View a markdown version of this page

MAC-Sicherheit in Direct Connect - AWS Direct Connect
MACsec-KonzepteMACsec-SchlüsselrotationUnterstützte VerbindungenService-Linked RollenWichtige Überlegungen, die im Vorfeld von MACSec veröffentlicht wurden CKN/CAK

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

MAC-Sicherheit in Direct Connect

MAC Security (MACsec) ist ein IEEE-Standard, der Datenvertraulichkeit, Datenintegrität und Authentizität der Datenherkunft gewährleistet. MACSec bietet Layer-2-Punkt-zu-Punkt-Verschlüsselung über die Querverbindung zwischen zwei AWS Layer-3-Routern. MACSec sichert zwar die Verbindung zwischen Ihrem Router und dem Direct Connect-Standort auf Layer 2, AWS bietet jedoch zusätzliche Sicherheit, indem es alle Daten auf der physischen Ebene verschlüsselt, während sie über das Netzwerk zwischen Direct Connect Standorten und Regionen fließen. AWS Dadurch entsteht ein mehrschichtiger Sicherheitsansatz, bei dem Ihr Datenverkehr sowohl beim ersten Eintritt in AWS das Netzwerk als auch bei der Übertragung durch das Netzwerk geschützt ist. AWS

In der folgenden Abbildung muss das Direct Connect Cross-Connect mit einer MACsec-capable Schnittstelle auf dem Edge-Gerät des Kunden verbunden werden. MACSec over Direct Connect bietet Layer-2-Verschlüsselung für Punkt-zu-Punkt-Verkehr zwischen dem Direct Connect-Edge-Gerät und dem Edge-Gerät des Kunden. Diese Verschlüsselung erfolgt, nachdem Sicherheitsschlüssel zwischen den Schnittstellen an beiden Enden der Cross-Connect-Verbindung ausgetauscht und verifiziert wurden.

Anmerkung

MACSec bietet Punkt-zu-Punkt-Sicherheit auf Ethernet-Verbindungen. Daher bietet es keine Ende-zu-Ende-Verschlüsselung für mehrere sequentielle Ethernet- oder andere Netzwerksegmente.

MACsec-Übersicht

MACsec-Konzepte

Die wichtigsten Komponenten für MACsec sind folgende:

  • MAC Security (MACsec) – Ein IEEE-802.1-Standard der Layer 2, der Datenvertraulichkeit, Datenintegrität und Authentizität der Datenherkunft gewährleistet. Weitere Informationen zum Protokoll finden Sie unter 802.1AE: MAC Security (MACsec).

  • Secure Association Key (SAK) — Ein Sitzungsschlüssel, der die MACSec-Konnektivität zwischen dem lokalen Kundenrouter und dem Verbindungsport am Direct Connect-Standort herstellt. Der SAK wird nicht vorab gemeinsam genutzt, sondern wird mithilfe eines kryptografischen Schlüsselgenerierungsprozesses automatisch aus dem CKN/CAK Paar abgeleitet. Diese Ableitung erfolgt an beiden Enden der Verbindung, nachdem Sie das Paar bereitgestellt und bereitgestellt haben. CKN/CAK Der SAK wird aus Sicherheitsgründen und immer dann, wenn eine MACSec-Sitzung eingerichtet wird, regelmäßig neu generiert.

  • Connectivity Association Key Name (CKN) und Connectivity Association Key (CAK) — Die Werte in diesem Paar werden zur Generierung des MACSec-Schlüssels verwendet. Sie generieren die Paarwerte, ordnen sie einer Direct Connect Verbindung zu und stellen sie dann am Ende der Verbindung auf Ihrem Edge-Gerät bereit. Direct Connect Direct Connect unterstützt nur den statischen CAK-Modus, nicht aber den dynamischen CAK-Modus. Da nur der statische CAK-Modus unterstützt wird, wird empfohlen, dass Sie Ihre eigenen Schlüsselverwaltungsrichtlinien für die Schlüsselgenerierung, -verteilung und -rotation befolgen.

