View a markdown version of this page

Sicurezza MAC in Direct Connect - AWS Direct Connect
Concetti di MACsecRotazione dei tasti MacSecConnessioni supportateService-Linked ruoliConsiderazioni chiave precondivise su MacSec CKN/CAK

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza MAC in Direct Connect

MAC Security (MACsec) è uno standard IEEE che garantisce la riservatezza dei dati, l'integrità dei dati e l'autenticità dell'origine dei dati. MacSec fornisce la crittografia punto a punto di livello 2 per la connessione incrociata a AWS, operando tra due router Layer 3. Sebbene MacSec protegga la connessione tra il router e la posizione Direct Connect a livello 2, AWS fornisce una sicurezza aggiuntiva crittografando tutti i dati a livello fisico mentre fluiscono attraverso la rete tra Direct Connect sedi e regioni. AWS Questo crea un approccio di sicurezza a più livelli in cui il traffico è protetto sia durante l'ingresso iniziale che durante il transito attraverso AWS la rete. AWS

Nel diagramma seguente, la Direct Connect connessione incrociata deve essere collegata a un' MACsec-capableinterfaccia sul dispositivo periferico del cliente. MacSec over Direct Connect fornisce la crittografia di livello 2 per il traffico da punto a punto tra il dispositivo perimetrale Direct Connect e il dispositivo perimetrale del cliente. Questa crittografia avviene dopo lo scambio e la verifica delle chiavi di sicurezza tra le interfacce a entrambe le estremità della connessione incrociata.

Nota

MacSec offre sicurezza point-to-point sui collegamenti Ethernet; pertanto non fornisce la crittografia end-to-end su più segmenti Ethernet sequenziali o altri segmenti di rete.

Panoramica di MACsec

Concetti di MACsec

Di seguito sono elencati i concetti fondamentali per :

  • MAC Security (MACsec): uno standard IEEE 802.1 di Livello 2 che garantisce la riservatezza, l'integrità e l'autenticità dell'origine dei dati. Per ulteriori informazioni sul protocollo, consulta 802.1AE: MAC Security (MacSec).

  • Secure Association Key (SAK): una chiave di sessione che stabilisce la connettività MacSec tra il router locale del cliente e la porta di connessione nella posizione Direct Connect. Il SAK non è precondiviso, ma deriva automaticamente dalla CKN/CAK coppia attraverso un processo di generazione di chiavi crittografiche. Questa derivazione avviene a entrambe le estremità della connessione dopo aver fornito e fornito la coppia. CKN/CAK Il SAK viene rigenerato periodicamente per motivi di sicurezza e ogni volta che viene stabilita una sessione MacSec.

  • Connectivity Association Key Name (CKN) e Connectivity Association Key (CAK): i valori di questa coppia vengono utilizzati per generare la chiave MacSec. I valori della coppia vengono generati, li si associa a una Direct Connect connessione e quindi li si fornisce sul dispositivo perimetrale alla fine della connessione. Direct Connect Direct Connect supporta solo la modalità CAK statica ma non la modalità CAK dinamica. Poiché è supportata solo la modalità CAK statica, si consiglia di seguire le proprie politiche di gestione delle chiavi per la generazione, la distribuzione e la rotazione delle chiavi.

  • Formato chiave: il formato chiave deve utilizzare caratteri esadecimali, lunghi esattamente 64 caratteri. Direct Connect supporta solo chiavi Advanced Encryption Standard (AES) a 256 bit per connessioni dedicate, che corrispondono a una stringa esadecimale di 64 caratteri.

  • Canale di distribuzione delle chiavi: per fornire una nuova CKN-CAK coppia AWS, usa la AWS Console o l'SDK di Direct Connect utilizzando. associate-mac-sec-key Ti consigliamo di utilizzare solo TLS 1.3 e di applicare un algoritmo di scambio di chiavi post-quantistico come ML-KEM (Module-Lattice-BasedKey Encapsulation Mechanism) quando associ una nuova coppia alla tua connessione dedicata. CKN-CAK Per ulteriori informazioni, consulta le guide AWS SDK e CLI. Quando usi la AWS console, utilizza un browser Web che supporti ML-KEM e verifichi la sicurezza della connessione.

