混合雲連線安全性

混合雲連線安全性簡介

將地端資料中心連接到 Google Cloud 是資料傳輸的關鍵路徑。如果這條連線遭到破壞，整個混合雲基礎架構都會面臨風險。作為一名專業雲端安全工程師 (PSE)，您必須確保混合雲鏈路經過加密、驗證，並且能夠抵抗竊聽和路由攻擊。

混合雲連線的兩大主要方式為 Cloud VPN 和 Cloud Interconnect。

白話文解釋（Plain English Explanation）

類比一：Cloud Interconnect vs HA VPN 就像「銀行金庫專屬地道」對上「裝甲運鈔車」

Dedicated Interconnect 就像一條從你家銀行金庫（地端資料中心）直接挖到聯準會（Google Cloud）的私人地下通道。沒有別人會走這條地道，但它畢竟還是一條通道，理論上一個有心的施工人員可以鑿牆竊聽。這就是為什麼高合規行業會在地道內部加上 MACsec，相當於在乙太網路層（Layer 2）貼上防拆膠膜。相對地，HA VPN 就像在公路上行駛的裝甲運鈔車：所有人都看得到車子，但車內貨物以 IPsec 加密、用 IKEv2 交換金鑰封死，而且為了 99.99% SLA 你一定派出兩輛車（兩條隧道）。

類比二：BGP MD5 就像「邊境的祕密暗號」

Cloud Router 透過 BGP 和你的地端路由器交換路由表，相當於互相宣告「這些子網是我的，請把這些流量送來給我」。如果沒有身分驗證，任何夠大聲的路由器都能跳出來說「10.0.0.0/8 全部送給我」進而劫持流量。BGP MD5 身分驗證就像一句祕密暗號：每一則 BGP 訊息都附上共享密碼的雜湊簽名，暗號對不上 Cloud Router 就直接關門。請注意它只保護控制平面（路由宣告本身），不會加密資料流量。

類比三：Partner Interconnect 就像「向搬家公司租卡車」

Dedicated Interconnect 是你自己擁有卡車；Partner Interconnect（Equinix、Megaport、AT&T 等）則是向第三方租車兼司機。電信業者在把第 2 層框架交給 Google 邊緣時，技術上是看得到內容的。緩解方式就是「永遠不要相信卡車」——把貨物再裝進一個上鎖的貨櫃，也就是在 Partner Interconnect 之上再疊一層 HA VPN（IPsec）。Private Google Access 則確保即便透過這條混合鏈路存取 Google API，流量仍走在私有 IP（199.36.153.8/30），而不會洩漏到公網。

使用 IPsec 和 IKEv2 保護 HA VPN

高可用性 (HA) VPN 是透過公共網際網路建立安全、加密隧道的標準方式。

安全特性：

• IPsec (網際網路安全協定)： 提供加密、資料完整性和身份驗證。
• IKEv2 (網際網路金鑰交換第 2 版)： 首選的金鑰交換協定，比 IKEv1 更安全且更有效率。
• 預共用金鑰 (PSK)： 用於對等閘道與 Cloud VPN 閘道之間的相互身份驗證。
• 流量選擇器 (Traffic Selectors)： 定義允許通過隧道的 CIDR 範圍。在 HA VPN 中，通常設定為 0.0.0.0/0（代表任意對任意），路由則交由 BGP 處理。

Cloud Interconnect 安全性：MACsec (第 2 層)

專用連線 (Dedicated Interconnect) 提供連向 Google 網路的直接物理鏈路。預設情況下，這些流量是不加密的，因為它們是在私人電路上傳輸。然而，對於高合規要求的行業，MACsec 提供了第 2 層加密。

什麼是 MACsec？

• 鏈路層加密： 在乙太網路層加密地端路由器與 Google 邊緣路由器之間的所有流量。
• 完整性： 防止物理層的中間人攻擊和封包竄改。
• 預共用金鑰 (CAK)： MACsec 使用由 Cloud KMS 管理或存儲在 Secret Manager 中的連接關聯金鑰 (Connectivity Association Keys, CAK)。

