Segurança MAC em AWS Direct Connect - AWS Direct Connect
MACsec conceitosMACsec rotação de chavesConexões compatíveisPerfis vinculados a serviçoMACsec Principais considerações pré-compartilhadas de CKN/CAK

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Segurança MAC em AWS Direct Connect

O MAC Security (MACsec) é um padrão IEEE que fornece confidencialidade, integridade e autenticidade da origem dos dados. MACsec fornece point-to-point criptografia de camada 2 por meio da conexão cruzada AWS, operando entre dois roteadores de camada 3. Enquanto MACsec protege a conexão entre seu roteador e o local do Direct Connect na camada 2, AWS fornece segurança adicional ao criptografar todos os dados na camada física à medida que eles fluem pela rede entre AWS Direct Connect locais e AWS regiões. Isso cria uma abordagem de segurança em camadas em que seu tráfego é protegido durante a entrada inicial AWS e durante o trânsito pela AWS rede.

No diagrama a seguir, a AWS Direct Connect conexão cruzada deve estar conectada a uma interface MACsec compatível no dispositivo de ponta do cliente. MACsec over Direct Connect fornece criptografia de camada 2 para o point-to-point tráfego entre o dispositivo de borda do Direct Connect e o dispositivo de borda do cliente. Essa criptografia ocorre depois que as chaves de segurança são trocadas e verificadas entre as interfaces nas duas extremidades da conexão cruzada.

nota

MACsec fornece point-to-point segurança em links Ethernet; portanto, não fornece end-to-end criptografia em vários segmentos sequenciais de Ethernet ou outros segmentos de rede.

MACsec visão geral

MACsec conceitos

A seguir estão os conceitos-chave para MACsec:

  • MAC Security (MACsec) — Um padrão IEEE 802.1 de camada 2 que fornece confidencialidade, integridade e autenticidade da origem dos dados. Para obter mais informações sobre o protocolo, consulte 802.1AE: Segurança MAC () MACsec.

  • Chave de associação segura (SAK) — Uma chave de sessão que estabelece a MACsec conectividade entre o roteador local do cliente e a porta de conexão no local do Direct Connect. O SAK não é pré-compartilhado, mas derivado automaticamente do CKN/CAK pair through a cryptographic key generation process. This derivation happens at both ends of the connection after you provide and provision the CKN/CAK par. O SAK é regenerado periodicamente para fins de segurança e sempre que uma MACsec sessão é estabelecida.

  • Nome da chave de associação de conectividade (CKN) e chave de associação de conectividade (CAK) — Os valores desse par são usados para gerar a MACsec chave. Você gera os valores do par, os associa a uma AWS Direct Connect conexão e, em seguida, os provisiona em seu dispositivo de borda no final da AWS Direct Connect conexão. O Direct Connect suporta somente o modo CAK estático, mas não o modo CAK dinâmico. Como somente o modo CAK estático é suportado, é recomendável que você siga suas próprias políticas de gerenciamento de chaves para geração, distribuição e rotação de chaves.

  • Formato da chave — O formato da chave deve usar caracteres hexadecimais, exatamente 64 caracteres de comprimento. O Direct Connect suporta somente chaves de 256 bits do Advanced Encryption Standard (AES) para conexões dedicadas, o que corresponde a uma sequência hexadecimal de 64 caracteres.

  • Modos de criptografia — o Direct Connect suporta dois modos de MACsec criptografia:

    • must_encrypt — Nesse modo, a conexão exige MACsec criptografia para todo o tráfego. Se MACsec a negociação falhar ou a criptografia não puder ser estabelecida, a conexão não transmitirá nenhum tráfego. Esse modo oferece a maior garantia de segurança, mas pode afetar a disponibilidade se houver algum problema MACsec relacionado.

    • should_encrypt — Nesse modo, a conexão tenta estabelecer a MACsec criptografia, mas retornará à comunicação não criptografada se a negociação falhar. MACsec Esse modo oferece mais flexibilidade e maior disponibilidade, mas pode permitir tráfego não criptografado em determinados cenários de falha.

    O modo de criptografia pode ser definido durante a configuração da conexão e pode ser modificado posteriormente. Por padrão, novas conexões MACsec habilitadas são definidas no modo “should_encrypt” para evitar possíveis problemas de conectividade durante a configuração inicial.

MACsec rotação de chaves

  • Rotação CNN/CAK (manual)

    O Direct Connect MACsec suporta MACsec chaveiros com capacidade para armazenar até três CKN/CAK pairs. This allows you to manually rotate these long-term keys without connection disruption. When you associate a new CKN/CAK pares usando o associate-mac-sec-key comando. Você deve configurar o mesmo par em seu dispositivo. O dispositivo Direct Connect tenta usar a chave adicionada mais recentemente. Se essa chave não corresponder à chave do seu dispositivo, ela volta para a tecla de trabalho anterior, garantindo a estabilidade da conexão durante a rotação.

    Para obter informações sobre o usoassociate-mac-sec-key, consulte associate-mac-sec-key.

  • Rotação da Chave de Associação Segura (SAK) (automática)

    O SAK, que é derivado do par CKN/CAK ativo, passa por rotação automática com base no seguinte:

    • intervalos de tempo

    • volume de tráfego criptografado

    • MACsec estabelecimento da sessão

    Essa rotação é feita automaticamente pelo protocolo, ocorre de forma transparente sem interromper a conexão e não requer intervenção manual. O SAK nunca é armazenado de forma persistente e é regenerado por meio de um processo seguro de derivação de chaves que segue o padrão IEEE 802.1X.

