Laboratório Técnico: Configure encryption over ExpressRoute
Questões
Questão 1 — Múltipla Escolha
Uma organização precisa garantir confidencialidade fim a fim dos dados que trafegam sobre um circuito ExpressRoute Private Peering. O time de segurança exige que o tráfego seja criptografado mesmo que o provedor de conectividade seja comprometido.
Qual abordagem atende a esse requisito?
A) Habilitar o MACsec entre o roteador on-premises e o roteador de borda do provedor, pois isso criptografa o enlace físico entre os dois equipamentos.
B) Configurar um túnel VPN Site-to-Site usando o Azure VPN Gateway sobre o circuito ExpressRoute Private Peering, criando uma camada IPsec sobre a conexão privada.
C) Ativar o ExpressRoute Global Reach para interconectar os sites on-premises, pois essa funcionalidade adiciona criptografia nativa entre os circuitos.
D) Utilizar o Microsoft Peering em vez do Private Peering, pois o Microsoft Peering aplica TLS automaticamente ao tráfego entre a rede on-premises e os serviços Azure.
Questão 2 — Cenário Técnico
Um engenheiro de rede está configurando MACsec em um circuito ExpressRoute e precisa definir os parâmetros de chave. Ele recebe o seguinte fragmento de configuração já aplicado no lado da Microsoft:
MACsec CKN : 0x3031...
MACsec CAK : ********
Cipher Suite: GCM-AES-128
Ao tentar estabelecer a sessão MACsec, o enlace permanece inativo. O engenheiro verifica que o equipamento on-premises está configurado com:
cipher-suite: GCM-AES-256
ckn: 0x3031...
Qual é a causa mais provável da falha?
A) O CKN está incorreto, pois valores iniciados com 0x não são aceitos na extremidade on-premises.
B) O cipher suite está incompatível entre os dois lados do enlace, pois MACsec exige negociação simétrica do algoritmo de criptografia.
C) O MACsec não é suportado em circuitos ExpressRoute quando configurado pelo portal do Azure; é necessário usar a API REST diretamente.
D) A CAK não foi informada na configuração on-premises, e isso impede qualquer verificação do cipher suite.
Questão 3 — Verdadeiro ou Falso
Ao implementar IPsec sobre ExpressRoute usando o Azure VPN Gateway em modo active-active, cada instância do gateway estabelece túneis IPsec independentes sobre o mesmo circuito ExpressRoute, e o tráfego pode ser distribuído entre esses túneis para aumentar a largura de banda efetiva criptografada disponível.
A afirmação é verdadeira ou falsa?
Questão 4 — Cenário Técnico
Uma empresa deseja implementar IPsec sobre ExpressRoute Private Peering. O arquiteto propõe a topologia abaixo:
On-premises VPN Device
|
| (ExpressRoute Private Peering)
|
Virtual Network Gateway
(tipo: VPN, SKU: VpnGw1)
|
Azure Virtual Network
Durante a revisão, o time de segurança questiona se o SKU escolhido suporta o cenário. Qual afirmação descreve corretamente a limitação relevante nessa topologia?
A) O SKU VpnGw1 não suporta conexões do tipo ExpressRoute; é necessário um gateway do tipo ExpressRoute para que o túnel IPsec seja estabelecido sobre o circuito.
B) O SKU VpnGw1 suporta IPsec sobre ExpressRoute, mas não suporta o modo active-active, o que limita a resiliência da solução em comparação com SKUs superiores.
C) O VPN Gateway não pode coexistir na mesma Virtual Network que um ExpressRoute Gateway; as duas conexões exigem VNets separadas conectadas por peering.
D) O IPsec sobre ExpressRoute Private Peering exige obrigatoriamente o uso de um SKU de VPN Gateway que suporte BGP, e o VpnGw1 não tem suporte a BGP.
Questão 5 — Múltipla Escolha
Ao comparar MACsec e IPsec no contexto de criptografia sobre ExpressRoute, qual afirmação representa corretamente a diferença funcional entre as duas abordagens?
A) MACsec opera na camada de rede (Layer 3) e protege o tráfego entre endereços IP, enquanto IPsec opera na camada de enlace (Layer 2) e protege quadros Ethernet.
B) MACsec protege o enlace entre equipamentos diretamente conectados na camada 2, enquanto IPsec cria um túnel criptografado de ponta a ponta na camada 3, podendo atravessar múltiplos saltos de rede.
C) MACsec e IPsec são mutuamente exclusivos no ExpressRoute; habilitar um desabilita automaticamente o outro no circuito.
