Direct Connect의 MAC 보안

다음은 MACsec의 핵심 개념입니다.

• MAC 보안(MACsec) — 데이터 기밀성, 데이터 무결성 및 데이터 원본 신뢰성을 제공하는 IEEE 802.1 Layer 2 표준입니다. 프로토콜에 대한 자세한 내용은 802.1AE: MAC 보안(MACsec)을 참조하세요.

• 보안 연결 키(SAK) — 고객 온프레미스 라우터와 Direct Connect 위치의 연결 포트 간 MACsec 연결을 설정하는 세션 키입니다. SAK는 사전 공유되지 않으며, 암호화 키 생성 과정을 통해 CKN/CAK 페어에서 자동으로 파생됩니다. 이 파생은 CKN/CAK 페어를 제공하고 프로비저닝한 후, 연결 양쪽 끝에서 이루어집니다. SAK는 보안 목적과 MACsec 세션이 설정될 때마다 주기적으로 재생성됩니다.

• 연결 키 이름(CKN)과 연결 키(CAK) - 이 쌍의 값은 MACsec 키를 생성하는 데 사용됩니다. 쌍 값을 생성하여 Direct Connect 연결에 연결하고 Direct Connect 연결 종료 시 엣지 디바이스에 제공합니다. Direct Connect는 정적 CAK 모드만 지원하며 동적 CAK 모드는 지원하지 않습니다. 정적 CAK 모드만 지원되므로, 키 생성, 배포 및 교체에 대한 자체 키 관리 정책을 따르는 것이 권장됩니다.

• 키 형식 - 키 형식은 정확히 64자의 16진수 문자로 구성되어야 합니다. Direct Connect는 전용 연결에 대해 64자 16진수 문자열에 해당하는 고급 암호화 표준(AES) 256비트 키만 지원합니다.

• 암호화 모드 - Direct Connect는 다음 두 가지 MACsec 암호화 모드를 지원합니다:

  • must_encrypt - 이 모드에서는 연결의 모든 트래픽에 대해 MACsec 암호화가 필수입니다. MACsec 협상이 실패하거나 암호화를 설정할 수 없는 경우, 연결은 트래픽을 전송하지 않습니다. 이 모드는 최고 수준의 보안 보장을 제공하지만, MACsec 관련 문제가 발생하면 가용성에 영향을 줄 수 있습니다.

  • should_encrypt - 이 모드에서 연결은 MACsec 암호화를 시도하지만, MACsec 협상에 실패하면 암호화되지 않은 통신으로 전환됩니다. 이 모드는 유연성과 가용성을 높여 주지만, 특정 장애 시나리오에서는 암호화되지 않은 트래픽이 허용될 수 있습니다.

  암호화 모드는 연결 구성 시 설정할 수 있으며, 이후에도 수정할 수 있습니다. 기본적으로 새 MACsec 지원 연결은 초기 설정 중 잠재적인 연결 문제를 방지하기 위해 "should_encrypt" 모드로 설정됩니다.

• CNN/CAK 교체(수동)

  Direct Connect MACsec에서는 CKN/CAK 페어를 3개까지 저장할 수 있는 용량을 갖춘 MACsec 키체인을 지원합니다. 이렇게 하면 연결 중단 없이 이러한 장기 키를 수동으로 교체할 수 있습니다. associate-mac-sec-key 명령을 사용하여 새 CKN/CAK 페어를 연결할 때는 디바이스에서도 동일한 페어를 구성해야 합니다. Direct Connect 디바이스는 가장 최근에 추가된 키를 사용하도록 시도합니다. 해당 키가 디바이스의 키와 일치하지 않으면 이전 정상 작동 키로 폴백되어 교체 중에도 연결 안정성을 보장합니다.

  associate-mac-sec-key 사용에 대한 자세한 내용은 associate-mac-sec-key를 참조하세요.

• 보안 연결 키(SAK) 교체(자동)

  활성 CKN/CAK 페어에서 파생된 SAK는 다음 기준에 따라 자동으로 교체됩니다:

  • 시간 간격

  • 암호화된 트래픽의 양

  • MACsec 세션 설정

  이 교체는 프로토콜에 의해 자동으로 처리되며, 연결을 중단하지 않고 투명하게 이루어지므로 수동 개입이 필요하지 않습니다. SAK는 영구적으로 저장되지 않으며, IEEE 802.1X 표준에 따라 보안 키 파생 프로세스를 통해 재생성됩니다.

• MACsec은 선택된 접속 지점의 10Gbps, 100Gbps 및 400Gbps 전용 Direct Connect 연결에서 지원됩니다. 이러한 연결의 경우 다음과 같은 MACsec 암호 모음이 지원됩니다.

  • 10Gbps 연결의 경우 GCM-AES-256 및 GCM-AES-XPN-256입니다.

  • 100Gbps 및 400Gbps 연결의 경우 GCM-AES-XPN-256입니다.

• 256비트 MACsec 키만 지원됩니다.

• 확장 패킷 번호 지정(XPN)은 100Gbps 및 400Gbps 연결에 필요합니다. 10Gbps 연결의 경우 Direct Connect에서는 GCM-AES-256과 GCM-AES-XPN-256을 모두 지원합니다. 100Gbps 및 400Gbps 전용 연결과 같은 고속 연결은 MACsec 원래 32비트 패킷 번호 지정 공간을 빠르게 소진할 수 있으므로 몇 분마다 암호화 키를 교체하여 새 Connectivity Association을 설정해야 합니다. 이 상황이 방지되도록 IEEE Std 802.1AEbw-2013 수정안에서는 확장 패킷 번호 지정이 도입되어 번호 지정 공간이 64비트로 증가하고 키 교체에 대한 적시성 요건이 완화되었습니다.

• 보안 채널 식별자(SCI)는 필수 사항이며 켜져 있어야 합니다. 이 설정은 조정할 수 없습니다.

• IEEE 802.1Q(Dot1q/VLAN) 태그 offset/dot1q-in-clear는 암호화된 페이로드 외부로 VLAN 태그를 이동하는 데 지원되지 않습니다.

• MACsec 키에 사용할 CKN/CAK 쌍을 생성하세요.

  개방형 표준 도구를 사용하여 쌍을 만들 수 있습니다. 쌍은 4단계: 온프레미스 라우터 구성의 요구 사항을 충족해야 합니다.

• 연결 끝에 MACsec를 지원하는 장치가 있어야 합니다.

• 보안 채널 식별자(SCI)를 켜야 합니다.

• 최신 고급 데이터 보호를 제공하는 256비트 MACsec 키만 지원됩니다.

• LAG는 MACsec 암호화를 지원하는 MACsec 지원 전용 연결로 구성되어야 합니다.

• LAG 내의 모든 연결은 동일한 대역폭을 가져야 하며 MACsec을 지원해야 합니다.

• MACsec 구성은 LAG 내 모든 연결에 동일하게 적용됩니다

• LAG 생성과 MACsec 활성화를 동시에 수행할 수 있습니다

• 언제든지 모든 LAG 링크에서는 단일 MACsec 키만 사용할 수 있습니다. 여러 MACsec 키를 지원하는 기능은 오직 키 교체 목적에만 사용됩니다.

• 연결이 보류 상태인 경우 연결에서 CKN의 연결을 끊습니다.

• 연결이 사용 가능한 상태인 경우 연결 소유자에게 이메일로 알립니다. 30일 이내에 아무 조치도 취하지 않으면 연결에서 CKN의 연결이 끊어집니다.