  • Modalità di crittografia: Direct Connect supporta due modalità di crittografia MacSec:

    • must_encrypt — In questa modalità, la connessione richiede la crittografia MacSec per tutto il traffico. Se la negoziazione MacSec fallisce o non è possibile stabilire la crittografia, la connessione non trasmetterà alcun traffico. Questa modalità offre la massima garanzia di sicurezza, ma può influire sulla disponibilità in caso di problemi MACsec-related .

    • should_encrypt — In questa modalità, la connessione tenta di stabilire la crittografia MacSec, ma ricorre alla comunicazione non crittografata se la negoziazione MacSec fallisce. Questa modalità offre maggiore flessibilità e maggiore disponibilità, ma può consentire il traffico non crittografato in determinati scenari di errore.

    La modalità di crittografia può essere impostata durante la configurazione della connessione e può essere modificata in un secondo momento. Per impostazione predefinita, MACsec-enabled le nuove connessioni sono impostate sulla modalità «should_encrypt» per prevenire potenziali problemi di connettività durante la configurazione iniziale.

Rotazione dei tasti MacSec

  • CNN/CAK rotazione (manuale)

    Direct Connect MacSec supporta portachiavi MacSec con capacità di memorizzare fino a tre coppie. CKN/CAK Ciò consente di ruotare manualmente queste chiavi a lungo termine senza interrompere la connessione. Quando associ una nuova CKN/CAK coppia utilizzando il associate-mac-sec-key comando, devi configurare la stessa coppia sul tuo dispositivo. Il dispositivo Direct Connect tenta di utilizzare la chiave aggiunta più di recente. Se tale chiave non corrisponde alla chiave del dispositivo, torna alla chiave funzionante precedente, garantendo la stabilità della connessione durante la rotazione.

    Per informazioni sull'utilizzoassociate-mac-sec-key, consulta associate-mac-sec-key.

  • Rotazione (automatica) di Secure Association Key (SAK)

    Il SAK, che deriva dalla CKN/CAK coppia attiva, subisce una rotazione automatica in base a quanto segue:

    • intervalli di tempo

    • volume di traffico crittografato

    • creazione di sessioni MacSec

    Questa rotazione viene gestita automaticamente dal protocollo, avviene in modo trasparente senza interrompere la connessione e non richiede alcun intervento manuale. Il SAK non viene mai archiviato in modo persistente e viene rigenerato attraverso un processo di derivazione delle chiavi sicuro che segue lo standard IEEE 802.1X.

Connessioni supportate

MacSec è disponibile su connessioni Direct Connect dedicate e gruppi di aggregazione di link:

Nota

I partner che utilizzano dispositivi supportati possono utilizzare MacSec per crittografare la connessione Layer 2 tra il dispositivo di rete perimetrale e il dispositivo Direct Connect. I partner che abilitano la funzionalità possono crittografare tutto il traffico che attraversa il collegamento protetto. La crittografia MacSec opera tra i due dispositivi specifici su Layer 2 e non è supportata sulle connessioni ospitate.

Per informazioni su come ordinare connessioni che supportano MACsec, consulta AWS Direct Connect.

Connessioni dedicate

Quanto segue aiuta a familiarizzare con MacSec su connessioni Direct Connect dedicate. Non sono previsti costi aggiuntivi per l'utilizzo di MacSec. I passaggi per configurare MacSec su una connessione dedicata sono disponibili in. Inizia con MACsec una connessione dedicata

Le operazioni di interconnessione dei partner seguono le stesse procedure delle connessioni dedicate. Quando esegui comandi CLI o SDK per le interconnessioni dei partner, le risposte MACsec-related includeranno informazioni laddove applicabile.

Prerequisiti MacSec per connessioni dedicate

Tieni presente i seguenti requisiti per MacSec su connessioni dedicate:

  • MacSec è supportato su connessioni Direct Connect dedicate da 10 Gbps, 100 Gbps e 400 Gbps in punti di presenza selezionati. Per queste connessioni, sono supportate le seguenti suite di crittografia MacSec:

    • Per connessioni a 10 Gbps, e. GCM-AES-256 GCM-AES-XPN-256

    • Per connessioni a 100 Gbps e 400 Gbps,. GCM-AES-XPN-256

  • Sono supportate solo chiavi MacSec a 256 bit.

