本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的 MAC 安全性 Direct Connect
MAC Security (MACsec) 是 IEEE 標準,提供資料機密性、資料完整性和資料來源真實性。MACsec 透過交叉連線提供第 2 層point-to-point加密 AWS,可在兩個第 3 層路由器之間運作。雖然 MACsec 保護路由器與第 2 層 Direct Connect 位置之間的連線,但當實體層在 Direct Connect 位置與 AWS 區域之間透過網路流動時, 會透過加密實體層上的所有資料 AWS 來提供額外的安全性。這會建立分層安全方法,在初始進入網路期間 AWS 以及在跨 AWS 網路傳輸期間保護您的流量。
在下圖中, Direct Connect 交叉連接必須連接到客戶邊緣裝置上具備 MACsec 功能的介面。透過 Direct Connect 的 MACsec 為 Direct Connect 邊緣裝置和客戶邊緣裝置之間的point-to-point流量提供第 2 層加密。在交叉連線兩端的介面之間交換和驗證安全金鑰之後,就會發生此加密。
**注意**
MACsec 在乙太網路連結上提供point-to-point安全性;因此,它不會跨多個循序乙太網路或其他網路區段提供end-to-end加密。
![\[MACsec 概觀\]](http://docs.aws.amazon.com/zh_tw/directconnect/latest/UserGuide/images/macsec-overview.png)
## MACsec 概念
以下是 MACsec 的重要概念:
+ **MAC Security (MACsec)** — 是 IEEE 802.1 Layer 2 標準,提供資料機密性、資料完整性和資料來源真實性。如需有關通訊協定的詳細資訊,請參閱 [802.1AE: MAC Security (MACsec)](https://1.ieee802.org/security/802-1ae/)。
+ **安全關聯金鑰 (SAK)** — 工作階段金鑰,可在客戶內部部署路由器與 Direct Connect 位置的連接埠之間建立 MACsec 連線。SAK 不是預先共用的,而是透過密碼編譯金鑰產生程序自動衍生自 CKN/CAK 對。在您提供和佈建 CKN/CAK 對之後,此衍生會在連線的兩端發生。基於安全考量,每當建立 MACsec 工作階段時,SAK 都會定期重新產生。
+ **連線關聯金鑰名稱 (CKN) ** 和**連線關聯金鑰 (CAK) **— 此對中的值用於產生 MACsec 金鑰。您可以產生配對值,將它們與 Direct Connect 連線建立關聯,然後在 Direct Connect 連線結束時將其佈建在邊緣裝置上。Direct Connect 僅支援靜態 CAK 模式,但不支援動態 CAK 模式。由於僅支援靜態 CAK 模式,建議您遵循自己的金鑰管理政策來產生、分發和輪換金鑰。
+ **金鑰格式 **— 金鑰格式應使用十六進位字元,長度剛好為 64 個字元。Direct Connect 僅支援專用連線的進階加密標準 (AES) 256 位元金鑰,對應於 64 個字元的十六進位字串。
+ **加密模式** — Direct Connect 支援兩種 MACsec 加密模式:
+ must\$1encrypt — 在此模式中,連線需要所有流量的 MACsec 加密。如果 MACsec 交涉失敗或無法建立加密,連線將不會傳輸任何流量。此模式提供最高的安全性保證,但如果有任何 MACsec 相關問題,可能會影響可用性。
+ should\$1encrypt — 在此模式中,連線會嘗試建立 MACsec 加密,但如果 MACsec 交涉失敗,則會回復為未加密的通訊。此模式提供更大的彈性和更高的可用性,但在某些情況下,可能會允許未加密的流量。
加密模式可以在連線組態期間設定,之後可以修改。根據預設,啟用 MACsec 的新連線會設定為「should\$1encrypt」模式,以防止在初始設定期間發生潛在的連線問題。
## MACsec 金鑰輪換
+ **CNN/CAK 輪換 (手動) **
Direct Connect MACsec 支援容量高達三個 CKN/CAK 對的 MACsec 金鑰鏈。這可讓您手動輪換這些長期金鑰,而不會中斷連線。當您使用 `associate-mac-sec-key`命令關聯新的 CKN/CAK 配對時,您必須在裝置上設定相同的配對。Direct Connect 裝置會嘗試使用最近新增的金鑰。如果該金鑰與您裝置的金鑰不相符,則會回復到先前的工作金鑰,以確保輪換期間的連線穩定性。
