを含めることはできません。
- 仮想回線アタッチメントに関連付けられたルート表のインポート・ルート・ディストリビューションは、ループバックDRGアタッチメントからのみルートをインポートできます。
- DRGのどのアタッチメントも、ループバック・アタッチメント以外の仮想回線アタッチメントからルートをインポートできません。つまり、他のアタッチメントのインポート・ルート・ディストリビューションでは、汎用の「すべて一致」または「アタッチメント・タイプの照合- 仮想回線」設定を使用できません。
このDRGのインポート・ルート・ディストリビューションへの変更または静的ルート・ルールへの変更は、必要なルーティング動作を強制するために検証されます。
MACsec暗号化
FastConnectは、MACsec (IEEE標準802.1AE)を使用してレイヤー2上のネットワーク間接続を保護するように構成できます。MACsecを有効にするには、高度な暗号化標準(AES)暗号化アルゴリズムを選択します。2つの接続されたネットワークは、セキュリティ・キーを交換して検証してから、セキュアな双方向リンクを確立します。Oracle Cloud Infrastructure Vaultサービスでは、実際の暗号化キーがセキュアに格納されます。
MACsecの使用には、次の要件があります:
- 顧客構内機器(CPE)デバイスでもMACsecがサポートされている必要があります。
- 単一のクロスコネクトまたはクロスコネクト・グループに対して選択したFastConnectポート速度は、10Gbps以上である必要があります。
- 既存のクロスコネクトまたはクロスコネクト・グループのすべてがMACsecをサポートできるわけではありません。既存のクロスコネクトまたはクロスコネクト・グループをアップグレードするために、クロスコネクトまたはクロスコネクト・グループの詳細ページには、「使用可能」または「使用不可」のいずれかの設定を含む「MACsec暗号化」フィールドがあります。接続は、MACsecの使用に対応している必要があります。クロスコネクトまたはクロスコネクト・グループがMACsecの使用に対応していない場合は、MACsecを構成する前に再プロビジョニングする必要があります。
- すべてのサードパーティ・プロバイダが、提供している回線のタイプでMACsecをサポートできるわけではありません。プロバイダに問い合せて、購入する接続のタイプがMACsecをサポートしていることを確認してください。
FastConnectとMACsecは、ボールト・サービスと統合されます。MACsecを使用してFastConnectを完全に構成するステップの概要を次に示します。
- Vaultの作成
- ボールトにマスター暗号化キーを作成します。
- 2つのシークレットを作成して、ボールト内の接続アソシエーション・キー(CAK)および接続アソシエーション・キー名(CKN)を表します。CAKおよびCKNは、長さが32–64文字の16進文字列である必要があります。
- FastConnect回線用に作成されたCKNおよびCAKシークレットを使用して、サードパーティ・プロバイダまたはコロケーション・クロスコネクトでMACsecを構成します。
- 顧客構内機器(CPE)デバイスの構成時に使用する元のCAKおよびCKNキーをオンプレミス・ネットワーク管理者に提供します。
- サードパーティ・プロバイダまたはコロケーション仮想回線のクロスコネクトをアクティブ化します。
既存のFastConnectクロスコネクトにMACsec暗号化を追加する場合、暗号化設定を変更するには、BGPセッションを再起動してBGPトラフィックを一時停止する必要があることに注意してください。
MACsecパラメータ
CPEでMACsecを構成する場合、様々な必須パラメータの表を参照してください。
| パラメータ | 使用可能な値 | 説明 |
|---|---|---|
| CAK | 32-64個の16進文字 | 最小32個の16進文字(0-9、A-F)。 |
| 暗号スイート |
aes128-gcm-xpn aes256-gcm-xpn |
OCIで構成された暗号スイートと一致するようにCPEを構成します。 |
| CKN | 32-64個の16進文字 | 最小32個の16進文字(0-9、A-F)。 |
| Confidentiality Offset | 0 | OCI側は常に0です。つまり、フレーム全体が暗号化されます。お客様のCPE構成の一部として必要な場合は、OCI側と一致してください。 |