  • La numerazione estesa dei pacchetti (XPN) è richiesta per le connessioni da 100 Gbps e 400 Gbps. Per le connessioni a 10 Gbps, Direct Connect supporta siaGCM-AES-256 . GCM-AES-XPN-256 High-speed le connessioni, come le connessioni dedicate da 100 Gbps e 400 Gbps, possono esaurire rapidamente lo spazio di numerazione dei pacchetti originale a 32 bit di MacSec, il che richiederebbe la rotazione delle chiavi di crittografia ogni pochi minuti per stabilire una nuova Connectivity Association. Per evitare questa situazione, l'AEbw-2013 emendamento IEEE Std 802.1 ha introdotto la numerazione estesa dei pacchetti, aumentando lo spazio di numerazione a 64 bit e semplificando il requisito di tempestività per la rotazione delle chiavi.

  • Il Secure Channel Identifier (SCI) è obbligatorio e deve essere attivato. Questa impostazione non può essere modificata.

  • Il tag IEEE 802.1Q (Dot1q/VLAN) offset/dot1q -in-clear non è supportato per lo spostamento di un tag VLAN all'esterno di un payload crittografato.

Inoltre, è necessario completare le seguenti attività prima di configurare MacSec su una connessione dedicata.

  • Crea una CKN/CAK coppia per la chiave MacSec.

    È possibile creare la coppia utilizzando uno strumento standard aperto. L'AMI specificato nel modello deve soddisfare i requisiti in Fase 4: configurazione del router on-premise.

  • È necessario disporre di un dispositivo all'estremità della connessione che supporti MACsec.

  • Il Secure Channel Identifier (SCI) deve essere attivato.

  • Sono supportate solo chiavi MacSec a 256 bit, che forniscono la più recente protezione avanzata dei dati.

LAG

I seguenti requisiti consentono di acquisire familiarità con MacSec for Direct Connect Link Aggregation Groups (LAG):

  • I LAG devono essere composti da connessioni MACsec-capable dedicate, supportano la crittografia MacSec.

  • Tutte le connessioni all'interno di un LAG devono avere la stessa larghezza di banda e supportare MacSec

  • La configurazione MacSec si applica in modo uniforme a tutte le connessioni del LAG

  • L'attivazione della creazione di LAG e di MacSec può essere eseguita contemporaneamente

  • È possibile utilizzare una sola chiave MacSec su tutti i collegamenti LAG in qualsiasi momento. La capacità di supportare più chiavi MacSec serve solo a scopi di rotazione dei tasti.

Interconnessioni tra partner

L'account partner proprietario dell'interconnessione può utilizzare MacSec su quella connessione fisica o LAG. Le operazioni sono le stesse delle connessioni dedicate, tuttavia vengono eseguite utilizzando le chiamate specifiche del partner. API/SDK

Service-Linked ruoli

Direct Connect utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. Direct Connect Service-linked i ruoli sono predefiniti Direct Connect e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto. Un ruolo collegato al servizio semplifica la configurazione Direct Connect perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Direct Connect definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. Direct Connect Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Direct Connect.

Considerazioni chiave precondivise su MacSec CKN/CAK

AWS Direct Connect utilizza CMK AWS gestiti per le chiavi già condivise associate a connessioni o LAG. Secrets Manager archivia le coppie CKN e CAK precondivise come un segreto che viene crittografato dalla chiave principale di Secrets Manager. Per ulteriori informazioni, consulta CMK gestiti da AWS nella Guida per gli sviluppatori di AWS Key Management Service .

La chiave memorizzata è di sola lettura in base alla progettazione, ma è possibile pianificare un'eliminazione da sette a trenta giorni utilizzando la console o l'API AWS Secrets Manager. Non è possibile leggere il CKN mentre si pianifica un'eliminazione, e ciò potrebbe influire sulla connettività di rete. In tale eventualità, applichiamo le seguenti regole:

  • Se la connessione è in sospeso, dissociamo il CKN dalla connessione.

  • Se la connessione è disponibile, informiamo il proprietario della connessione tramite e-mail. Se non intraprendi alcuna azione entro 30 giorni, procederemo a disassociare il CKN dalla tua connessione.

Quando disassociamo l'ultimo CKN dalla tua connessione e la modalità di crittografia della connessione è impostata su «must encrypt», impostiamo la modalità su «should_encrypt» per prevenire la perdita improvvisa di pacchetti.