Stärkung der Sicherheit: Einführung von MACsec dediziert auf Direct Link
Das Direct Link-Team freut sich, die allgemeine Verfügbarkeit der Media Access Control security-(MACsec-)Funktion für Direct Link Dedicated ankündigen zu können. MACsec bietet hardwarebasierte Verschlüsselung, die minimale Latenz und hohen Durchsatz gewährleistet, was für Anwendungen mit hoher Bandbreite unerlässlich ist. Es wird am 1. Juni 2025 verfügbar sein und die ersten unterstützten Märkte sind Toronto, Montreal, Dallas und Washington DC.
IBM Cloud Direct Link Dedicated for VPC bietet eine schnelle, direkte OSI-Layer-3-Verbindung zwischen der lokalen Infrastruktur von Kunden und IBM Cloud VPC und Classic Infrastructure und sorgt für geringe Latenz und einen Durchsatz von bis zu 10 Gbit/s. Diese Single-Tenant-Lösung auf Glasfaserbasis wurde für Unternehmen mit nahe gelegenen Colocation-Einrichtungen oder Dienstleistern entwickelt, die Kundenverbindungen verwalten, und gewährleistet eine sichere, nahtlose Hybrid-Cloud-Konnektivität.
MACsec schützt den gesamten Ethernet-Datenverkehr, einschließlich der Protokolle der Steuerungsebene wie ARP und DHCP. MACsec zeichnet sich dadurch aus, dass es differenzierte, hochleistungsfähige Sicherheit für lokale Ethernet-Verbindungen bietet. Zu den weiteren Vorteilen gehören:
- Schutz vor Layer-2-Bedrohungen: Schützt vor MAC-Spoofing, ARP-Poisoning und Lauschangriffen innerhalb des lokalen Netzwerks.
- Sichert Protokolle der Steuerungsebene: Schützt DHCP, ARP und LLDP und verbessert die allgemeine Ausfallsicherheit der Netzwerkinfrastruktur.
- Granulare LAN-Sicherheit: Verschlüsselt Ethernet-Frames auf Layer 2 und bietet im Vergleich zu IPsec mehr lokale Sicherheit.
- Leistung mit geringer Latenz: Hardwarebasierte Verschlüsselung und Entschlüsselung sorgt für minimale Leistungseinbußen, selbst bei hohen Bandbreiten. Bietet eine geringere Latenz im Vergleich zur softwarebasierten Verschlüsselung.
- Geringerer CPU-Aufwand: Die Verschlüsselung wird von dedizierter Hardware übernommen, was die CPU-Belastung im Vergleich zur softwarebasierten Verarbeitung von IPsec reduziert.
- Schutz vor passiven Angriffen: Schutz vor Abhör-, Einbruchs- und Wiederholungsangriffen.
- Ergänzung der höheren Sicherheitsschicht: Fügt eine lokale Sicherheitsschicht hinzu, die Netzwerkschwachstellen abdeckt, die von den Protokollen höherer Schichten wie IPsec nicht abgedeckt werden.
Dieser Layer-2-Netzwerkstandard (IEEE 802.1AE) stärkt über Ethernet verbundene Geräte durch mehrere Schlüsselmechanismen:
- Ursprungsauthentifizierung: Peer-MACsec-Geräte authentifizieren sich gegenseitig mit einem Connectivity Association Key (CAK), der aus einem Namen und einem Geheimnis besteht, die beide zwischen Peers genau übereinstimmen müssen.
- Wiedergabeschutz: Ein konfigurierbares Fenster ermöglicht die Akzeptanz einer definierten Anzahl von Frames außerhalb der Sequenz und schützt so vor Wiedergabe-Angriffen.
- Datenvertraulichkeit: Sobald eine sichere Sitzung aktiv ist, werden die Daten mit einem Secure Association Key (SAK) verschlüsselt, der über das MACsec Key Agreement (MKA)-Protokoll abgeleitet wird, um den Datenschutz zu gewährleisten.
- Datenintegrität: Jeder Frame enthält einen Integritätsprüfungswert (ICV), der mit den erwarteten Werten auf der Empfängerseite übereinstimmen muss, um sicherzustellen, dass die Daten nicht manipuliert wurden.
Diese Funktion bietet eine konfigurierbare MACsec-Richtlinie mit einem primären CAK und einem optionalen Fallback-CAK. Der Fallback-CAK fungiert als Backup und sichert die MACsec-Sitzung, wenn eine Diskrepanz zwischen Namen oder Geheimnis und dem primären CAK zwischen den Peers auftritt. CAK-Geheimnisse werden sicher als Hyper Protect Crypto Services-(HPCS-)Schlüsselressourcen in der HPCS-Instanz des Kunden gespeichert. Sobald die Peers mit einer MACsec-Richtlinie und CAK(s) konfiguriert sind, initiiert die direkte Verbindung eine MACsec-Sitzung und schützt die Datenframes, die zwischen dem MACsec-fähigen Gerät des Kunden und dem IBM Crossconnect-Switch ausgetauscht werden.
Die MACsec-Abdeckung wird über ihre derzeitigen Standorte hinaus fortbestehen. Alle neuen Direct Link-Switch-Installationen werden MACsec-fähig sein. Zukünftige Unterstützung für mehrere primäre CAKs mit Lebensdauer wird es Kunden ermöglichen, CAK-Drehungen vorzukonfigurieren.
Nutzen Sie den zeitlich begrenzten Aktionscode VPC1000, mit dem Sie kostenlose IBM Cloud Credits im Wert von 1.000 USD erhalten, um Ihre IBM Cloud Direct Link Dedicated Journey zu beginnen.