  • Schlüsselformat — Das Schlüsselformat sollte Hexadezimalzeichen mit einer Länge von genau 64 Zeichen verwenden. Direct Connect unterstützt nur 256-Bit-Schlüssel des Advanced Encryption Standard (AES) für dedizierte Verbindungen, was einer 64-stelligen Hexadezimalzeichenfolge entspricht.

  • Wichtiger Vertriebskanal — Verwenden Sie die AWS Konsole oder die Direct Connect-CLI oder das SDK AWS, um ein neues CKN-CAK Paar bereitzustellenassociate-mac-sec-key. Wir empfehlen Ihnen, nur TLS 1.3 zu verwenden und einen Algorithmus für den Schlüsselaustausch nach dem Quantenaustausch wie ML-KEM (Module-Lattice-BasedKey Encapsulation Mechanism) zu erzwingen, wenn Sie Ihrer dedizierten Verbindung ein neues CKN-CAK Paar zuordnen. Weitere Informationen finden Sie in den AWS SDK- und CLI-Handbüchern. Verwenden Sie bei der Verwendung der AWS Konsole einen Webbrowser, der die Verbindungssicherheit unterstützt ML-KEM und überprüft.

  • Verschlüsselungsmodi — Direct Connect unterstützt zwei MACsec-Verschlüsselungsmodi:

    • must_encrypt — In diesem Modus erfordert die Verbindung eine MACSec-Verschlüsselung für den gesamten Datenverkehr. Wenn die MACSec-Aushandlung fehlschlägt oder die Verschlüsselung nicht hergestellt werden kann, überträgt die Verbindung keinen Verkehr. Dieser Modus bietet die höchste Sicherheitsgarantie, kann sich jedoch bei MACsec-related Problemen auf die Verfügbarkeit auswirken.

    • should_encrypt — In diesem Modus versucht die Verbindung, eine MACSec-Verschlüsselung herzustellen, greift aber auf unverschlüsselte Kommunikation zurück, falls die MACSec-Aushandlung fehlschlägt. Dieser Modus bietet mehr Flexibilität und höhere Verfügbarkeit, kann jedoch in bestimmten Ausfallszenarien unverschlüsselten Datenverkehr zulassen.

    Der Verschlüsselungsmodus kann während der Verbindungskonfiguration festgelegt und später geändert werden. Standardmäßig sind neue MACsec-enabled Verbindungen auf den Modus „should_encrypt“ eingestellt, um mögliche Verbindungsprobleme bei der Ersteinrichtung zu vermeiden.

MACsec-Schlüsselrotation

  • CNN/CAK Drehung (manuell)

    Direct Connect MACSec unterstützt MACsec-Schlüsselanhänger mit einer Kapazität für die Speicherung von bis zu drei Paaren. CKN/CAK Auf diese Weise können Sie diese langfristigen Schlüssel manuell rotieren, ohne dass die Verbindung unterbrochen wird. Wenn Sie mithilfe des associate-mac-sec-key Befehls ein neues CKN/CAK Paar zuordnen, müssen Sie dasselbe Paar auf Ihrem Gerät konfigurieren. Das Direct Connect-Gerät versucht, den zuletzt hinzugefügten Schlüssel zu verwenden. Wenn diese Taste nicht mit der Taste Ihres Geräts übereinstimmt, wird sie auf die vorherige funktionierende Taste zurückgesetzt, sodass die Verbindungsstabilität während der Rotation gewährleistet ist.

    Informationen zur Verwendung finden Sie unter associate-mac-sec-key associate-mac-sec-key.

  • Rotation des Secure Association Key (SAK) (automatisch)

    Das vom aktiven CKN/CAK Paar abgeleitete SAK wird auf der Grundlage der folgenden Kriterien automatisch rotiert:

    • Zeitintervalle

    • Volumen des verschlüsselten Datenverkehrs

    • Einrichtung einer MACSec-Sitzung

    Diese Rotation wird automatisch vom Protokoll durchgeführt, erfolgt transparent, ohne dass die Verbindung unterbrochen wird, und erfordert kein manuelles Eingreifen. Das SAK wird niemals dauerhaft gespeichert und wird durch einen sicheren Schlüsselableitungsprozess regeneriert, der dem IEEE 802.1X-Standard entspricht.