| Interface |
単一の物理インタフェース リンク・アグリゲーション・グループ(LAG) |
FastConnectのMACsecは、単一のFastConnect接続またはLAGでのMACsecの構成をサポートします。CPEでのこの構成オプションと一致します。 |
| Key-server | 1以降 | CPEで0より大きい任意の値を使用します。OCI FastConnectエッジ・デバイスは常に0を使用します。 |
| MKA Include SCI | SCIを含める | SCI(セキュア・チャネル識別子)タグを含めるようにCPEを構成します。OCI側で"Include SCI"タグを構成します。 |
| MKA Policy Option |
must-secure |
これには、MACsec対応のネットワーク・セグメントで送信されるすべてのトラフィックがセキュアであることが必要です(コンソールの「Fail Close」オプション)。CPEでのこの構成オプションと一致します。should-secureオプション(コンソールの「Fail Open」オプション)は使用できますが、Oracleではお薦めしません。 |
| SAK Rekey time | 3600秒(1時間) | CPE構成は、1時間のOCI SAKキー更新時間と一致する必要があります。 |
MACsecヒットレス・キー・ロールオーバー
キーをローテーションする準備ができたら、FastConnectのMACsecでヒットレス・キー・ロールオーバーがサポートされます。キーのローテーション時に通信が失われないように、常にCKNとCAKの両方を同時に更新してください。最初にFastConnectリンクのOCI側でCKNとCAKのペアを変更してから、CPEを更新します。
説明されている順序で次のタスクを実行します。順序に従わずにこれらのステップを実行すると、通信が一時的に中断する可能性があります。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「Vault」の順にクリックします。
- 作業権限を持つコンパートメントを(ページの左側で)選択します。ページが更新されて、そのコンパートメントのリソースのみが表示されます。使用するコンパートメントが不明な場合は、管理者に問い合せてください。詳細は、アクセス制御を参照してください。
- CKNおよびCAKシークレットを含むボールトの名前をクリックします。
- 「リソース」で、「シークレット」をクリックします。
- CKNを表すシークレットの名前をクリックします。
- 「シークレット・バージョンの作成」をクリックします。
- 「シークレット・コンテンツ」で、CKNの新しい値を入力します。
- 「シークレット・バージョンの作成」をクリックします。
これらのステップを繰り返して、CAKシークレットの値も変更します。
ヒットレス・キー・ロールオーバーを実行する場合は、常にCKNとCAKの両方を更新してください。
- ナビゲーション・メニューを開き、「ネットワーク」をクリックします。「顧客接続性」で、FastConnectをクリックします。
- タスク1で変更したボールト・シークレットを使用するFastConnectの名前をクリックします。FastConnectを表すクロスコネクトが表示されます。
- 「編集」をクリックします。
- 「接続アソシエーション・キー名(CKN)」で、「Vaultで現在のバージョンを使用: <number>」を選択します。ここで、<number>はVault内のCKNシークレットの最新シークレット・バージョンと一致します。
- 「接続アソシエーション・キー(CAK)」で、「Vaultで現在のバージョンを使用: <number>」を選択します。ここで、<number>はVault内のCAKシークレットの最新シークレット・バージョンと一致します。
- CKNとCAKの両方のバージョンを更新したら、「変更の保存」をクリックします。
- 変更を確認する新しいポップアップが表示されます。「確認」をクリックします。
クロスコネクトが新しいCKNおよびCAKの値を使用するように更新した後、セッションが中断する前に、CPEでCKNおよびCAKを更新する1時間のキー更新期間があります。
クロスコネクトが新しいCKNおよびCAKの値を使用するように更新した後、セッションが中断する前に、CPEでCKNおよびCAKを更新する1時間のキー更新期間があります。使用しているデバイスの適切なドキュメントを参照してください。