As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança MAC em Direct Connect
O MAC Security (MACsec) é um padrão IEEE que fornece confidencialidade, integridade e autenticidade da origem dos dados. O MACsec fornece criptografia ponto a ponto de camada 2 por meio da conexão cruzada AWS, operando entre dois roteadores de camada 3. Enquanto o MACsec protege a conexão entre seu roteador e o local do Direct Connect na camada 2, AWS fornece segurança adicional ao criptografar todos os dados na camada física à medida que eles fluem pela rede entre Direct Connect locais e regiões. AWS Isso cria uma abordagem de segurança em camadas em que seu tráfego é protegido durante a entrada inicial AWS e durante o trânsito pela AWS rede.
No diagrama a seguir, a Direct Connect conexão cruzada deve estar conectada a uma MACsec-capable interface no dispositivo de ponta do cliente. O MACsec por Direct Connect fornece criptografia de Camada 2 para o tráfego ponto a ponto entre o dispositivo de borda do Direct Connect e o dispositivo de borda do cliente. Essa criptografia ocorre depois que as chaves de segurança são permutadas e verificadas entre as interfaces nas duas extremidades da conexão cruzada.
**nota**
O MACsec fornece segurança ponto a ponto em links Ethernet; portanto, ele não fornece criptografia de ponta a ponta em vários segmentos sequenciais de Ethernet ou de outra rede.
## Conceitos do MACsec
Veja a seguir os principais conceitos do MACsec:
+ **MAC Security (MACsec)**: um padrão IEEE 802.1 para camada 2 que fornece confidencialidade, integridade e autenticidade da origem dos dados. Para obter mais informações sobre o protocolo, consulte [802.1AE: MAC Security (MACsec)](https://1.ieee802.org/security/802-1ae/).
+ **Chave de associação segura (SAK)**: uma chave de sessão que estabelece a conectividade do MACsec entre o roteador on-premises do cliente e a porta de conexão no local do Direct Connect. O SAK não é pré-compartilhado, mas derivado automaticamente do CKN/CAK par por meio de um processo de geração de chave criptográfica. Essa derivação acontece nas duas extremidades da conexão depois que você fornece e provisiona o CKN/CAK par. A SAK é regenerada periodicamente para fins de segurança e sempre que uma sessão MACsec é estabelecida.
+ **Nome da chave de conexão (CKN)** e **Chave de associação de conectividade (CAK)**: os valores desse par são usados para gerar a chave MACsec. Você gera os valores do par, os associa a uma Direct Connect conexão e, em seguida, os provisiona em seu dispositivo de borda no final da Direct Connect conexão. O Direct Connect aceita somente o modo CAK estático, mas não o modo CAK dinâmico. Como somente o modo CAK estático é aceito, é recomendável que você siga suas próprias políticas de gerenciamento de chaves para geração, distribuição e rotação de chaves.
+ **Formato da chave**: o formato da chave deve usar caracteres hexadecimais e conter, exatamente, 64 caracteres. O Direct Connect aceita somente chaves de 256 bits do Advanced Encryption Standard (AES) para conexões dedicadas, o que corresponde a uma sequência hexadecimal de 64 caracteres.
+ **Canal de distribuição de chaves** — Para fornecer um novo CKN-CAK par AWS, use o AWS console ou a CLI ou SDK do Direct Connect usando. `associate-mac-sec-key` Recomendamos que você use apenas o TLS 1.3 e aplique um algoritmo de troca de chaves pós-quântica, como ML-KEM (Module-Lattice-BasedKey Encapsulation Mechanism), ao associar um novo CKN-CAK par à sua conexão dedicada. Para obter mais informações, consulte os guias do AWS [SDK e da CLI](https://docs.aws.amazon.com/sdkref/latest/guide/pqtls-details.html). Ao usar o AWS console, use um navegador da Web que suporte ML-KEM e revise a segurança da conexão.
+ **Modos de criptografia**: o Direct Connect aceita dois modos de criptografia MACsec:
+ must\_encrypt - Nesse modo, a conexão requer criptografia MACsec para todo o tráfego. Se a negociação do MACsec falhar ou a criptografia não puder ser estabelecida, a conexão não transmitirá nenhum tráfego. Esse modo oferece a maior garantia de segurança, mas pode afetar a disponibilidade se houver algum MACsec-related problema.
