View a markdown version of this page

Sécurité MAC dans Direct Connect - AWS Direct Connect
Concepts de MACsecRotation des touches MacSecConnexions prises en chargeService-Linked rôlesConsidérations clés pré-partagées CKN/CAK par MacSec

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité MAC dans Direct Connect

MAC Security (MACsec) est une norme IEEE qui garantit la confidentialité, l'intégrité des données et l'authenticité de l'origine des données. MacSec fournit un chiffrement point à point de couche 2 via la connexion croisée à AWS, en opérant entre deux routeurs de couche 3. Alors que MacSec sécurise la connexion entre votre routeur et l'emplacement Direct Connect au niveau de la couche 2, il AWS fournit une sécurité supplémentaire en chiffrant toutes les données au niveau de la couche physique lorsqu'elles circulent sur le réseau entre les Direct Connect sites et les régions. AWS Cela crée une approche de sécurité à plusieurs niveaux dans laquelle votre trafic est protégé à la fois lors de l'entrée initiale dans le AWS réseau AWS et pendant son transit sur celui-ci.

Dans le schéma suivant, l' Direct Connect interconnexion doit être connectée à une MACsec-capable interface sur le périphérique périphérique du client. MacSec over Direct Connect fournit un chiffrement de couche 2 pour le trafic point à point entre le périphérique Direct Connect et le périphérique périphérique du client. Ce chiffrement a lieu une fois que les clés de sécurité ont été échangées et vérifiées entre les interfaces situées aux deux extrémités de la connexion croisée.

Note

MacSec assure la sécurité point à point sur les liaisons Ethernet ; par conséquent, il ne fournit pas de chiffrement de bout en bout sur plusieurs segments de réseau Ethernet séquentiels ou autres.

Présentation de MACsec

Concepts de MACsec

Les principaux concepts de MACsec sont les suivants :

  • La sécurité MAC (MACsec) : une norme IEEE 802.1 de couche 2 qui garantit la confidentialité, l'intégrité et l'authenticité de l'origine des données. Pour plus d'informations sur le protocole, consultez 802.1AE : sécurité MAC (MACsec).

  • Clé d'association sécurisée (SAK) : clé de session qui établit la connectivité MACsec entre le routeur local du client et le port de connexion sur le site Direct Connect. Le SAK n'est pas partagé au préalable, mais il est automatiquement dérivé de la CKN/CAK paire par le biais d'un processus de génération de clé cryptographique. Cette dérivation se produit aux deux extrémités de la connexion une fois que vous avez fourni et provisionné la CKN/CAK paire. Le SAK est régénéré périodiquement pour des raisons de sécurité et chaque fois qu'une session MACsec est établie.

  • Nom de clé d'association de connectivité (CKN) et clé d'association de connectivité (CAK) : les valeurs de cette paire sont utilisées pour générer la clé MACsec. Vous générez les valeurs de paire, vous les associez à une Direct Connect connexion, puis vous les configurez sur votre appareil Edge à la fin de la Direct Connect connexion. Direct Connect prend uniquement en charge le mode CAK statique, mais pas le mode CAK dynamique. Étant donné que seul le mode CAK statique est pris en charge, il est recommandé de suivre vos propres politiques de gestion des clés pour la génération, la distribution et la rotation des clés.

  • Format de clé — Le format de clé doit utiliser des caractères hexadécimaux, d'une longueur d'exactement 64 caractères. Direct Connect prend uniquement en charge les clés AES (Advanced Encryption Standard) 256 bits pour les connexions dédiées, ce qui correspond à une chaîne hexadécimale de 64 caractères.

  • Canal de distribution des clés : pour envoyer une nouvelle CKN-CAK paire à AWS, utilisez la AWS console, la CLI ou le SDK Direct Connect à l'aide associate-mac-sec-key de. Nous vous recommandons d'utiliser uniquement le protocole TLS 1.3 et d'appliquer un algorithme d'échange de clés post-quantique tel que ML-KEM (Module-Lattice-BasedKey Encapsulation Mechanism) lorsque vous associez une nouvelle CKN-CAK paire à votre connexion dédiée. Pour plus d'informations, consultez les guides du AWS SDK et de la CLI. Lorsque vous utilisez la AWS console, utilisez un navigateur Web qui prend en charge ML-KEM et vérifie la sécurité de la connexion.

