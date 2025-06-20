Potenziamento della sicurezza: introduzione di MACsec su Direct Link dedicato

20 giugno 2025

Premnath Jaganathan

Il team di Direct Link è lieto di annunciare la disponibilità generale della caratteristica di sicurezza Media Access Control (MACsec) per Direct Link dedicato. MacSec offre una crittografia basata su hardware, che garantisce una latenza minima e un throughput elevato, fondamentale per le applicazioni a larghezza di banda elevata. Sarà disponibile il 1° giugno 2025 e i mercati inizialmente supportati includono Toronto, Montreal, Dallas e Washington DC.

Informazioni su IBM Cloud Direct Link Dedicated per VPC

IBM Cloud Direct Link Dedicated for VPC offre una connessione diretta OSI Layer 3 ad alta velocità tra l'infrastruttura on-premise dei clienti e IBM Cloud VPC and Classic Infrastructure, offrendo bassa latenza e throughput fino a 10 Gbps. Progettata per le aziende con strutture nelle vicinanze o per i fornitori di servizi che gestiscono i circuiti dei clienti, questa soluzione Single tenant basata su fibra garantisce una connettività hybrid cloud sicura e senza interruzioni.

I benefici di MACsec

MACsec protegge tutto il traffico Ethernet, inclusi i protocolli del piano di controllo come ARP e DHCP.  MACsec eccelle nel fornire una sicurezza granulare e ad alte prestazioni per i collegamenti Ethernet locali. I vantaggi aggiuntivi includono:  

  • Protezione dalle minacce di livello 2: misure di protezione contro lo spoofing del MAC, l'avvelenamento da ARP e le intercettazioni all'interno della rete locale.
  • Protegge i protocolli del piano di controllo: Protegge DHCP, ARP e LLDP, migliorando la resilienza complessiva dell'infrastruttura di rete.
  • Sicurezza LAN granulare: Cripta i frame Ethernet al livello 2, offrendo una sicurezza più localizzata rispetto a IPsec.
  • Prestazioni a velocità di linea con bassa latenza: la crittografia e la decrittografia basate su hardware garantiscono un impatto minimo sulle prestazioni, anche con larghezze di banda elevate. Offre una latenza inferiore rispetto alla crittografia basata su software.
  • Riduzione del sovraccarico della CPU: la crittografia è gestita da hardware dedicato, riducendo il carico della CPU rispetto all'elaborazione basata su software di IPSec.
  • Protezione dagli attacchi passivi: protegge da intercettazioni telefoniche, intrusioni e attacchi di replay.
  • Completa la sicurezza di livello superiore: Aggiunge un livello di sicurezza locale che affronta le vulnerabilità di rete non coperte da protocolli di livello superiore come IPsec.

Come funziona MACsec

Questo standard di rete Layer 2 (IEEE 802.1AE) rafforza i dispositivi connessi a Ethernet attraverso diversi meccanismi chiave:

  • Autenticazione all'origine: i dispositivi Peer MacSec si autenticano l'un l'altro utilizzando una Connectivity Association Key (CAK) composta da un nome e un segreto, entrambi i quali devono corrispondere esattamente tra peer.
  • Protezione dai replay: una finestra configurabile consente l'accettazione di un numero definito di frame fuori sequenza, difendendosi dagli attacchi di replay.
  • Riservatezza dei dati: una volta attiva una sessione sicura, i dati vengono crittografati utilizzando una Secure Association Key (SAK) derivata dal protocollo MacSec Key Agreement (MKA), garantendo la privacy dei dati.
  • Integrità dei dati: ogni frame include un Integrity Check Value (ICV), che deve corrispondere ai valori previsti dal ricevente, garantendo che i dati non siano stati manomessi.

Questa caratteristica fornisce una policy MACsec configurabile, con un CAK primario e un CAK di riserva opzionale. Il CAK di riserva funge da backup, proteggendo la sessione MacSec in caso di discrepanza di nome o segreta con il CAK principale tra colleghi. I segreti CAK sono memorizzati in modo sicuro come risorse chiave Hyper Protect Crypto Services (HPCS) all'interno dell'istanza HPCS del cliente. Una volta che i peer saranno configurati con una policy MacSec e CAK, il direct link avvierà una sessione MACSec, salvaguardando i frame di dati scambiati tra il dispositivo compatibile con MACSec del cliente e lo switch di connessione incrociata IBM.

Roadmap delle caratteristiche

La copertura MacSec continuerà ad espandersi oltre le sedi attuali. Tutte le nuove installazioni di switch Direct Link saranno compatibili con MACsec. Il supporto futuro per più CAK primari con una durata utile consentirà ai clienti di preconfigurare le rotazioni CAK.

Qual è il prossimo passo?

Usa il codice promozionale per un periodo limitato VPC1000, che ti offre 1.000 USD di crediti IBM Cloud gratuiti per iniziare il tuo percorso dedicato a IBM Cloud Direct Link Dedicated.

Scopri di più su IBM Cloud Direct Link

Maggiori informazioni Esplora IBM Cloud Direct Link