如需使用 的資訊`associate-mac-sec-key`,請參閱 [associate-mac-sec-key](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/directconnect/associate-mac-sec-key.html)。
+ **安全關聯金鑰 (SAK) 輪換 (自動)**
SAK 衍生自作用中 CKN/CAK 對,會根據下列項目進行自動輪換:
+ 時間間隔
+ 加密流量
+ MACsec 工作階段建立
此輪換是由通訊協定自動處理、以透明方式進行,而不會中斷連線,而且不需要手動介入。SAK 永遠不會持續儲存,並透過遵循 IEEE 802.1X 標準的安全金鑰衍生程序進行重新產生。
## 支援的連線
MACsec 可在專用的 Direct Connect 連線和連結彙總群組上使用:
**Topics**
+ [
### 專用連線
](#direct-connect-mac-sec-dedicated)
+ [
### LAG
](#direct-connect-mac-sec-lags)
+ [
### 合作夥伴互連
](#direct-connect-mac-sec-partners)
**注意**
使用支援裝置的合作夥伴可以使用 MACsec 來加密其邊緣網路裝置與 Direct Connect 裝置之間的第 2 層連線。啟用此功能的合作夥伴可以加密周遊安全連結的所有流量。MACsec 加密會在第 2 層的兩個特定裝置之間運作,在託管連線上不支援。
如需如何排序支援 MACsec 的連線之詳細資訊,請參閱 [AWS Direct Connect](https://aws.amazon.com/directconnect/?nc=sn&loc=0)。
### 專用連線
以下可協助您熟悉 Direct Connect 專用連線上的 MACsec。使用 MACsec 無需額外費用。您可以在 中找到在專用連線上設定 MACsec 的步驟[在專用連線上開始使用 MACsec ](create-macsec-dedicated.md)。
合作夥伴互連操作遵循與專用連線相同的程序。當您執行合作夥伴互連的 CLI 或 SDK 命令時,回應將包含適用的 MACsec 相關資訊。
#### 專用連線的 MACsec 先決條件
請注意專用連線上 MACsec 的下列需求:
+ 在選取的存在點,10 Gbps 、100 Gbps 和 400 Gbps 專用 Direct Connect 連線支援 MACsec。對於這些連線,支援下列 MACsec 密碼套件:
+ 對於 10Gbps 連線,GCM-AES-256 和 GCM-AES-XPN-256。
+ 對於 100 Gbps 和 400 Gbps 連線,GCM-AES-XPN-256。
+ 僅支援 256 位元 MACsec 金鑰。
+ 100Gbps 和 400 Gbps 連線需要擴充封包編號 (XPN)。對於 10Gbps 連線,Direct Connect 同時支援 GCM-AES-256 和 GCM-AES-XPN-256。100 Gbps 和 400 Gbps 專用連線等高速連線可以快速耗盡 MACsec 的原始 32 位元封包編號空間,這需要您每隔幾分鐘輪換加密金鑰以建立新的連線關聯。為了避免這種情況,IEEE Std 802.1AEbw-2013 修訂引入了延伸封包編號,將編號空間增加到 64 位元,減輕了金鑰輪換的及時性要求。
+ 安全頻道識別符 (SCI) 是必要項目,且必須開啟。此設定無法調整。
+ IEEE 802.1Q (Dot1q/VLAN) 標籤位移/dot1q-in-clear 不支援將 VLAN 標籤移出加密的承載。
此外,在專用連線上設定 MACsec 之前,您應該完成下列任務。
+ 為 MACsec 金鑰建立 CKN/CAK 對。
您可以使用開放的標準工具建立配對。配對必須符合 [步驟 4:設定內部部署路由器](create-macsec-dedicated.md#associate-key-router) 中指定的要求。
+ 確認您連線端的裝置支援 MACsec。
+ 必須開啟安全頻道識別符 (SCI)。
+ 僅支援 256 位元 MACsec 金鑰,可提供最新的進階資料保護。
### LAG
下列需求可協助您熟悉適用於 Direct Connect 連結彙總群組 (LAGs MACsec:
+ LAGs必須由具備 MACsec 功能的專用連線組成,支援 MACsec 加密
+ LAG 中的所有連線都必須具有相同的頻寬,並支援 MACsec
+ MACsec 組態會平均套用到 LAG 中的所有連線
