Commencee à utiliser MACsec sur des connexions dédiées

Les tâches suivantes vous aideront à vous familiariser avec MacSec sur des connexions AWS Direct Connect dédiées. L'utilisation de MacSec est gratuite.

Avant de configurer MacSec sur une connexion dédiée, notez ce qui suit :

• MACsec est prise en charge sur les connexions Direct Connect dédiées de 10 Gb/s et 100 Gb/s aux points de présence sélectionnés. Pour ces connexions, les suites de chiffrement MacSec suivantes sont prises en charge :

  • Pour les connexions 10 Gbit/s, GCM-AES-256 et GCM-AES-XPN-256.

  • Pour les connexions 100 Gbit/s, GCM-AES-XPN-256.

• Seules les clés MacSec 256 bits sont prises en charge.

• La numérotation étendue des paquets (XPN) est requise pour les connexions 100 Gbit/s. Pour les connexions 10 Gbit/s, Direct Connect prend en charge le GCM-AES-256 et le GCM-AES-XPN-256. Les connexions haut débit, telles que les connexions dédiées à 100 Gbit/s, peuvent rapidement épuiser l'espace de numérotation des paquets 32 bits d'origine de MacSec, ce qui vous obligerait à faire pivoter vos clés de chiffrement toutes les quelques minutes pour établir une nouvelle association de connectivité. Pour éviter cette situation, la modification de la norme IEEE 802.1aeBW-2013 a introduit la numérotation étendue des paquets, augmentant l'espace de numérotation à 64 bits, allégeant ainsi les exigences de rapidité pour la rotation des clés.

• L'identifiant de canal sécurisé (SCI) est requis et doit être activé. Ce paramètre ne peut pas être ajusté.

• La balise IEEE 802.1Q (Dot1q/VLAN) offset/dot1 n'q-in-clear est pas prise en charge pour déplacer une balise VLAN en dehors d'une charge utile chiffrée.

Pour plus d'informations sur Direct Connect et MacSec, consultez la section MacSec des AWS Direct Connect FAQ.

Conditions préalables requises pour MACsec

Exécutez les tâches suivantes avant de configurer MACsec sur une connexion dédiée.

• Créez une paire CKN/CAK pour la clé secrète MACsec.

  Vous pouvez créer la paire à l'aide d'un outil standard ouvert. La paire doit répondre aux exigences décrites dans Étape 4 : configurer votre routeur sur site.

• Assurez-vous de disposer d'un appareil compatible avec MACsec à votre extrémité de la connexion.

• Le Secure Channel Identifier (SCI) doit être activé.

• Seules les clés MACsec 256 bits sont prises en charge, offrant ainsi la toute dernière protection avancée des données.

Rôles liés à un service

AWS Direct Connect utilise des AWS Identity and Access Management rôles liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Direct Connect Les rôles liés au service sont prédéfinis par AWS Direct Connect et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Un rôle lié à un service facilite la configuration AWS Direct Connect car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Direct Connect définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Direct Connect peut assumer ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM. Pour plus d’informations, consultez Rôles liés à un service pour Direct Connect.

Considérations clés sur le protocole CKN/CAK pré-partagé par MACsec

AWS Direct Connect utilise des CMK AWS gérées pour les clés pré-partagées que vous associez à des connexions ou à des LAG. Secrets Manager stocke vos paires CKN et CAK pré-partagées sous forme de secret chiffré par la clé racine du Secrets Manager. Pour en savoir plus, veuillez consulter la rubrique CMK gérées par AWS dans le Guide du développeur AWS Key Management Service .

La clé stockée est par nature en lecture seule, mais vous pouvez planifier une suppression de sept à trente jours à l'aide de la console ou de l'API AWS Secrets Manager. Lorsque vous planifiez une suppression, le CKN ne peut pas être lu, ce qui peut affecter votre connectivité réseau. Dans ce cas, nous appliquons les règles suivantes :

• Si la connexion est en attente, nous dissocions le CKN de la connexion.

• Si la connexion est disponible, nous en informons le propriétaire par e-mail. Si vous ne prenez aucune mesure dans les 30 jours, nous dissocierons le CKN de votre connexion.

Lorsque nous dissocions le dernier CKN de votre connexion et que le mode de chiffrement de la connexion est défini sur « doit chiffrer », nous définissons le mode sur « should_encrypt » pour éviter toute perte soudaine de paquets.

Étape 1 : Créer une connexion

Pour commencer à utiliser MACsec, vous devez activer cette fonctionnalité lorsque vous créez une connexion dédiée. Pour plus d’informations, consultez Créer une connexion à l'aide de l'assistant de connexion.

(Facultatif) Étape 2 : créer un groupe d'agrégation de liaisons (LAG)

Si vous utilisez plusieurs connexions à des fins de redondance, vous pouvez créer un LAG compatible avec MACsec. Pour plus d’informations, consultez Considérations sur la MACsec et Créer un LAG.

Étape 3 : associer le CKN/CAK à la connexion ou au LAG

Après avoir créé la connexion ou le LAG compatible avec MACsec, vous devez associer un CKN/CAK à la connexion. Pour plus d'informations, consultez les étapes suivantes :

• Associer une MACsec CKN/CAK à une connexion

• Associer une MACsec CKN/CAK à un LAG

Étape 4 : configurer votre routeur sur site

Mettez à jour votre routeur sur site avec la clé secrète MACsec. La clé secrète MacSec du routeur local et celle de l' AWS Direct Connect emplacement doivent correspondre. Pour plus d’informations, consultez Télécharger le fichier de configuration du routeur.

Étape 5 : (Facultatif) supprimer l'association entre le CKN/CAK et la connexion ou le LAG

Si vous devez supprimer l'association entre la clé MACsec et la connexion ou le LAG, consultez l'une des manières suivantes :

• Supprimer l'association entre une connexion et une clé secrète MACsec

• Supprimer l'association entre un LAG et une clé secrète MACsec