  • Modes de chiffrement — Direct Connect prend en charge deux modes de chiffrement MACsec :

    • must_encrypt — Dans ce mode, la connexion nécessite le chiffrement MacSec pour tout le trafic. Si la négociation MacSec échoue ou si le chiffrement ne peut pas être établi, la connexion ne transmettra aucun trafic. Ce mode offre la meilleure garantie de sécurité, mais peut avoir un impact sur la disponibilité en cas de MACsec-related problème.

    • should_encrypt — Dans ce mode, la connexion tente d'établir le chiffrement MacSec mais revient à une communication non chiffrée en cas d'échec de la négociation MacSec. Ce mode offre une plus grande flexibilité et une meilleure disponibilité, mais peut autoriser le trafic non chiffré dans certains scénarios de défaillance.

    Le mode de chiffrement peut être défini lors de la configuration de la connexion et peut être modifié ultérieurement. Par défaut, MACsec-enabled les nouvelles connexions sont définies sur le mode « should_encrypt » afin d'éviter d'éventuels problèmes de connectivité lors de la configuration initiale.

Rotation des touches MacSec

  • CNN/CAK rotation (manuelle)

    Direct Connect MacSec prend en charge les porte-clés MacSec pouvant stocker jusqu'à trois paires. CKN/CAK Cela vous permet de faire pivoter manuellement ces touches à long terme sans interruption de connexion. Lorsque vous associez une nouvelle CKN/CAK paire à l'aide de la associate-mac-sec-key commande, vous devez configurer la même paire sur votre appareil. L'appareil Direct Connect tente d'utiliser la dernière clé ajoutée. Si cette clé ne correspond pas à celle de votre appareil, elle revient à la touche active précédente, garantissant ainsi la stabilité de la connexion pendant la rotation.

    Pour plus d'informations sur l'utilisationassociate-mac-sec-key, consultez associate-mac-sec-key.

  • Rotation de la clé d'association sécurisée (SAK) (automatique)

    Le SAK, qui est dérivé de la CKN/CAK paire active, est soumis à une rotation automatique basée sur les éléments suivants :

    • intervalles de temps

    • volume de trafic crypté

    • Établissement d'une session MacSec

    Cette rotation est gérée automatiquement par le protocole, s'effectue de manière transparente sans perturber la connexion et ne nécessite aucune intervention manuelle. Le SAK n'est jamais stocké de manière persistante et est régénéré grâce à un processus de dérivation de clé sécurisé conforme à la norme IEEE 802.1X.

Connexions prises en charge

MacSec est disponible sur les connexions Direct Connect dédiées et les groupes d'agrégation de liens :

Note

Les partenaires utilisant des appareils compatibles peuvent utiliser MacSec pour chiffrer la connexion de couche 2 entre leur périphérique réseau périphérique et l'appareil Direct Connect. Les partenaires qui activent cette fonctionnalité peuvent chiffrer tout le trafic passant par le lien sécurisé. Le chiffrement MacSec fonctionne entre les deux appareils spécifiques de la couche 2 et n'est pas pris en charge sur les connexions hébergées.

Pour plus d'informations sur la façon de commander des connexions compatibles MACsec, consultez AWS Direct Connect.

Connexions dédiées

Ce qui suit vous aidera à vous familiariser avec MacSec sur les connexions Direct Connect dédiées. L'utilisation de MacSec est gratuite. Les étapes de configuration de MacSec sur une connexion dédiée se trouvent dansCommencez avec MACsec une connexion dédiée.

Les opérations d'interconnexion des partenaires suivent les mêmes procédures que les connexions dédiées. Lorsque vous exécutez des commandes CLI ou SDK pour les interconnexions entre partenaires, les réponses incluent des MACsec-related informations, le cas échéant.

Prérequis MacSec pour les connexions dédiées

Notez les exigences suivantes pour MacSec sur les connexions dédiées :

  • MacSec est pris en charge sur les connexions Direct Connect dédiées à 10 Gbit/s, 100 Gbit/s et 400 Gbit/s à des points de présence sélectionnés. Pour ces connexions, les suites de chiffrement MacSec suivantes sont prises en charge :

    • Pour les connexions 10 Gbit/s, et GCM-AES-256 . GCM-AES-XPN-256

    • Pour les connexions 100 Gbit/s et 400 Gbit/s,. GCM-AES-XPN-256

  • Seules les clés MACsec 256 bits sont prises en charge.