+ 啟用 LAG 建立和 MACsec 可以同時完成
+ 所有 LAG 連結隨時只能使用單一 MACsec 金鑰。支援多個 MACsec 金鑰的功能僅用於金鑰輪換目的。
### 合作夥伴互連
擁有互連的合作夥伴帳戶可以在該實體連線或 LAG 上使用 MACsec。這些操作與專用連線相同,但它們是使用合作夥伴特定的 API/SDK 呼叫來執行。
## 服務連結角色
Direct Connect use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 的唯一 IAM 角色類型 Direct Connect。服務連結角色由 預先定義, Direct Connect 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。服務連結角色可讓您更 Direct Connect 輕鬆地設定,因為您不必手動新增必要的許可。 Direct Connect 會定義其服務連結角色的許可,除非另有定義,否則只能 Direct Connect 擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。如需詳細資訊,請參閱[Direct Connect 的服務連結角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)。
## MACsec 預先共用 CKN/CAK 金鑰考量
AWS Direct Connect 會將 AWS 受管 CMKs 用於您與連線或 LAGs 建立關聯的預先共用金鑰。Secrets Manager 將您預先共用的 CKN 和 CAK 對儲存為密碼,Secrets Manager 的根金鑰會對該密碼加密。如需詳細資訊,請參閱《*AWS Key Management Service 開發人員指南*》中的 [AWS 受管 CMK](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#master_keys)。
儲存的金鑰設計為唯讀,但您可以使用 AWS Secrets Manager 主控台或 API 來排程 7 到 30 天的刪除。排程刪除作業時無法讀取 CKN,這可能會影響您的網路連線。發生這種情況時,我們將採用以下規則:
+ 如果連線處於擱置狀態,我們會取消 CKN 與連線的關聯。
+ 如果連線處於可用狀態,我們會透過電子郵件通知連線擁有者。如果您在 30 天內未採取任何行動,我們會取消 CKN 與您連線的關聯。
當我們取消最後一個 CKN 與您連線的關聯,並且將連線加密模式設為「必須加密」時,我們會將模式設置為「should\$1encrypt」以防止突然遺失封包。
# 在專用 Direct Connect 連線上使用 MACsec 入門
下列任務可讓您開始設定要在 Direct Connect 專用連線上使用的 MACsec
## 步驟 1:建立連線
若要開始使用 MACsec,您必須在建立專用連線時開啟此功能。
## (選用) 步驟 2:建立鏈路彙整群組 (LAG)
如果您使用多個連線進行備援,您可以建立支援 MACsec 的 LAG。如需詳細資訊,請參閱[MACsec 考量](lags.md#lag-macsec-considerations)和[建立 LAG](create-lag.md)。
## 步驟 3:將 CKN/CAK 與連線或 LAG 產生關聯
建立支援 MACsec 的連線或 LAG 之後,您需要將 CKN/CAK 與連線產生關聯。如需詳細資訊,請參閱下列其中一個項目:
+ [將 MACsec CKN/CAK 與連線建立關聯](associate-key-connection.md)
+ [將 MACsec CKN/CAK 與 LAG 產生關聯](associate-key-lag.md)
## 步驟 4:設定內部部署路由器
使用 MACsec 私密金鑰來更新您的內部部署路由器。內部部署路由器和 Direct Connect 位置上的 MACsec 私密金鑰必須相符。如需詳細資訊,請參閱[下載路由組態檔案](vif-router-config.md)。
## 步驟 5:(選用) 移除 CKN/CAK 與連線或 LAG 之間的關聯
您可以選擇性地移除 CKN/CAK 與連線或 LAG 之間的關聯。如果您需要移除關聯,請參閱下列其中一項:
+ [移除 MACsec 私密金鑰和連線之間的關聯](disassociate-key-connection.md)
+ [移除 MACsec 私密金鑰和 LAG 之間的關聯](disassociate-key-lag.md)