Unterstützte Verbindungen

MACSec ist auf dedizierten Direct Connect-Verbindungen und Link-Aggregationsgruppen verfügbar:

Unterstützte MACsec-Verbindungen
Anmerkung

Partner, die unterstützte Geräte verwenden, können MACSec verwenden, um die Layer-2-Verbindung zwischen ihrem Edge-Netzwerkgerät und dem Direct Connect-Gerät zu verschlüsseln. Partner, die diese Funktion aktivieren, können den gesamten Datenverkehr verschlüsseln, der über die gesicherte Verbindung fließt. Die MACSec-Verschlüsselung funktioniert zwischen den beiden spezifischen Geräten auf Layer 2 und wird auf gehosteten Verbindungen nicht unterstützt.

Informationen zum Bestellen von Verbindungen, die MACsec unterstützen, finden Sie unter AWS Direct Connect.

Dedizierte Verbindungen

Im Folgenden erfahren Sie, wie Sie sich mit MACSec auf Direct Connect dedizierten Verbindungen vertraut machen. Für die Nutzung von MACSec fallen keine zusätzlichen Gebühren an. Die Schritte zur Konfiguration von MACSec auf einer dedizierten Verbindung finden Sie unter. Beginnen Sie mit MACsec einer dedizierten Verbindung

Bei der Zusammenschaltung von Partnern werden dieselben Verfahren angewendet wie bei dedizierten Verbindungen. Wenn Sie CLI- oder SDK-Befehle für Partnerverbindungen ausführen, enthalten die Antworten gegebenenfalls MACsec-related Informationen.

MACSec-Voraussetzungen für dedizierte Verbindungen

Beachten Sie die folgenden Anforderungen für MACSec bei dedizierten Verbindungen:

  • MACSec wird auf dedizierten Direct Connect-Verbindungen mit 10 Gbit/s, 100 Gbit/s und 400 Gbit/s an ausgewählten Präsenzpunkten unterstützt. Für diese Verbindungen werden die folgenden MACSec-Verschlüsselungssammlungen unterstützt:

    • Für 10-Gbit/s-Verbindungen und. GCM-AES-256 GCM-AES-XPN-256

    • Für 100-Gbit/s- und 400-Gbit/s-Verbindungen,. GCM-AES-XPN-256

  • Es werden nur 256-Bit-MACSec-Schlüssel unterstützt.

  • Extended Packet Numbering (XPN) ist für Verbindungen mit 100 Gbit/s und 400 Gbit/s erforderlich. Für 10-Gbit/s-Verbindungen unterstützt Direct Connect sowohl als auchGCM-AES-256 . GCM-AES-XPN-256 High-speed Verbindungen, wie z. B. dedizierte Verbindungen mit 100 Gbit/s und 400 Gbit/s, können den ursprünglichen 32-Bit-Paketnummerierungsraum von MACSec schnell erschöpfen, sodass Sie Ihre Verschlüsselungsschlüssel alle paar Minuten wechseln müssten, um eine neue Connectivity Association einzurichten. Um diese Situation zu vermeiden, wurde mit der AEbw-2013 Änderung IEEE Std 802.1 eine erweiterte Paketnummerierung eingeführt, wodurch der Nummerierungsraum auf 64 Bit erhöht wurde, wodurch die Anforderungen an die Rechtzeitigkeit für die Schlüsselrotation verringert wurden.

  • Secure Channel Identifier (SCI) ist erforderlich und muss aktiviert sein. Diese Einstellung kann nicht angepasst werden.

  • Das IEEE 802.1Q (Dot1q/VLAN) -Tag offset/dot1q -in-clear wird nicht unterstützt, um ein VLAN-Tag außerhalb einer verschlüsselten Nutzlast zu verschieben.

