Comenzar a utilizar MACsec en conexiones dedicadas

Las siguientes tareas le ayudarán a familiarizarse con MACsec en conexiones AWS Direct Connect dedicadas. El uso de MACSec no conlleva cargos adicionales.

Antes de configurar MACSec en una conexión dedicada, tenga en cuenta lo siguiente:

• MACsec es compatible con conexiones de Direct Connect dedicadas de 10 Gbps y 100 Gbps en puntos de presencia seleccionados. Para estas conexiones, se admiten los siguientes conjuntos de cifrado MACSec:

  • Para conexiones de 10 Gbps, GCM-AES-256 y GCM-AES-XPN-256.

  • Para conexiones de 100 Gbps, GCM-AES-XPN-256.

• Solo se admiten claves MACsec de 256 bits.

• Se requiere la numeración de paquetes extendida (XPN) para las conexiones de 100 Gbps. Para conexiones de 10 Gbps, Direct Connect admite GCM-AES-256 y GCM-AES-XPN-256. Las conexiones de alta velocidad, como las conexiones dedicadas de 100 Gbps, pueden agotar rápidamente el espacio original de numeración de paquetes de 32 bits del MACSec, lo que requeriría rotar las claves de cifrado cada pocos minutos para establecer una nueva asociación de conectividad. Para evitar esta situación, la modificación de la norma IEEE 802.1AEBW-2013 introdujo una numeración de paquetes ampliada, aumentando el espacio de numeración a 64 bits y reduciendo el requisito de puntualidad para la rotación de claves.

• El identificador de canal seguro (SCI) es obligatorio y debe estar activado. Esta configuración no se puede ajustar.

• La etiqueta IEEE 802.1Q (dot1Q/VLAN) offset/dot1 no se admite para mover una etiqueta de VLAN fuera de q-in-clear una carga útil cifrada.

Para obtener información adicional sobre Direct Connect y MACsec, consulte la sección MACsec de las AWS Direct Connect preguntas frecuentes.

Requisitos previos de MACsec

Complete las siguientes tareas antes de configurar MACsec en una conexión dedicada.

• Cree un par de CKN/CAK para la clave secreta de MACsec.

  Puede crear el par con una herramienta estándar abierta. El par debe cumplir los requisitos especificados de Paso 4: Configurar su enrutador en las instalaciones.

• Asegúrese de que cuenta con un dispositivo en su extremo de conexión que sea compatible con MACsec.

• El identificador de canal seguro (SCI) debe estar activado.

• Solo se admiten claves MACSec de 256 bits, lo que proporciona la protección de datos avanzada más reciente.

Roles vinculados a servicios

AWS Direct Connect utiliza funciones vinculadas al AWS Identity and Access Management servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Direct Connect Los roles vinculados al servicio están predefinidos AWS Direct Connect e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. Un rol vinculado a un servicio facilita la configuración AWS Direct Connect , ya que no es necesario añadir manualmente los permisos necesarios. AWS Direct Connect define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Direct Connect puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM. Para obtener más información, consulte Roles vinculados a servicios para Direct Connect.

Consideraciones clave sobre los pares de CKN/CAK previamente compartidos por MACsec

AWS Direct Connect usa CMK AWS administradas para las claves previamente compartidas que se asocian a las conexiones o los LAG. Secrets Manager guarda los pares de CKN y CAK previamente compartidos como un secreto que cifra la clave raíz de Secrets Manager. A fin de obtener más información, consulte CMK administradas por AWS en la Guía para desarrolladores de AWS Key Management Service .

Por diseño, la clave almacenada es de solo lectura, pero puede programar una eliminación de siete a treinta días mediante la consola o la API de AWS Secrets Manager. Al programar una eliminación, no se puede leer el CKN y esto podría afectar a la conectividad de la red. Cuando esto ocurre, aplicamos las siguientes reglas:

• Si la conexión se encuentra en estado pendiente, desasociamos el CKN de la conexión.

• Si la conexión se encuentra en un estado disponible, se lo notificamos al propietario de la conexión por correo electrónico. Si no realiza ninguna acción en un plazo de 30 días, desasociaremos el CKN de su conexión.

Cuando desasociamos el último CKN de su conexión y el modo de cifrado de la conexión se establece en “debe cifrarse”, configuramos el modo en “should_encrypt” para evitar la pérdida repentina de paquetes.

Paso 1: Crear una conexión

Para comenzar a utilizar MACsec, debe activar la característica al crear una conexión dedicada. Para obtener más información, consulte Crear una conexión mediante el asistente de conexión.

(Opcional) Paso 2: Crear un grupo de agregación de enlaces (LAG)

Si utiliza varias conexiones para obtener redundancia, puede crear un LAG que admita MACsec. Para obtener más información, consulte Consideraciones de MACsec y Crear un LAG.

Paso 3: Asociar el par de CKN/CAK a la conexión o LAG

Después de crear la conexión o LAG compatible con MACsec, puede asociar un par de CKN/CAK a la conexión. Para obtener más información, consulte una de las siguientes:

• Asociar un par de CKN/CAK de MACsec a una conexión

• Asociar un par de CKN/CAK de MACsec a un LAG

Paso 4: Configurar su enrutador en las instalaciones

Actualice su enrutador en las instalaciones con la clave secreta de MACsec. La clave secreta MACSec del router local y la de la ubicación deben coincidir. AWS Direct Connect Para obtener más información, consulte Descargar el archivo de configuración del enrutador.

Paso 5: (Opcional) Eliminar la asociación entre el par de CKN/CAK y la conexión o LAG

Si necesita eliminar la asociación entre la clave de MACsec y la conexión o LAG, consulte una de las siguientes alternativas:

• Eliminar la asociación entre una clave secreta de MACsec y una conexión

• Eliminar la asociación entre una clave secreta de MACsec y un LAG