Reforçando a segurança: apresentando o MACsec no Direct Link Dedicated

20 de junho de 2025

Premnath Jaganathan

A equipe da Direct Link tem o prazer de anunciar a disponibilidade geral da funcionalidade de segurança Media Access Control (MACsec) para o Direct Link Dedicated. O MACsec oferece criptografia baseada em hardware, garantindo latência mínima e alta taxa de transferência, crucial para aplicações de alta largura de banda. Ele estará disponível em 1º de junho de 2025, e os mercados iniciais incluem Toronto, Montreal, Dallas e Washington DC.

Sobre o IBM Cloud Direct Link Dedicated for VPC

O IBM Cloud Direct Link Dedicated for VPC oferece uma conexão direta de camada 3 OSI de alta velocidade entre a infraestrutura local dos clientes e o IBM Cloud VPC e a infraestrutura clássica, proporcionando baixa latência e rendimento de até 10 Gbps . Projetada para empresas com instalações de colocation próximas ou provedores de serviços que gerenciam circuitos de clientes, essa solução baseada em fibra de locatário único garante conectividade de nuvem híbrida segura e perfeita.

Os benefícios do MACsec

O MACsec protege todo o tráfego de Ethernet, incluindo protocolos do plano de controle, como ARP e DHCP.  O MACsec se destaca no fornecimento de segurança granular e de alto desempenho para links de Ethernet locais. Os benefícios adicionais incluem:  

  • Proteção contra ameaças de camada 2: protege contra falsificação de Mac, envenenamento por ARP e espionagem na rede local.
  • Protege os protocolos do plano de controle: protege DHCP, ARP e LLDP, aprimorando a resiliência geral da infraestrutura de rede.
  • Segurança granular de LAN: criptografa quadros Ethernet na camada 2, fornecendo segurança mais localizada em comparação com o IPsec.
  • Desempenho de taxa de linha com baixa latência: a criptografia e descriptografia baseadas em hardware garantem um impacto mínimo no desempenho, mesmo em altas larguras de banda. Oferece menor latência em comparação com a criptografia baseada em software.
  • Menor sobrecarga da CPU: a criptografia é tratada pelo hardware dedicado, reduzindo a carga da CPU em comparação com o processamento baseado em software do IPsec.
  • Proteção contra ataques passivos: protege contra escutas telefônicas, intrusões e ataques de reprodução.
  • Complementa a segurança de camada superior: adiciona uma camada de segurança local que lida com vulnerabilidades de rede não cobertas por protocolos de camada superior, como o IPsec.

Como funciona o MACsec

Esse padrão de rede de camada 2 (IEEE 802.1AE) fortalece dispositivos conectados à Ethernet por meio de vários mecanismos importantes:

  • Autenticação de origem: os dispositivos MACsec de pares autenticam-se uns aos outros usando uma chave de associação de conectividade (CAK), que consiste em um nome e um segredo, que devem corresponder exatamente entre os pares.
  • Proteção de reprodução: uma janela configurável permite a aceitação de um número definido de quadros fora de sequência, defendendo contra ataques de reprodução.
  • Confidencialidade de dados: após uma sessão segura estar ativa, os dados são criptografados usando uma chave de associação segura (SAK) derivada por meio do protocolo MACsec Key Agreement (MKA), garantindo a privacidade de dados.
  • Integridade dos dados: cada quadro inclui um valor de verificação de integridade (ICV), que deve corresponder aos valores esperados na extremidade de recebimento, garantindo que os dados não foram adulterados.

Essa funcionalidade oferece uma política do MACsec configurável, com um CAK primário e um CAK de fallback opcional. O CAK de fallback atua como backup, protegendo a sessão do MACsec se surgir uma discrepância de nome ou segredo com o CAK primário entre pares. Os segredos do CAK são armazenados com segurança como recursos de chave do Hyper Protect Crypto Services (HPCS) na instância de HPCS do cliente. Depois que os pares forem configurados com uma política do MACsec e CAK(s), o Direct Link iniciará uma sessão do MACsec, protegendo quadros de dados trocados entre o dispositivo com capacidade para MACsec do cliente e o switch de conexão cruzada da IBM.

Roteiro de funcionalidades

A cobertura do MACsec continuará se expandindo para além de seus locais atuais. Todas as novas instalações de comutadores do Direct Link serão compatíveis com o MACsec. A compatibilidade futura com vários CAKs primários com tempo de vida permitirá que os clientes pré-configurem as rotações de CAKs.

O que está por vir?

Use o código promocional de período limitado VPC1000, que oferece US$ 1.000 em créditos gratuitos do IBM Cloud para começar sua jornada do IBM Cloud Direct Link Dedicated.

Saiba mais sobre o IBM Cloud Direct Link