+ should\_encrypt - Nesse modo, a conexão tenta estabelecer a criptografia MACsec, mas retornará à comunicação não criptografada se a negociação do MACsec falhar. Esse modo oferece mais flexibilidade e maior disponibilidade, mas também pode permitir tráfego não criptografado em alguns cenários de falha.
O modo de criptografia pode ser definido durante a configuração da conexão e também pode ser modificado posteriormente. Por padrão, MACsec-enabled as novas conexões são definidas no modo “should\_encrypt” para evitar possíveis problemas de conectividade durante a configuração inicial.
## Alternância de chaves do MACsec
+ **CNN/CAK rotação (manual)**
O Direct Connect MACsec suporta chaveiros MACsec com capacidade para armazenar até três pares. CKN/CAK Isso permite que você faça manualmente a rotação dessas chaves de longo prazo sem interromper a conexão. Ao associar um novo CKN/CAK par usando o `associate-mac-sec-key` comando, você deve configurar o mesmo par no seu dispositivo. O dispositivo Direct Connect tenta usar a chave adicionada mais recentemente. Se essa chave não corresponder à chave do seu dispositivo, ela retorna para a chave operacional anterior, garantindo a estabilidade da conexão durante a rotação.
Para obter informações sobre como usar o comando `associate-mac-sec-key`, consulte [associate-mac-sec-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/directconnect/associate-mac-sec-key.html).
+ **Rotação (automática) da Chave de associação segura (SAK)**
O SAK, que é derivado do CKN/CAK par ativo, passa por rotação automática com base no seguinte:
+ intervalos de tempo;
+ volume de tráfego criptografado;
+ estabelecimento da sessão do MACsec.
Essa rotação é feita automaticamente pelo protocolo, ocorre de forma transparente sem interromper a conexão e não requer intervenção manual. A SAK nunca é armazenada de forma persistente, sendo regenerada por meio de um processo seguro de derivação de chave que segue o padrão IEEE 802.1X.
## Conexões compatíveis
O MACsec está disponível em conexões dedicadas do Direct Connect e grupos de agregação de links:
**Topics**
+ [Conexões dedicadas do](#direct-connect-mac-sec-dedicated)
+ [LAGs](#direct-connect-mac-sec-lags)
+ [Interconexões de parceiros](#direct-connect-mac-sec-partners)
**nota**
Os parceiros que usam dispositivos compatíveis podem usar o MACsec para criptografar a conexão de Camada 2 entre seus dispositivos de rede de borda e o dispositivo do Direct Connect. Os parceiros que habilitam o atributo podem criptografar todo o tráfego que atravessa o link protegido. A criptografia do MACsec opera entre os dois dispositivos específicos na Camada 2 e não é compatível com conexões hospedadas.
Para obter informações sobre como solicitar conexões compatíveis com MACsec, consulte [AWS Direct Connect](https://aws.amazon.com/directconnect/?nc=sn&loc=0).
### Conexões dedicadas do
O seguinte ajuda você a se familiarizar com o MACsec em conexões Direct Connect dedicadas. Não há cobranças adicionais pelo uso do MACsec. As etapas para configurar o MACsec em uma conexão dedicada podem ser encontrados em [Comece com MACsec uma conexão dedicada](create-macsec-dedicated.md).
As operações de interconexão de parceiros seguem os mesmos procedimentos das conexões dedicadas. Quando você executa comandos CLI ou SDK para interconexões de parceiros, as respostas MACsec-related incluirão informações quando aplicável.
#### Pré-requisitos do MACsec para conexões dedicadas
Observe os seguintes requisitos para o MACsec em conexões dedicadas:
+ O protocolo MACsec é compatível com conexões dedicadas do Direct Connect de 10 Gbps, 100 Gbps e 400 Gbps em pontos de presença selecionados. Para essas conexões, há suporte para os seguintes conjuntos de cifras do MACsec:
+ Para conexões de 10 Gbps e. GCM-AES-256 GCM-AES-XPN-256
+ Para conexões de 100 Gbps e 400 Gbps,. GCM-AES-XPN-256
+ Há suporte somente para chaves do MACsec de 256 bits.