D) IPsec sobre ExpressRoute é configurado exclusivamente no lado Microsoft e propagado automaticamente para o dispositivo on-premises via BGP, enquanto MACsec exige configuração manual em ambos os lados.
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
O requisito central é criptografia fim a fim, incluindo proteção contra comprometimento do provedor. O MACsec (alternativa A) criptografa apenas o enlace físico entre o roteador on-premises e o roteador de borda do provedor; o tráfego entre o provedor e a Microsoft trafega sem proteção adicional, portanto não atende ao requisito. A solução correta é configurar um túnel IPsec/IKE sobre o Private Peering, usando o Azure VPN Gateway como terminador do túnel na ponta Azure. Dessa forma, o payload IP é criptografado antes de entrar no circuito ExpressRoute, e a criptografia persiste independentemente de qualquer parte da infraestrutura intermediária. O ExpressRoute Global Reach (C) conecta circuitos entre si, mas não adiciona criptografia. O Microsoft Peering (D) é usado para acessar serviços Microsoft públicos e não aplica criptografia de camada de transporte automaticamente ao tráfego do cliente.
Gabarito — Questão 2
Resposta: B
MACsec exige que ambos os lados do enlace utilizem o mesmo cipher suite. O lado Microsoft está configurado com GCM-AES-128, enquanto o dispositivo on-premises está com GCM-AES-256. Essa incompatibilidade impede o estabelecimento da sessão MACsec, pois não há negociação automática de algoritmo — o match deve ser explícito. O CKN no formato 0x (A) é a representação hexadecimal válida e aceita em ambos os lados. O portal do Azure suporta configuração de MACsec normalmente (C). A ausência da CAK visível na configuração on-premises (D) não é o problema descrito; a CAK pode estar configurada corretamente sem aparecer no fragmento exibido, e o cipher suite divergente é uma causa determinística e verificável da falha.
Gabarito — Questão 3
Resposta: Falso
A afirmação é falsa em sua parte conclusiva. Em modo active-active, o Azure VPN Gateway cria de fato duas instâncias, e cada uma estabelece seus próprios túneis IPsec. Contudo, os túneis IPsec individuais não fazem agregação de banda: cada fluxo TCP é encaminhado por um único túnel. A distribuição de tráfego ocorre por fluxo (ECMP), não por pacote, e a largura de banda efetiva por fluxo não excede a capacidade de um único túnel. O benefício real do modo active-active sobre ExpressRoute é resiliência e disponibilidade, não aumento de throughput agregado por sessão. Confundir distribuição de fluxos com aumento de banda disponível é um equívoco técnico comum nesse cenário.
Gabarito — Questão 4
Resposta: B
O SKU VpnGw1 suporta IPsec sobre ExpressRoute Private Peering, portanto a configuração é tecnicamente válida. A limitação real é que o VpnGw1 não suporta o modo active-active, o que reduz a resiliência da solução: se a instância do gateway falhar, há interrupção até que a instância de standby assuma. SKUs superiores (VpnGw2 e acima) suportam active-active, permitindo failover sem interrupção. A alternativa A está errada porque o VPN Gateway é exatamente o componente usado para IPsec sobre ExpressRoute; não é necessário um ExpressRoute Gateway para esse fim. A alternativa C está errada porque VPN Gateway e ExpressRoute Gateway podem coexistir na mesma VNet — essa é uma topologia comum chamada de conexões coexistentes. A alternativa D está errada porque o VpnGw1 suporta BGP desde sua versão inicial.
Gabarito — Questão 5
Resposta: B
A distinção fundamental é a camada de operação. MACsec (IEEE 802.1AE) atua na camada 2 e protege quadros Ethernet entre dois equipamentos diretamente conectados; não atravessa roteadores ou múltiplos saltos. IPsec atua na camada 3 e cria um túnel criptografado entre endpoints IP, podendo atravessar qualquer número de saltos intermediários. No contexto ExpressRoute, isso define onde cada tecnologia é aplicável: MACsec é adequado para o enlace entre o equipamento do cliente e o edge do provedor, enquanto IPsec é adequado para proteção fim a fim entre o ambiente on-premises e a VNet Azure. A alternativa A inverte as camadas de operação das duas tecnologias. A alternativa C está incorreta; as duas abordagens podem ser combinadas, operando em camadas diferentes. A alternativa D descreve um comportamento que não existe: IPsec sobre ExpressRoute requer configuração explícita em ambas as extremidades.