Darüber hinaus sollten Sie die folgenden Aufgaben ausführen, bevor Sie MACSec auf einer dedizierten Verbindung konfigurieren.

  • Erstellen Sie ein CKN/CAK Paar für den MACSec-Schlüssel.

    Sie können das Paar mit einem offenen Standardtool erstellen. Das Paar muss die Anforderungen unter Schritt 4: On-Premises-Router konfigurieren erfüllen.

  • Es muss ein Gerät an Ihrem Ende der Verbindung vorhanden sein, das MACsec unterstützt.

  • Secure Channel Identifier (SCI) muss aktiviert sein.

  • Es werden nur 256-Bit-MACSec-Schlüssel unterstützt, wodurch der neueste erweiterte Datenschutz gewährleistet ist.

LAGs

Die folgenden Anforderungen helfen Ihnen, sich mit MACSec for Direct Connect Link Aggregation Groups (LAGs) vertraut zu machen:

  • LAGs müssen aus MACsec-capable dedizierten Verbindungen bestehen und die MACSec-Verschlüsselung unterstützen

  • Alle Verbindungen innerhalb einer LAG müssen dieselbe Bandbreite haben und MACSec unterstützen

  • Die MACsec-Konfiguration gilt einheitlich für alle Verbindungen in der LAG

  • Die Aktivierung der LAG-Erstellung und MACsec können gleichzeitig erfolgen

  • Es kann immer nur ein einziger MACsec-Schlüssel für alle LAG-Verbindungen verwendet werden. Die Möglichkeit, mehrere MACSec-Schlüssel zu unterstützen, dient nur zur Schlüsselrotation.

Partnerverbindungen

Das Partnerkonto, dem die Verbindung gehört, kann MACSec für diese physische Verbindung oder LAG verwenden. Die Operationen sind dieselben wie bei dedizierten Verbindungen, sie werden jedoch mithilfe der API/SDK partnerspezifischen Aufrufe ausgeführt.

Service-Linked Rollen

Direct Connect verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. Direct Connect Service-linked Rollen sind vordefiniert Direct Connect und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. Eine dienstbezogene Rolle Direct Connect erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Direct Connect definiert die Berechtigungen ihrer dienstbezogenen Rollen und Direct Connect kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden. Weitere Informationen finden Sie unter Servicerollen für Direct Connect.

Wichtige Überlegungen, die im Vorfeld von MACSec veröffentlicht wurden CKN/CAK

AWS Direct Connect verwendet AWS verwaltete CMKs für die vorinstallierten Schlüssel, die Sie Verbindungen oder LAGs zuordnen. Secrets Manager speichert Ihre vorab gemeinsam genutzten CKN- und CAK-Paare als Secret, das der Root-Schlüssel des Secrets Manager verschlüsselt. Weitere Informationen finden Sie unter AWS -verwaltete CMKs im AWS Key Management Service -Entwicklerhandbuch.

Der gespeicherte Schlüssel ist standardmäßig schreibgeschützt, aber Sie können mithilfe der AWS Secrets Manager Manager-Konsole oder der API eine Löschung von sieben bis dreißig Tagen planen. Wenn Sie einen Löschvorgang planen, kann das CKN nicht gelesen werden, was sich auf Ihre Netzwerkkonnektivität auswirken kann. In diesem Fall wenden wir die folgenden Regeln an:

  • Wenn sich die Verbindung im Status „Pending“ (Ausstehend) befindet, trennen wir den CKN von der Verbindung.

  • Wenn sich die Verbindung im Status „Available“ (Verfügbar) befindet, benachrichtigen wir den Eigentümer der Verbindung per E-Mail. Wenn Sie innerhalb von 30 Tagen keine Maßnahmen ergreifen, trennen wir den CKN von Ihrer Verbindung.

Wenn wir den letzten CKN von Ihrer Verbindung trennen und der Verbindungsverschlüsselungsmodus auf „must encrypt“ (muss verschlüsseln) gesetzt ist, setzen wir den Modus auf „should_encrypt“, um einen plötzlichen Paketverlust zu verhindern.