Segurança MAC em Direct Connect

Veja a seguir os principais conceitos do MACsec:

• MAC Security (MACsec): um padrão IEEE 802.1 para camada 2 que fornece confidencialidade, integridade e autenticidade da origem dos dados. Para obter mais informações sobre o protocolo, consulte 802.1AE: MAC Security (MACsec).

• Chave de associação segura (SAK): uma chave de sessão que estabelece a conectividade do MACsec entre o roteador on-premises do cliente e a porta de conexão no local do Direct Connect. O SAK não é pré-compartilhado, mas derivado automaticamente do CKN/CAK par por meio de um processo de geração de chave criptográfica. Essa derivação acontece nas duas extremidades da conexão depois que você fornece e provisiona o CKN/CAK par. A SAK é regenerada periodicamente para fins de segurança e sempre que uma sessão MACsec é estabelecida.

• Nome da chave de conexão (CKN) e Chave de associação de conectividade (CAK): os valores desse par são usados para gerar a chave MACsec. Você gera os valores do par, os associa a uma Direct Connect conexão e, em seguida, os provisiona em seu dispositivo de borda no final da Direct Connect conexão. O Direct Connect aceita somente o modo CAK estático, mas não o modo CAK dinâmico. Como somente o modo CAK estático é aceito, é recomendável que você siga suas próprias políticas de gerenciamento de chaves para geração, distribuição e rotação de chaves.

• Formato da chave: o formato da chave deve usar caracteres hexadecimais e conter, exatamente, 64 caracteres. O Direct Connect aceita somente chaves de 256 bits do Advanced Encryption Standard (AES) para conexões dedicadas, o que corresponde a uma sequência hexadecimal de 64 caracteres.

• Canal de distribuição de chaves — Para fornecer um novo CKN-CAK par AWS, use o AWS console ou a CLI ou SDK do Direct Connect usando. associate-mac-sec-key Recomendamos que você use apenas o TLS 1.3 e aplique um algoritmo de troca de chaves pós-quântica, como ML-KEM (Module-Lattice-BasedKey Encapsulation Mechanism), ao associar um novo CKN-CAK par à sua conexão dedicada. Para obter mais informações, consulte os guias do AWS SDK e da CLI. Ao usar o AWS console, use um navegador da Web que suporte ML-KEM e revise a segurança da conexão.

• Modos de criptografia: o Direct Connect aceita dois modos de criptografia MACsec:

  • must_encrypt - Nesse modo, a conexão requer criptografia MACsec para todo o tráfego. Se a negociação do MACsec falhar ou a criptografia não puder ser estabelecida, a conexão não transmitirá nenhum tráfego. Esse modo oferece a maior garantia de segurança, mas pode afetar a disponibilidade se houver algum MACsec-related problema.

  • should_encrypt - Nesse modo, a conexão tenta estabelecer a criptografia MACsec, mas retornará à comunicação não criptografada se a negociação do MACsec falhar. Esse modo oferece mais flexibilidade e maior disponibilidade, mas também pode permitir tráfego não criptografado em alguns cenários de falha.

  O modo de criptografia pode ser definido durante a configuração da conexão e também pode ser modificado posteriormente. Por padrão, MACsec-enabled as novas conexões são definidas no modo “should_encrypt” para evitar possíveis problemas de conectividade durante a configuração inicial.

• CNN/CAK rotação (manual)

  O Direct Connect MACsec suporta chaveiros MACsec com capacidade para armazenar até três pares. CKN/CAK Isso permite que você faça manualmente a rotação dessas chaves de longo prazo sem interromper a conexão. Ao associar um novo CKN/CAK par usando o associate-mac-sec-key comando, você deve configurar o mesmo par no seu dispositivo. O dispositivo Direct Connect tenta usar a chave adicionada mais recentemente. Se essa chave não corresponder à chave do seu dispositivo, ela retorna para a chave operacional anterior, garantindo a estabilidade da conexão durante a rotação.

  Para obter informações sobre como usar o comando associate-mac-sec-key, consulte associate-mac-sec-key.

• Rotação (automática) da Chave de associação segura (SAK)

  O SAK, que é derivado do CKN/CAK par ativo, passa por rotação automática com base no seguinte:

  • intervalos de tempo;

  • volume de tráfego criptografado;

  • estabelecimento da sessão do MACsec.

  Essa rotação é feita automaticamente pelo protocolo, ocorre de forma transparente sem interromper a conexão e não requer intervenção manual. A SAK nunca é armazenada de forma persistente, sendo regenerada por meio de um processo seguro de derivação de chave que segue o padrão IEEE 802.1X.

• O protocolo MACsec é compatível com conexões dedicadas do Direct Connect de 10 Gbps, 100 Gbps e 400 Gbps em pontos de presença selecionados. Para essas conexões, há suporte para os seguintes conjuntos de cifras do MACsec:

  • Para conexões de 10 Gbps e. GCM-AES-256 GCM-AES-XPN-256

  • Para conexões de 100 Gbps e 400 Gbps,. GCM-AES-XPN-256

• Há suporte somente para chaves do MACsec de 256 bits.

• A numeração de pacotes estendida (XPN, na sigla em inglês) é necessária para conexões de 100 Gbps e de 400 Gbps. Para conexões de 10 Gbps, o Direct Connect suporta tanto e. GCM-AES-256 GCM-AES-XPN-256 High-speed conexões, como conexões dedicadas de 100 Gbps e 400 Gbps, podem esgotar rapidamente o espaço original de numeração de pacotes de 32 bits do MACsec, o que exigiria que você girasse suas chaves de criptografia a cada poucos minutos para estabelecer uma nova Associação de Conectividade. Para evitar essa situação, a AEbw-2013 emenda IEEE Std 802.1 introduziu a numeração estendida de pacotes, aumentando o espaço de numeração para 64 bits, facilitando o requisito de pontualidade para rotação de chaves.

• O Identificador de Canal Seguro (SCI, na sigla em inglês) é obrigatório e deve estar ativado. Esta configuração não pode ser ajustada.

• A tag offset/dot1q -in-clear IEEE 802.1Q (Dot1q/VLAN) não é suportada para mover uma tag de VLAN para fora de uma carga criptografada.

• Crie um CKN/CAK par para a chave MACsec.

  Você pode criar o par usando uma ferramenta aberta padrão. O par deve atender aos requisitos especificados em Etapa 4: configurar um roteador on-premises.

• Você deve ter um dispositivo compatível com MACsec em sua extremidade da conexão.

• O Identificador de Canal Seguro (SCI) deve estar ativado.

• Somente chaves do MACsec de 256 bits são compatíveis, proporcionando a mais avançada proteção de dados disponível.

• Os LAGs devem ser compostos por conexões MACsec-capable dedicadas, suportam a criptografia MACsec

• Todas as conexões dentro de um LAG devem ter a mesma largura de banda e aceitar MACsec

• A configuração do MACsec se aplica uniformemente em todas as conexões no LAG

• A habilitação da criação do LAG e do MACsec pode ser feita simultaneamente

• Somente uma única chave MACsec pode ser usada em todos os links do LAG a qualquer momento. A capacidade de aceitar várias chaves do MACsec serve apenas para a rotação de chaves.

• Se a conexão estiver em um estado pendente, desassociaremos o CKN da conexão.

• Se a conexão estiver em um estado disponível, notificaremos o proprietário da conexão por e-mail. Se você não adotar nenhuma medida em até 30 dias, desassociaremos o CKN da sua conexão.