클라우드 컴퓨팅 및 서버 보안

보안 강화: Direct Link Dedicated에 MACsec 도입

뒤의 점선과 보안 아이콘을 배경으로 정사각형 위에 서서 비밀번호를 입력하는 사람

작성자

Premnath Jaganathan

Product Manager

IBM Cloud

Direct Link 팀은 Direct Link Dedicated에 대한 MACsec(Media Access Control security) 기능의 정식 출시를 발표하게 되어 매우 기쁘게 생각합니다. MACsec은 하드웨어 기반 암호화를 제공하여 고대역폭 애플리케이션에 대한 지연 시간 최소화와 높은 처리량을 보장합니다. 출시 예정 날짜는 2025년 6월 1일이며, 토론토, 몬트리올, 댈러스와 워싱턴 DC에 가장 먼저 출시됩니다.

IBM Cloud Direct Link Dedicated for VPC 소개

IBM Cloud Direct Link Dedicated for VPC는 고객의 온프레미스 인프라와 IBM Cloud VPC 및 기존 인프라 간 고속 OSI 레이어 3 직접 연결을 제공하여 짧은 지연 시간과 최대 10Gbps의 처리량을 제공합니다. 근처에 코로케이션 시설이 있는 기업 또는 고객 회로를 관리하는 서비스 제공업체를 위해 설계된 이 광섬유 기반의 싱글 테넌트 솔루션은 안전하고 원활한 하이브리드 클라우드 연결을 보장합니다.

MACsec의 이점

MACsec은 ARP 및 DHCP와 같은 컨트롤 플레인 프로토콜을 포함한 모든 이더넷 트래픽을 보호합니다.  MACsec은 로컬 이더넷 링크에 대한 세분화된 성능 보안을 제공하는 데 탁월합니다. 이외에도 다음과 같은 이점이 있습니다.  

  • 계층 2 위협으로부터 보호: 로컬 네트워크 내에서 MAC 스푸핑, ARP 포이즈닝, 도청으로부터 보호합니다.
  • 컨트롤 플레인 프로토콜 보안: DHCP, ARP, LLDP를 보호하여 전반적인 네트워크 인프라 복원력을 향상시킵니다.
  • 세분화된 LAN 보안: 계층 2에서 이더넷 프레임을 암호화하여 IPsec에 비해 더 현지화된 보안을 제공합니다.
  • 지연 시간이 짧은 회선 속도 성능: 하드웨어 기반 암호화 및 암호 해독으로 높은 대역폭에서도 성능에 미치는 영향을 최소화합니다. 소프트웨어 기반 암호화에 비해 지연 시간이 짧습니다.
  • CPU 오버헤드 감소: 암호화는 전용 하드웨어에 의해 처리되므로 IPsec의 소프트웨어 기반 처리에 비해 CPU 부하가 줄어듭니다.
  • 수동적 공격에 대한 보호: 도청, 침입, 재전송 공격으로부터 보호합니다.
  • 상위 계층 보안 보완: IPsec과 같은 상위 계층 프로토콜에서 다루지 않는 네트워크 취약성을 해결하는 로컬 보안 계층을 추가합니다.

MACsec 작동 방식

이 계층 2 네트워크 표준(IEEE 802.1AE)은 몇 가지 주요 메커니즘을 통해 이더넷 연결 장치를 강화합니다.

  • 원본 인증: 피어 MACsec 디바이스는 이름과 시크릿으로 구성된 CAK(Connectivity Association Key)를 사용해 서로를 인증하며, 둘 모두 피어 간 정확히 일치해야 합니다.
  • 재전송 보호: 구성 가능한 윈도우를 통해 정의된 수의 순서가 뒤바뀐 프레임을 허용하여 재전송 공격을 방어합니다.
  • 데이터 기밀성: 보안 세션이 활성화되면 MKA(MACsec Key Agreement) 프로토콜을 통해 파생된 SAK(Secure Association Key)를 사용해 데이터가 암호화되어 데이터 개인정보 보호가 보장됩니다.
  • 데이터 무결성: 각 프레임에는 수신 측의 예상 값과 일치해야 하는 ICV(Integrity Check Value)가 포함되어 데이터가 변조되지 않았음을 보장합니다.

이 기능은 구성 가능한 MACsec 정책을 기본 CAK 및 선택적 폴백 CAK와 함께 제공합니다. 폴백 CAK는 백업 역할을 하여 피어 간 기본 CAK와 이름 또는 시크릿 불일치가 발생하는 경우 MACsec 세션을 보호합니다. CAK 시크릿은 고객의 HPCS 인스턴스 내에 HPCS(Hyper Protect Crypto Services) 키 자원으로 안전하게 저장됩니다. 피어에 MACsec 정책 및 CAK가 구성되면 직접 링크가 MACsec 세션을 시작하여 고객의 MACsec 지원 디바이스와 IBM 간 교환되는 데이터 프레임을 보호합니다.

기능 로드맵

MACsec 커버리지는 현재의 위치를 넘어 계속 확장될 것입니다. 모든 새로운 Direct Link 스위치 설치는 MACsec을 지원합니다. 향후 수명이 있는 여러 기본 CAK이 지원될 예정이므로, 고객은 CAK 순환을 미리 구성할 수 있습니다.

다음 단계는 무엇인가요?

기간 한정 프로모션 코드 VPC1000을 사용하세요. 1,000달러(USD) 상당의 무료 IBM Cloud 크레딧을 받아 IBM Cloud Direct Link Dedicated 여정을 시작할 수 있습니다.

IBM Cloud Direct Link에 대해 자세히 알아보기