  • La numérotation étendue des paquets (XPN) est requise pour les connexions 100 Gbit/s et 400 Gbit/s. Pour les connexions 10 Gbit/s, Direct Connect prend en charge les deuxGCM-AES-256 . GCM-AES-XPN-256 High-speed les connexions, telles que les connexions dédiées de 100 Gbit/s et 400 Gbit/s, peuvent rapidement épuiser l'espace de numérotation des paquets 32 bits d'origine de MacSec, ce qui vous obligerait à faire pivoter vos clés de chiffrement toutes les quelques minutes pour établir une nouvelle association de connectivité. Pour éviter cette situation, l'AEbw-2013 amendement à la norme IEEE 802.1 a introduit la numérotation étendue des paquets, augmentant l'espace de numérotation à 64 bits, allégeant ainsi l'exigence de rapidité pour la rotation des clés.

  • L'identifiant de canal sécurisé (SCI) est requis et doit être activé. Ce paramètre ne peut pas être ajusté.

  • La balise IEEE 802.1Q (Dot1q/VLAN) offset/dot1q -in-clear n'est pas prise en charge pour déplacer une balise VLAN en dehors d'une charge utile chiffrée.

En outre, vous devez effectuer les tâches suivantes avant de configurer MacSec sur une connexion dédiée.

  • Créez une CKN/CAK paire pour la clé MacSec.

    Vous pouvez créer la paire à l'aide d'un outil standard ouvert. La paire doit répondre aux exigences décrites dans Étape 4 : configurer votre routeur sur site.

  • Assurez-vous de disposer d'un appareil compatible avec MACsec à votre extrémité de la connexion.

  • Le Secure Channel Identifier (SCI) doit être activé.

  • Seules les clés MACsec 256 bits sont prises en charge, offrant ainsi la toute dernière protection avancée des données.

LAG

Les exigences suivantes vous aideront à vous familiariser avec MacSec pour les groupes d'agrégation de liens (LAG) Direct Connect :

  • Les LAG doivent être composés de connexions MACsec-capable dédiées et prendre en charge le chiffrement MacSec.

  • Toutes les connexions au sein d'un LAG doivent avoir la même bande passante et prendre en charge MacSec

  • La configuration MacSec s'applique uniformément à toutes les connexions du LAG

  • L'activation de la création de LAG et de MacSec peut être effectuée simultanément

  • Une seule clé MacSec peut être utilisée à tout moment sur tous les liens LAG. La prise en charge de plusieurs touches MacSec est uniquement destinée à la rotation des clés.

Interconnexions entre partenaires

Le compte partenaire propriétaire de l'interconnexion peut utiliser MacSec sur cette connexion physique ou ce LAG. Les opérations sont les mêmes que pour les connexions dédiées, mais elles sont effectuées à l'aide des appels spécifiques au partenaire API/SDK .

Service-Linked rôles

Direct Connect utilise des Gestion des identités et des accès AWS rôles liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. Direct Connect Service-linked les rôles sont prédéfinis par Direct Connect et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Un rôle lié à un service facilite la configuration Direct Connect car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Direct Connect définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Direct Connect peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM. Pour de plus amples informations, veuillez consulter Rôles liés à un service pour Direct Connect.

Considérations clés pré-partagées CKN/CAK par MacSec

AWS Direct Connect utilise des CMK AWS gérées pour les clés pré-partagées que vous associez aux connexions ou aux LAG. Secrets Manager stocke vos paires CKN et CAK pré-partagées sous forme de secret chiffré par la clé racine du Secrets Manager. Pour en savoir plus, veuillez consulter la rubrique CMK gérées par AWS dans le Guide du développeur AWS Key Management Service .

La clé stockée est par nature en lecture seule, mais vous pouvez planifier une suppression de sept à trente jours à l'aide de la console ou de l'API AWS Secrets Manager. Lorsque vous planifiez une suppression, le CKN ne peut pas être lu, ce qui peut affecter votre connectivité réseau. Dans ce cas, nous appliquons les règles suivantes :

  • Si la connexion est en attente, nous dissocions le CKN de la connexion.

  • Si la connexion est disponible, nous en informons le propriétaire par e-mail. Si vous ne prenez aucune mesure dans les 30 jours, nous dissocierons le CKN de votre connexion.

Lorsque nous dissocions le dernier CKN de votre connexion et que le mode de chiffrement de la connexion est défini sur « doit chiffrer », nous définissons le mode sur « should_encrypt » pour éviter toute perte soudaine de paquets.