增强安全性：在 Direct Link Dedicated 上引入 MACsec

计算和服务器 安全

2025 年 6 月 20 日

作者

Premnath Jaganathan

Product Manager

IBM Cloud

Direct Link 团队非常高兴地宣布，Media Access Control 安全 (MACsec) 功能将于 Direct Link Dedicated 正式全面可用。Macsec 提供基于硬件的加密，确保最小延迟和高吞吐量，这对于高带宽应用程序至关重要。首批支持的市场包括多伦多 (Toronto)、蒙特利尔 (Montreal)、达拉斯 (Dallas) 和华盛顿特区 (Washington D.C.)。

关于 IBM Cloud Direct Link Dedicated for VPC

IBM Cloud Direct Link Dedicated for VPC 提供高速的 OSI 第三层直接连接，将客户的本地基础设施与 IBM Cloud VPC 和经典基础设施相连，实现低延迟，并可提供高达 10 Gbps 的吞吐量。该解决方案专为拥有附近托管机房的企业或负责管理客户线路的服务提供商而设计，作为单租户的光纤方案，可确保安全、无缝的混合云连接。

Macsec 的优势

MACsec 可确保所有以太网流量的安全，包括 ARP 和 DHCP 等控制平面协议。Macsec 擅长为本地以太网链路提供精细的高性能安全性。其他优点包括：

  • 抵御第 2 层威胁：防止本地网络内的 Mac 欺骗、ARP 中毒和窃听。
  • 保护控制平面协议：保护 DHCP、ARP 和 LLDP，增强整体网络基础设施的弹性。
  • 精细化 LAN 安全：在第 2 层加密以太网帧，相比 IPsec 提供更本地化的安全防护。
  • 低延迟的线路速率性能：基于硬件的加密与解密确保即使在高带宽下也能将性能影响降到最低。与基于软件的加密相比，延迟更低。
  • 降低 CPU 开销：加密由专用硬件处理，与 IPsec 基于软件的处理相比，可以减少 CPU 负载。
  • 防范被动攻击：防范窃听、入侵和重播攻击。
  • 补充高层安全：增加本地安全层，防护高层协议（如 IPsec）未覆盖的网络漏洞。

MACsec 如何工作

这一第 2 层网络标准 (IEEE 802.1AE) 通过几个关键机制来增强以太网连接设备：

  • 源认证：对等 MACsec 设备使用由名称和密钥组成的连接关联密钥 (CAK) 相互验证，这两个密钥在对等设备之间必须完全匹配。
  • 重播保护：可配置窗口允许接收一定数量的乱序帧，从而防御重播攻击。
  • 数据保密性：一旦激活安全会话，即可使用通过 Macsec 密钥协商 (MQA) 协议派生的安全关联密钥 (SAK) 对数据进行加密，以确保数据隐私。
  • 数据完整性：每个帧都包含一个完整性检验值 (ICV)，该值必须与接收端的预期值相匹配，从而保证数据未被篡改。

此功能提供可配置的 MACsec 策略，具有主 CAK 和可选的后备 CAK。后备 CAK 可充当备份，当对等体之间的主 CAK 出现名称或密钥差异时，可确保 MACsec 会话的安全。CAK 密钥会作为 Hyper Protect Crypto Services (HPCS) 密钥资源安全地存储在客户的 HPCS 实例中。一旦双方配置了 MACsec 策略和 CAK，Direct Link 将启动 MACsec 会话，从而保护客户具备 MACsec 功能的设备与 IBM 交叉连接交换机之间交换的数据帧。

功能路线图

Macsec 的覆盖范围将继续扩大到当前地点之外。所有新的 Direct Link 交换机安装都将支持 MACsec。未来对多个主 CAK（连接认证密钥）及其生命周期的支持，将使客户能够预先配置 CAK 轮换。

下一步行动是什么？

使用限时促销代码 VPC1000，即可获得价值 1,000 美元的免费 IBM Cloud 额度，开启您的 IBM Cloud Direct Link Dedicated 之旅。

了解更多关于 IBM Cloud Direct Link 的信息

了解更多 深入了解 IBM Cloud Direct Link