Seguridad MAC en Direct Connect

A continuación se enumeran los conceptos clave sobre MACsec:

• Seguridad de MAC (MACsec): estándar IEEE 802.1 de capa 2 que proporciona confidencialidad, integridad y autenticidad del origen de los datos. Para obtener más información sobre el protocolo, consulte 802.1AE: seguridad de MAC (MACsec).

• Clave de asociación segura (SAK): una clave de sesión que establece la conectividad de MACsec entre el enrutador en las instalaciones del cliente y el puerto de conexión de la ubicación de Direct Connect. El SAK no se comparte previamente, sino que se deriva automáticamente del CKN/CAK par mediante un proceso de generación de claves criptográficas. Esta derivación se produce en ambos extremos de la conexión después de proporcionar y aprovisionar el par. CKN/CAK La SAK se regenera periódicamente por motivos de seguridad y siempre que se establezca una sesión de MACsec.

• Nombre de clave de asociación de conectividad (CKN) y clave de asociación de conectividad (CAK): los valores de este par se utilizan para generar la clave de MACsec. Genera los valores del par, los asocia a una Direct Connect conexión y, a continuación, los aprovisiona en el dispositivo perimetral al final de la Direct Connect conexión. Direct Connect es compatible con el modo CAK estático, pero no con el modo CAK dinámico. Como solo es compatible con el modo CAK estático, se recomienda seguir sus propias políticas de administración de claves para la generación, distribución y rotación de claves.

• Formato de clave: el formato de clave debe utilizar caracteres hexadecimales, con una longitud exacta de 64 caracteres. Direct Connect solo es compatible con claves de 256 bits del Estándar de cifrado avanzado (AES) para conexiones dedicadas, lo que corresponde a una cadena hexadecimal de 64 caracteres.

• Canal de distribución clave: para entregar un nuevo CKN-CAK par AWS, utilice la AWS consola o la CLI o el SDK de Direct Connect medianteassociate-mac-sec-key. Le recomendamos que utilice únicamente TLS 1.3 y aplique un algoritmo de intercambio de claves poscuántico, como ML-KEM el mecanismo de encapsulación de Module-Lattice-Based claves, al asociar un nuevo CKN-CAK par a su conexión dedicada. Para obtener más información, consulte las guías del AWS SDK y la CLI. Cuando utilice la AWS consola, utilice un navegador web que admita ML-KEM y revise la seguridad de la conexión.

• Modos de cifrado: Direct Connect es compatible con dos modos de cifrado de MACsec:

  • must_encrypt: la conexión requiere el cifrado de MACsec para todo el tráfico. Si la negociación de MACsec falla o no se puede establecer el cifrado, la conexión no transmitirá ningún tráfico. Este modo ofrece la máxima garantía de seguridad, pero puede afectar a la disponibilidad si se produce algún MACsec-related problema.

  • should_encrypt: la conexión intenta establecer el cifrado de MACsec, pero recurrirá a una comunicación no cifrada si la negociación MACsec falla. Este modo proporciona más flexibilidad y mayor disponibilidad, pero puede permitir el tráfico sin cifrar en determinadas situaciones de error.

  El modo de cifrado se puede configurar durante la configuración de la conexión y se puede modificar más adelante. De forma predeterminada, MACsec-enabled las conexiones nuevas se configuran en el modo «should_encrypt» para evitar posibles problemas de conectividad durante la configuración inicial.

• CNN/CAK rotación (manual)

  Direct Connect MACsec admite llaveros MACsec con capacidad para almacenar hasta tres pares. CKN/CAK Permite girar manualmente estas claves de larga duración sin interrumpir la conexión. Al asociar un nuevo CKN/CAK par mediante el associate-mac-sec-key comando, debe configurar el mismo par en el dispositivo. El dispositivo de Direct Connect intenta usar la más reciente clave agregada. Si esa clave no coincide con la del dispositivo, vuelve a la clave de trabajo anterior, lo que garantiza la estabilidad de la conexión durante la rotación.

  Para obtener información sobre el uso de associate-mac-sec-key, consulte asociar-clave-de-mac-sec.

• Rotación automática de la clave de asociación segura (SAK)

  El SAK, que se deriva del CKN/CAK par activo, se somete a una rotación automática en función de lo siguiente:

  • intervalos de tiempo

  • volumen de tráfico cifrado

  • Establecimiento de una sesión de MACsec

  El protocolo gestiona automáticamente esta rotación. Se produce de forma transparente sin interrumpir la conexión y no requiere ninguna intervención manual. La SAK nunca se almacena de forma persistente y se regenera mediante un proceso seguro de derivación de claves que sigue el estándar IEEE 802.1X.

• MACsec es compatible con conexiones de Direct Connect dedicadas de 10 Gbps, 100 Gbps y 400 Gbps en puntos de presencia seleccionados. Los siguientes conjuntos de cifrado MACsec son compatibles con estas conexiones:

  • Para conexiones de 10 Gbps, y. GCM-AES-256 GCM-AES-XPN-256

  • Para conexiones de 100 Gbps y 400 Gbps,. GCM-AES-XPN-256

• Solo se admiten claves MACsec de 256 bits.

• Se requiere la numeración extendida de paquetes (XPN) para las conexiones de 100 Gbps y 400 Gbps. Para conexiones de 10 Gbps, Direct Connect admite tanto comoGCM-AES-256 . GCM-AES-XPN-256 High-speed las conexiones, como las conexiones dedicadas de 100 Gbps y 400 Gbps, pueden agotar rápidamente el espacio original de numeración de paquetes de 32 bits de MACSec, lo que requeriría rotar las claves de cifrado cada pocos minutos para establecer una nueva asociación de conectividad. Para evitar esta situación, la AEbw-2013 modificación de la norma IEEE 802.1 introdujo una numeración de paquetes ampliada, aumentando el espacio de numeración a 64 bits y reduciendo el requisito de puntualidad para la rotación de claves.

• El identificador de canal seguro (SCI) es necesario y debe estar activado. No se puede ajustar esta configuración.

• La etiqueta offset/dot1q -in-clear del IEEE 802.1Q (Dot1q/VLAN) no se admite para mover una etiqueta de VLAN fuera de una carga útil cifrada.

• Cree un CKN/CAK par para la clave MACsec.

  Puede crear el par con una herramienta estándar abierta. El par debe cumplir los requisitos especificados de Paso 4: Configurar su enrutador en las instalaciones.

• Asegúrese de que cuenta con un dispositivo en su extremo de conexión que sea compatible con MACsec.

• El identificador de canal seguro (SCI) debe estar activado.

• Solo se admiten claves MACsec de 256 bits, lo que proporciona la protección de datos más avanzada.

• Los LAG deben estar compuestos por conexiones MACsec-capable dedicadas que admitan el cifrado MACSec

• Todas las conexiones de un LAG deben tener el mismo ancho de banda y ser compatibles con MACsec

• La configuración MACsec se aplica de manera uniforme en todas las conexiones del LAG

• La habilitación de la creación de LAG y la MACsec se pueden realizar simultáneamente

• Solo se puede utilizar una clave de MACsec en todos los enlaces del LAG en cualquier momento. La capacidad de admitir varias claves de MACsec es únicamente para fines de rotación de claves.

• Si la conexión se encuentra en estado pendiente, desasociamos el CKN de la conexión.

• Si la conexión se encuentra en un estado disponible, se lo notificamos al propietario de la conexión por correo electrónico. Si no realiza ninguna acción en un plazo de 30 días, desasociaremos el CKN de su conexión.