での MAC セキュリティ AWS Direct Connect

MACsec の主な概念は次のとおりです。

• MAC Security (MACsec) — IEEE 802.1 レイヤー 2 標準の 1 つで、データの機密性、データの整合性、およびデータオリジンの信頼性を定義しています。このプロトコルの詳細については、「802.1AE: MAC Security (MACsec)」を参照してください。

• Secure Association Key (SAK) — お客様のオンプレミスルーターと Direct Connect ロケーションの接続ポート間の MACsec 接続を確立するセッションキー。SAK は事前共有ではなく、暗号化キー生成プロセスを通じて CKN/CAK ペアから自動的に取得されます。この取得は、CKN/CAK ペアを指定してプロビジョニングした後、接続の両端で行われます。SAK は、セキュリティ上の目的および MACsec セッションが確立されるたびに定期的に再生成されます。

• Connectivity Association Key Name (CKN) と Connectivity Association Key (CAK) — このペアの値は、MACsec キーの生成に使用されます。ペア値を生成して AWS Direct Connect 接続に関連付け、 AWS Direct Connect 接続の最後にエッジデバイスにプロビジョニングします。Direct Connect は静的 CAK モードのみをサポートしますが、動的 CAK モードはサポートしません。静的 CAK モードのみがサポートされているため、キーの生成、配布、ローテーションについては独自のキー管理ポリシーに従うことをお勧めします。

• キー形式 — キー形式は 16 進数文字、正確に 64 文字を使用する必要があります。Direct Connect は、64 文字の 16 進文字列に対応する専用接続の Advanced Encryption Standard (AES) 256 ビットキーのみをサポートします。

• 暗号化モード — Direct Connect は 2 つの MACsec 暗号化モードをサポートしています。

  • must_encrypt — このモードでは、接続にはすべてのトラフィックに対して MACsec 暗号化が必要です。MACsec ネゴシエーションが失敗するか、暗号化を確立できない場合、接続はトラフィックを送信しません。このモードは最高のセキュリティ保証を提供しますが、MACsec 関連の問題がある場合、可用性に影響を与える可能性があります。

  • should_encrypt — このモードでは、接続は MACsec 暗号化を確立しようとしますが、MACsec ネゴシエーションが失敗すると、暗号化されていない通信にフォールバックします。このモードでは、柔軟性と可用性が向上しますが、特定の障害シナリオでは暗号化されていないトラフィックを許可する場合があります。

  暗号化モードは接続設定中に設定でき、後で変更できます。デフォルトでは、新しい MACsec 対応接続は「should_encrypt」モードに設定され、初期設定中の潜在的な接続の問題を防ぎます。

• CNN/CAK ローテーション (手動)

  Direct Connect MACsec は、最大 3 つの CKN/CAK ペアを保存できる容量を持つ MACsec キーチェーンをサポートします。これにより、接続を中断することなく、これらの長期キーを手動でローテーションできます。associate-mac-sec-key コマンドを使用して新しい CKN/CAK ペアを関連付ける場合は、デバイスで同じペアを設定する必要があります。Direct Connect デバイスは、最後に追加されたキーの使用を試みます。そのキーがデバイスのキーと一致しない場合、以前の作業キーにフォールバックし、ローテーション中の接続の安定性を確保します。

  associate-mac-sec-key の使用については、「associate-mac-sec-key」を参照してください。

• Secure Association Key (SAK) のローテーション (自動）

  アクティブな CKN/CAK ペアから派生した SAK は、以下に基づいて自動ローテーションを実行します。

  • 時間間隔

  • 暗号化されたトラフィックの量

  • MACsec セッションの確立

  このローテーションはプロトコルによって自動的に処理され、接続を中断することなく透過的に行われ、手動による介入は必要ありません。SAK は永続的に保存されることはなく、IEEE 802.1X 標準に従った安全なキー取得プロセスを通じて再生成されます。

• MACsec は、選択された POP (Point Of Presence) において、10Gbps、100Gbps、および400Gbpsの専用 Direct Connect 接続でサポートされています。これらの接続では、次の MACsec 暗号スイートがサポートされています。

  • 10Gbps 接続の場合、GCM-AES-256 および GCM-AES-XPN-256。

  • 100 Gbps、400 Gbps 接続の場合、GCM-AES-XPN-256。

• 256 ビット MACsec キーのみがサポートされています。

• 100 Gbps および 400 Gbps 接続には、拡張パケット番号付け (XPN) が必要です。10Gbps 接続の場合、Direct Connect は GCM-AES-256 と GCM-AES-XPN-256 の両方をサポートします。100 Gbps 専用接続や 400 Gbps 専用接続などの高速接続では、MACsecの元の32ビットパケット番号空間がすぐに枯渇してしまうため、新しい接続アソシエーションを確立するために数分ごとに暗号鍵をローテーションする必要があります。この状況を回避するため、IEEE Std 802.1AEbw -2013 修正では、拡張パケット番号付けが導入され、番号付けスペースが 64 ビットに拡大され、キーローテーションの適時性要件が緩和されました。

• Secure Channel Identifier (SCI) は必須であり、オンにする必要があります。この設定は調整できません。

• IEEE 802.1Q (Dot1q/VLAN) タグ offset/dot1q-in-clear は、暗号化されたペイロードの外部への VLAN タグの移動ではサポートされていません。

• MACsec キーの CKN/CAK ペアを作成します。

  このペアの作成には、公開された標準ツールが使用できます。作成するペアは、ステップ 4: オンプレミスのルーターを設定する で指定された要件を満たしている必要があります。

• 接続の末端には、MacSec をサポートする適切なデバイスが設置されている必要があります。

• Secure Channel Identifier (SCI) をオンにする必要があります。

• 256 ビットの MACsec キーのみがサポートされており、最新の高度なデータ保護を提供します。

• LAGsは、MACsec 暗号化をサポートする MACsec 対応専用接続で構成されている必要があります

• LAG 内のすべての接続は同じ帯域幅で、MACsec をサポートしている必要があります

• MACsec 設定は、LAG 内のすべての接続に均一に適用されます。

• LAG 作成と MACsec を同時に有効にできます

• すべての LAG リンクでいつでも使用できる MACsec キーは 1 つだけです。複数の MACsec キーをサポートする機能は、キーローテーションのみを目的としています。

• 接続が保留状態の場合は、その接続での CKN の関連付けを解除します。

• 接続が使用可能な状態の場合は、接続の所有者に電子メールで通知します。所有者が 30日以内に何らかの措置を講じなかった場合は、対象の CKN の接続との関連付けが当社により解除されます。