Conexões compatíveis

MACsec está disponível em conexões Direct Connect dedicadas e grupos de agregação de links:

MACsec Conexões suportadas
nota

As conexões hospedadas e as associações do Direct Connect Gateway não oferecem suporte à MACsec criptografia.

Para obter informações sobre como solicitar conexões compatíveis MACsec, consulte AWS Direct Connect.

Conexões dedicadas do

O seguinte ajuda você a se familiarizar com MACsec as conexões AWS Direct Connect dedicadas. Não há cobranças adicionais pelo uso MACsec. As etapas para configurar MACsec em uma conexão dedicada podem ser encontradas emComece com MACsec uma conexão dedicada.

MACsec pré-requisitos para conexões dedicadas

Observe os seguintes requisitos para MACsec conexões dedicadas:

  • MACsec é suportado em conexões Direct Connect dedicadas de 10 Gbps, 100 Gbps e 400 Gbps em pontos de presença selecionados. Para essas conexões, os seguintes conjuntos de MACsec cifras são suportados:

    • Para conexões de 10 Gbps: GCM-AES-256 e GCM-AES-XPN-256.

    • Para conexões de 100 Gbps e 400 Gbps, GCM-AES-XPN -256.

  • Somente MACsec chaves de 256 bits são suportadas.

  • A numeração de pacotes estendida (XPN, na sigla em inglês) é necessária para conexões de 100 Gbps e de 400 Gbps. Para conexões de 10 Gbps, o Direct Connect suporta GCM-AES-256 e -256. GCM-AES-XPN Conexões de alta velocidade, como conexões dedicadas de 100 Gbps e 400 Gbps, podem esgotar MACsec rapidamente o espaço original de numeração de pacotes de 32 bits, o que exigiria que você girasse suas chaves de criptografia a cada poucos minutos para estabelecer uma nova Associação de Conectividade. Para evitar essa situação, a emenda IEEE Std 802.1 AEbw -2013 introduziu a numeração estendida de pacotes, aumentando o espaço de numeração para 64 bits, facilitando o requisito de pontualidade para rotação de chaves.

  • O Identificador de Canal Seguro (SCI, na sigla em inglês) é obrigatório e deve estar ativado. Esta configuração não pode ser ajustada.

  • O offset/dot1 da tag IEEE 802.1Q (dot1q/VLAN) não é suportado para mover uma tag de VLAN para fora de uma carga q-in-clear criptografada.

Além disso, você deve concluir as tarefas a seguir antes de configurar MACsec em uma conexão dedicada.

  • Crie um par CKN/CAK para a chave. MACsec

    Você pode criar o par usando uma ferramenta aberta padrão. O par deve atender aos requisitos especificados em Etapa 4: configurar um roteador on-premises.

  • Verifique se você tem um dispositivo na sua extremidade da conexão que ofereça suporteMACsec.

  • O Identificador de Canal Seguro (SCI) deve estar ativado.

  • Somente MACsec chaves de 256 bits são suportadas, fornecendo a proteção de dados avançada mais recente.

LAGs

Os requisitos a seguir ajudam você a se familiarizar com os grupos MACsec de agregação de links do Direct Connect (LAGs):

  • LAGs deve ser composto por conexões MACsec dedicadas capazes de suportar criptografia MACsec

  • Todas as conexões dentro de um LAG devem ter a mesma largura de banda e suporte MACsec

  • MACsec a configuração se aplica uniformemente em todas as conexões no LAG

  • A criação e a MACsec capacitação do LAG podem ser feitas simultaneamente

Perfis vinculados a serviço

AWS Direct Connect usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Direct Connect As funções vinculadas ao serviço são predefinidas AWS Direct Connect e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. Uma função vinculada ao serviço facilita a configuração AWS Direct Connect porque você não precisa adicionar manualmente as permissões necessárias. AWS Direct Connect define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Direct Connect pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM. Para obter mais informações, consulte Perfis vinculados a serviço para o Direct Connect.

MACsec Principais considerações pré-compartilhadas de CKN/CAK

AWS Direct Connect usos AWS gerenciados CMKs para as chaves pré-compartilhadas que você associa às conexões ou LAGs. O Secrets Manager armazena seus pares CKN e CAK pré-compartilhados como um segredo que a chave raiz do Secrets Manager criptografa. Para obter mais informações, consulte AWS gerenciado CMKs no Guia do AWS Key Management Service desenvolvedor.

Por padrão, a chave armazenada é somente para leitura, mas você pode agendar uma exclusão de sete a trinta dias usando o console ou a API do Secrets Manager AWS . Quando você agenda uma exclusão, o CKN não pode ser lido e isso poderá afetar sua conectividade de rede. Quando isso acontece, aplicamos as seguintes regras:

  • Se a conexão estiver em um estado pendente, desassociaremos o CKN da conexão.

  • Se a conexão estiver em um estado disponível, notificaremos o proprietário da conexão por e-mail. Se você não adotar nenhuma medida em até 30 dias, desassociaremos o CKN da sua conexão.

Quando desassociarmos o último CKN da sua conexão e o modo de criptografia da conexão estiver definido como “deve criptografar”, definiremos o modo como “should_encrypt” para evitar a perda repentina de pacotes.