+ A numeração de pacotes estendida (XPN, na sigla em inglês) é necessária para conexões de 100 Gbps e de 400 Gbps. Para conexões de 10 Gbps, o Direct Connect suporta tanto e. GCM-AES-256 GCM-AES-XPN-256 High-speed conexões, como conexões dedicadas de 100 Gbps e 400 Gbps, podem esgotar rapidamente o espaço original de numeração de pacotes de 32 bits do MACsec, o que exigiria que você girasse suas chaves de criptografia a cada poucos minutos para estabelecer uma nova Associação de Conectividade. Para evitar essa situação, a AEbw-2013 emenda IEEE Std 802.1 introduziu a numeração estendida de pacotes, aumentando o espaço de numeração para 64 bits, facilitando o requisito de pontualidade para rotação de chaves.
+ O Identificador de Canal Seguro (SCI, na sigla em inglês) é obrigatório e deve estar ativado. Esta configuração não pode ser ajustada.
+ A tag offset/dot1q -in-clear IEEE 802.1Q (Dot1q/VLAN) não é suportada para mover uma tag de VLAN para fora de uma carga criptografada.
Além disso, é preciso concluir as tarefas a seguir antes de configurar o MACsec em uma conexão dedicada.
+ Crie um CKN/CAK par para a chave MACsec.
Você pode criar o par usando uma ferramenta aberta padrão. O par deve atender aos requisitos especificados em [Etapa 4: configurar um roteador on-premises](create-macsec-dedicated.md#associate-key-router).
+ Você deve ter um dispositivo compatível com MACsec em sua extremidade da conexão.
+ O Identificador de Canal Seguro (SCI) deve estar ativado.
+ Somente chaves do MACsec de 256 bits são compatíveis, proporcionando a mais avançada proteção de dados disponível.
### LAGs
Os seguintes requisitos ajudam você a se familiarizar com o MACsec para grupos de agregação de links (LAGs) do Direct Connect:
+ Os LAGs devem ser compostos por conexões MACsec-capable dedicadas, suportam a criptografia MACsec
+ Todas as conexões dentro de um LAG devem ter a mesma largura de banda e aceitar MACsec
+ A configuração do MACsec se aplica uniformemente em todas as conexões no LAG
+ A habilitação da criação do LAG e do MACsec pode ser feita simultaneamente
+ Somente uma única chave MACsec pode ser usada em todos os links do LAG a qualquer momento. A capacidade de aceitar várias chaves do MACsec serve apenas para a rotação de chaves.
### Interconexões de parceiros
A conta do parceiro que possui a interconexão pode usar o MACsec nessa conexão física ou LAG. As operações são as mesmas das conexões dedicadas, mas são realizadas usando as chamadas específicas do parceiro API/SDK .
## Service-Linked funções
Direct Connect usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. Direct Connect Service-linked as funções são predefinidas Direct Connect e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. Uma função vinculada ao serviço facilita a configuração Direct Connect porque você não precisa adicionar manualmente as permissões necessárias. Direct Connect define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só Direct Connect pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM. Para obter mais informações, consulte [Perfis vinculados a serviço para o Direct Connect](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).
## Considerações sobre a chave pré-compartilhada CKN/CAK do MACsec
AWS Direct Connect usa CMKs AWS gerenciadas para as chaves pré-compartilhadas que você associa a conexões ou LAGs. O Secrets Manager armazena seus pares CKN e CAK pré-compartilhados como um segredo que a chave raiz do Secrets Manager criptografa. Para obter mais informações, consulte [CMKs gerenciadas da AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys) no *Guia do Desenvolvedor do AWS Key Management Service *.
Por padrão, a chave armazenada é somente para leitura, mas você pode agendar uma exclusão de sete a trinta dias usando o console ou a API do Secrets Manager AWS . Quando você agenda uma exclusão, o CKN não pode ser lido e isso poderá afetar sua conectividade de rede. Quando isso acontece, aplicamos as seguintes regras:
+ Se a conexão estiver em um estado pendente, desassociaremos o CKN da conexão.
+ Se a conexão estiver em um estado disponível, notificaremos o proprietário da conexão por e-mail. Se você não adotar nenhuma medida em até 30 dias, desassociaremos o CKN da sua conexão.
Quando desassociarmos o último CKN da sua conexão e o modo de criptografia da conexão estiver definido como “deve criptografar”, definiremos o modo como “should\_encrypt” para evitar a perda repentina de pacotes.