Começar a usar o MACsec em conexões dedicadas

As tarefas a seguir ajudam você a se familiarizar com o MACsec em conexões AWS Direct Connect dedicadas. Não há cobranças adicionais pelo uso do MACsec.

Antes de configurar o MACsec em uma conexão dedicada, observe o seguinte:

• O MACsec é suportado em conexões Direct Connect dedicadas de 10 Gbps, 100 Gbps e 400 Gbps em pontos de presença selecionados. Para essas conexões, os seguintes conjuntos de cifras MACsec são suportados:

  • Para conexões de 10 Gbps, GCM-AES-256 e GCM-AES-XPN-256.

  • Para conexões de 100 Gbps e 400 Gbps, GCM-AES-XPN-256.

• Somente chaves MACsec de 256 bits são suportadas.

• A Numeração Estendida de Pacotes (XPN) é necessária para conexões de 100 Gbps e 400 Gbps. Para conexões de 10 Gbps, o Direct Connect suporta GCM-AES-256 e GCM-AES-XPN-256. Conexões de alta velocidade, como conexões dedicadas de 100 Gbps e 400 Gbps, podem esgotar rapidamente o espaço original de numeração de pacotes de 32 bits do MACsec, o que exigiria que você girasse suas chaves de criptografia a cada poucos minutos para estabelecer uma nova Associação de Conectividade. Para evitar essa situação, a emenda IEEE Std 802.1aebw-2013 introduziu a numeração estendida de pacotes, aumentando o espaço de numeração para 64 bits, facilitando o requisito de pontualidade para rotação de chaves.

• O Secure Channel Identifier (SCI) é obrigatório e deve estar ativado. Essa configuração não pode ser ajustada.

• O offset/dot1 da tag IEEE 802.1Q (dot1q/VLAN) não é suportado para mover uma tag de VLAN para fora de uma carga q-in-clear criptografada.

Para obter informações adicionais sobre o Direct Connect e o MACsec, consulte a seção MACsec das AWS Direct Connect perguntas frequentes.

Pré-requisitos do MACsec

Conclua as seguintes tarefas antes de configurar o MACsec em uma conexão dedicada.

• Crie um par CKN/CAK para a chave secreta do MACsec.

  Você pode criar o par usando uma ferramenta aberta padrão. O par deve atender aos requisitos especificados em Etapa 4: configurar um roteador on-premises.

• Você deve ter um dispositivo compatível com MACsec em sua extremidade da conexão.

• O Secure Channel Identifier (SCI) deve estar ativado.

• Somente chaves MACsec de 256 bits são suportadas, fornecendo a proteção de dados avançada mais recente.

Perfis vinculados a serviço

AWS Direct Connect usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Direct Connect As funções vinculadas ao serviço são predefinidas AWS Direct Connect e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. Uma função vinculada ao serviço facilita a configuração AWS Direct Connect porque você não precisa adicionar manualmente as permissões necessárias. AWS Direct Connect define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Direct Connect pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM. Para ter mais informações, consulte Perfis vinculados a serviço para o Direct Connect.

Principais considerações sobre CKN/CAK pré-compartilhado do MACsec

AWS Direct Connect usa CMKs AWS gerenciadas para as chaves pré-compartilhadas que você associa a conexões ou LAGs. O Secrets Manager armazena seus pares CKN e CAK pré-compartilhados como um segredo que a chave raiz do Secrets Manager criptografa. Para obter mais informações, consulte CMKs gerenciadas da AWS no Guia do Desenvolvedor do AWS Key Management Service .

Por padrão, a chave armazenada é somente para leitura, mas você pode agendar uma exclusão de sete a trinta dias usando o console ou a API do Secrets Manager AWS . Quando você agenda uma exclusão, o CKN não pode ser lido e isso poderá afetar sua conectividade de rede. Quando isso acontece, aplicamos as seguintes regras:

• Se a conexão estiver em um estado pendente, desassociaremos o CKN da conexão.

• Se a conexão estiver em um estado disponível, notificaremos o proprietário da conexão por e-mail. Se você não adotar nenhuma medida em até 30 dias, desassociaremos o CKN da sua conexão.

Quando desassociarmos o último CKN da sua conexão e o modo de criptografia da conexão estiver definido como “deve criptografar”, definiremos o modo como “should_encrypt” para evitar a perda repentina de pacotes.

Etapa 1: Criar uma conexão

Para começar a usar o MACsec, você deve ativar o recurso ao criar uma conexão dedicada. Para ter mais informações, consulte Criar uma conexão usando o Assistente de conexão.

(Opcional) Etapa 2: criar um grupo de agregação de link (LAG)

Se você usar várias conexões para redundância, poderá criar um LAG compatível com MACsec. Para obter mais informações, consulte MACsecconsiderações e Crie um LAG.

Etapa 3: associar o CKN/CAK à conexão ou ao LAG

Após criar a conexão ou o LAG compatível com MACsec, você precisará associar um CKN/CAK à conexão. Para obter mais informações, consulte um dos seguintes:

• Associar um MACsecCKN/CAKa uma conexão

• Associe um MACsecCKN/CAKa um LAG

Etapa 4: configurar um roteador on-premises

Atualize seu roteador on-premises com a chave secreta MACsec. A chave secreta MACsec no roteador local e no AWS Direct Connect local deve corresponder. Para ter mais informações, consulte Baixar arquivo de configuração do roteador.

Etapa 5: (opcional) remover a associação entre o CKN/CAK e a conexão ou o LAG

Se você precisar remover a associação entre a chave MACsec e a conexão ou o LAG, consulte uma das seguintes opções:

• Remover a associação entre uma chave MACsec secreta e uma conexão

• Remova a associação entre uma chave MACsec secreta e um LAG