MAC安全性 Amazon Direct Connect - Amazon Direct Connect
MACsec概念MACsec密钥轮换支持的连接MACsec在专用连接上
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

MAC安全性 Amazon Direct Connect

MAC安全 (MACsec) 是一种提供数据机密性、数据完整性和数据来源真实性的IEEE标准。MACSec通过交叉连接提供第 2 层 point-to-point加密。 Amazon MACSec在第 2 层运行于两台第 3 层路由器之间,并在第 2 层域上提供加密。流经 Amazon 全球网络且与数据中心和区域互连的所有数据在离开数据中心之前都会在物理层自动加密。

在下图中,专用连接和您的本地资源都必须支持MACsec。通过专用连接传入或传出数据中心的第 2 层流量都经过加密。

MACsec概述

MACsec概念

以下是以下关键概念MACsec:

  • MAC安全 (MACsec) — IEEE 802.1 第 2 层标准,提供数据机密性、数据完整性和数据来源真实性。有关该协议的更多信息,请参阅 802.1AE:MAC安全 () MACsec

  • MACsecs@@ ecret k ey — 一种预共享密钥,用于在客户本地路由器和该 Amazon Direct Connect 位置的连接端口之间建立连接。MACsec密钥由连接末端的设备使用您提供给设备 Amazon 并在设备上配置的CKN/CAK对生成。

  • 连接密钥名称 (CKN)连接关联密钥 (CAK)-这对中的值用于生成MACsec密钥。您可以生成配对值,将其与 Amazon Direct Connect 连接关联,然后在 Amazon Direct Connect 连接结束时在边缘设备上进行配置。

MACsec密钥轮换

轮换钥匙时,钥匙串支持密MACsec钥翻转。Direct Connect MACsec 支持最多可存储三CAK对 CKN /对MACsec钥匙扣。您可以使用associate-mac-sec-key命令将CKN/CAK对与现有的MACsec已启用的连接相关联。然后,在 Amazon Direct Connect 连接端的设备上配置相同的CKN/CAK对。Direct Connect 设备将尝试使用上次存储的密钥进行连接。如果该密钥与设备上的密钥不一致,则 Direct Connect 将继续使用之前的工作密钥。

有关使用的信息associate-mac-sec-key,请参阅associate-mac-sec-key

支持的连接

MACsec在专用连接上可用。有关如何订购支持的连接的信息MACsec,请参阅Amazon Direct Connect

MACsec在专用连接上

以下内容可帮助您熟悉MACsec Amazon Direct Connect 专用连接。使用不收取任何额外费用MACsec。

有关在专用连接MACsec上进行配置的步骤,请参阅开始使用MACsec专用连接。在专用连接MACsec上进行配置之前,请注意以下几点:

  • MACsec在选定的接入点支持 10 Gbps、100 Gbps 和 400 Gbps 的专用 Direct Connect 连接。对于这些连接,支持以下MACsec密码套件:

    • 对于 10Gbps 连接,-256 和 GCM AES -256。 GCM-AES-XPN

    • 对于 100 Gbps 和 400 Gbps 的连接, GCM-AES-XPN-256。

  • 仅支持 256 位MACsec密钥。

  • 100Gbps 和 400 Gbps 连接需要扩展数据包编号 (XPN)。对于 10Gbps 连接,Direct Connect 同时支持-256 和 GCM AES -256。 GCM-AES-XPN高速连接(例如 100 Gbps 和 400 Gbps 的专用连接)可能会很快耗尽最初MACsec的 32 位数据包编号空间,这将要求您每隔几分钟轮换一次加密密钥才能建立新的连接关联。为了避免这种情况,IEEE标准802.1-AEbw 2013修正案引入了扩展的数据包编号,将编号空间增加到64位,从而放宽了密钥轮换的及时性要求。

  • “安全通道标识符” (SCI) 是必填项,必须将其打开。此设置无法调整。

  • IEEE不支持 802.1Q (dot1q/VLAN) 标签 offset/dot1 将标签移出加密有效q-in-clear 负载。VLAN

有关 Direct Connect 和的MACsec更多信息MACsec,请参阅Amazon Direct Connect FAQs

MACsec专用连接的先决条件

在专用连接MACsec上进行配置之前,请完成以下任务。

  • 为MACsec密钥创建CKN/CAK对。

    您可以使用开放标准工具创建该对。该对必须满足 步骤 4:配置本地路由器 中指定的要求。

  • 确保您的连接端有支持的设备MACsec。

  • 必须开启安全通道标识符 (SCI)。

  • 仅支持 256 位MACsec密钥,提供最新的高级数据保护。

服务相关角色

Amazon Direct Connect 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与之直接关联的独特IAM角色类型。 Amazon Direct Connect服务相关角色由服务预定义 Amazon Direct Connect ,包括该服务代表您调用其他 Amazon 服务所需的所有权限。服务相关角色使设置变得 Amazon Direct Connect 更加容易,因为您不必手动添加必要的权限。 Amazon Direct Connect 定义其服务相关角色的权限,除非另有定义,否则 Amazon Direct Connect 只能担任其角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。有关更多信息,请参阅 Direct Connect 的服务相关角色

MACsec预共享CKN/CAK关键注意事项

Amazon Direct Connect CMKs对与连接关联的预共享密钥使用 Amazon 托管或LAGs。Secrets Manager 将您的预共享CKN内容和CAK配对存储为密钥,由 Secrets Manager 的根密钥进行加密。有关更多信息,请参阅《Amazon Key Management Service 开发人员指南》CMKs中的Amazon 托管

存储的密钥在设计上是只读的,但你可以使用 S Amazon ecrets Manager 控制台或API安排七到三十天的删除。当您计划删除时,CKN无法读取,这可能会影响您的网络连接。发生这种情况时,我们会采用以下规则:

  • 如果连接处于待处理状态,我们会取消与连接CKN的关联。

  • 如果连接处于可用状态,我们会通过电子邮件通知连接所有者。如果您在 30 天内未采取任何行动,我们会取消与您的连接CKN的关联。

当我们取消最后一个CKN与你的连接的关联并将连接加密模式设置为 “必须加密” 时,我们会将模式设置为 “should_encrypt”,以防止数据包突然丢失。