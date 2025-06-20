Renforcer la sécurité : lancement de MACsec sur Direct Link dédié

20 juin 2025

Premnath Jaganathan

L’équipe Direct Link est ravie d’annoncer la disponibilité générale de la fonctionnalité de sécurité Media Access Control (MACsec) pour Direct Link Dedicated. MACsec propose un chiffrement matériel, garantissant une latence minimale et un débit élevé, essentiel pour les applications à forte bande passante. Il sera disponible le 1er juin 2025, et les marchés initiaux pris en charge comprennent Toronto, Montréal, Dallas et Washington DC.

À propos d’IBM Cloud Direct Link Dedicated for VPC

IBM Cloud Direct Link Dedicated for VPC offre une connexion directe OSI Layer 3 à haut débit entre l’infrastructure sur site des clients et IBM Cloud VPC et l’infrastructure classique, offrant une faible latence et un débit allant jusqu’à 10 Gbit/s. Conçue pour les entreprises disposant d’installations de colocation à proximité ou pour les fournisseurs de services gérant des circuits clients, cette solution basée sur la fibre et dédiée à un seul locataire garantit une connectivité hybride sécurisée et transparente.

Les avantages de MACsec

MACsec sécurise tout le trafic Ethernet, y compris les protocoles de plan de contrôle tels qu’ARP et DHCP.  MACsec excelle en fournissant une sécurité granulaire et haute performance pour les liaisons Ethernet locales. Les autres avantages sont les suivants :  

  • Protection contre les menaces de la couche 2 : protection contre l’usurpation d’identité MAC, l’empoisonnement ARP et l’écoute clandestine au sein du réseau local.
  • Sécurise les protocoles de plan de contrôle : Protège DHCP, ARP et LLDP, améliorant ainsi la résilience globale de l’infrastructure du réseau.
  • Sécurité LAN granulaire : chiffre les trames Ethernet au niveau de la couche 2, offrant une sécurité plus localisée qu’IPsec.
  • Performances à débit de ligne avec une faible latence : le chiffrement et le déchiffrement matériels garantissent un impact minimal sur les performances, même avec des bandes passantes élevées. Latence réduite par rapport au chiffrement logiciel.
  • Réduction de la surcharge du processeur : le chiffrement est géré par du matériel dédié, ce qui réduit la charge du processeur par rapport au traitement logiciel d’IPsec.
  • Protection contre les attaques passives : protège contre l’usurpation d’identité MAC, l’intrusion et les attaques par relecture.
  • Complète la sécurité de la couche supérieure : ajoute une couche de sécurité locale qui traite les vulnérabilités du réseau non couvertes par les protocoles de couche supérieure comme IPsec.

Fonctionnement de MACsec

Cette norme réseau de couche 2 (IEEE 802.1AE) renforce les appareils connectés à Ethernet via plusieurs mécanismes clés :

  • Authentification d’origine : les appareils MACsec homologues s’authentifient les uns les autres à l’aide d’une clé d’association de connectivité (CAK) composée d’un nom et d’un secret, qui doivent tous deux correspondre exactement à ceux de leurs pairs.
  • Protection contre la relecture : une fenêtre configurable permet d’accepter un nombre défini de trames hors séquence, ce qui permet de se prémunir contre les attaques par relecture.
  • Confidentialité des données : dès qu’une session sécurisée est active, les données sont cryptées à l’aide d’une clé d’association sécurisée (SAK) dérivée du protocole MACsec Key Agreement (MKA), ce qui garantit la confidentialité des données.
  • Intégrité des données : chaque trame comprend une valeur de contrôle d’intégrité (ICV), qui doit correspondre aux valeurs attendues à la réception, ce qui garantit que les données n’ont pas été altérées.

Cette fonctionnalité fournit une politique MACsec configurable, avec un CAK primaire et un CAK de secours optionnel. Le CAK de secours agit comme une sauvegarde, sécurisant la session MACsec si un défaut de nom ou de secret survient avec le CAK primaire entre pairs. Les secrets CAK sont stockés de manière sécurisée en tant que ressources de clés Hyper Protect Crypto Services (HPCS) dans l’instance HPCS du client. Une fois les pairs configurés avec une politique MACsec et des CAK, Direct Link lance une session MACsec, protégeant les trames de données échangées entre l’appareil compatible MACsec du client et le switch cross-connect d’IBM.

Feuille de route des fonctionnalités

La couverture de MACsec continuera à s’étendre au-delà de ses sites actuels. Toutes les nouvelles installations de commutateurs Direct Link seront compatibles MACsec. La prise en charge future de plusieurs CAK primaires avec durée de vie permettra aux clients de préconfigurer les rotations CAK.

Et maintenant ?

Utilisez le code promotionnel VPC1000 à durée limitée, qui vous donne droit à 1 000 $ US de crédits IBM Cloud gratuits pour commencer votre parcours avec IBM Cloud Direct Link Dedicated.