BGP MD5 身份驗證與路由安全

混合雲連線依賴 邊界閘道協定 (BGP) 來交換路由。如果攻擊者能夠注入虛假路由（BGP 劫持），他們就能重新定向流量。

• MD5 身份驗證： 您在 Cloud Router 和地端路由器上同時設定一個共享金鑰（密碼）。每一條 BGP 訊息都會附帶該金鑰的雜湊簽名。
• 如果雜湊值不匹配，BGP 工作階段將被拒絕。

站點對站點 (Site-to-Site) VPN 架構

對於擁有多個分支辦公室的公司，站點對站點 VPN 允許各站點透過 Google Cloud 進行安全通訊。

• 星狀架構 (Hub-and-Spoke)： 將一個 VPC 作為「樞紐 (Hub)」。分支辦公室（支點，Spokes）透過 VPN 連接到樞紐。
• Network Connectivity Center (NCC)： Google 的一項服務，旨在簡化這類複雜的站點對站點拓撲管理。

透過 IPsec 加密專線流量

如果您需要在專用連線上進行第 3 層加密（可能是因為您的路由器不支援 MACsec），您可以執行 基於專線的 HA VPN (HA VPN over Interconnect)。

• 這兼具了專線的高速與 IPsec 的端到端加密。
• 架構： 專用連線作為 HA VPN 隧道的傳輸層。

監控連線健康狀況與延遲

安全性也包括可用性。對於任務關鍵型系統，鏈路「斷線」就是一種安全失敗。

• Cloud Monitoring： 監控 vpn_gateway/sent_bytes_count 和 interconnect/dropped_packets。
• BGP 狀態： 如果 BGP 工作階段從 ESTABLISHED 變更為其他任何狀態，應觸發告警。
• Network Intelligence Center： 使用 連線測試 (Connectivity Test) 工具驗證防火牆規則是否封鎖了混合雲流量。

管理 VPN 的金鑰與憑證

• PSK 輪替： 定期更改預共用金鑰。除非經過協調，否則這可能會導致短暫的停機。
• 基於憑證的身份驗證： 雖然 Cloud VPN 主要使用 PSK，但某些使用第三方網路虛擬設備 (NVA) 的特殊架構可能會使用由 憑證管理機構服務 (CAS) 管理的憑證。

夥伴連線 (Partner Interconnect) 的安全考量

在夥伴連線 (Partner Interconnect) 中，物理鏈路由第三方業者（如 Equinix 或 AT&T）管理。

• 風險： 合作夥伴技術上可以存取您的第 2 層框架。
• 緩解措施： 如果您不信任電信業者的物理安全性，請務必在夥伴連線上加掛 IPsec (VPN)。

備援與容錯移轉 (Failover) 安全設計

容錯移轉應是自動且安全的。

• 主動-主動 (Active-Active)： 同時使用兩個隧道。如果一個失效，流量會轉向另一個。
• 主動-被動 (Active-Passive)： 一個隧道作為備份（透過 BGP MED 或 AS-PATH 前置增加來降低優先順序）。
• 安全陷阱： 確保主鏈路和備援鏈路具備完全相同的防火牆規則。您絕對不希望在容錯移轉後，流量流向一個安全性「大開」的備援鏈路。

PSE 考試情境

情境 1：MACsec 需求

「某銀行要求其 10Gbps 專用連線上傳輸的所有資料都必須在物理層加密，以防止被竊聽。工程師應該如何設定？」 解答： 在專用連線上設定 MACsec。將 MACsec 金鑰存儲在 Cloud KMS 中，並確保地端路由器支援 802.1AE。

情境 2：防止 BGP 劫持

「安全稽核發現混合雲 BGP 工作階段容易受到偽造攻擊。如何在不增加加密開銷的情況下緩解此問題？」 解答： 在 Cloud Router 和地端對等節點上啟用 BGP MD5 身份驗證。這可以在不加密資料平面的情況下，驗證 BGP 控制平面的身份。

總結檢查表

• 區分 IPsec（第 3 層）與 MACsec（第 2 層）的差異。
• 列出達成 99.99% HA VPN SLA 的必要條件。
• 解釋 BGP MD5 如何保護路由傳輸。
• 描述在專線上執行 HA VPN 的好處。
• 識別與夥伴連線相關的風險。