تعزيز الأمان: تقديم MACsec على Direct Link مخصص
من دواعي سرور فريق Direct Link أن يعلن عن التوافر العام لميزة أمان التحكم في الوصول إلى الوسائط (MACsec) لـ Direct Link المخصص. يوفر MACsec تشفيرًا قائمًا على الأجهزة، مما يضمن تقليل زمن الاستجابة لأدنى حد والإنتاجية العالية، وهو أمر ضروري لتطبيقات النطاق الترددي العالي. سيكون متاحا في 1 يونيو 2025، ومن الأسواق الأولية المدعومة مدينة تورنتو ومدينة مونتريال ودالاس وواشنطن العاصمة.
يوفر IBM® Cloud Direct Link Dedicated اتصالًا مباشرًا عالي السرعة من خلال طبقة OSI 3 بين البنية التحتية المحلية للعملاء وIBM® Cloud VPC والبنية التحتية الكلاسيكية - مما يوفر زمن انتقال قصيرًا ومعدل نقل يصل إلى 10 جيجابت في الثانية. حيث تم تصميم هذا الحل القائم على الألياف والمخصص للمستأجر الفردي، للشركات التي لديها مرافق مشتركة قريبة أو موفري خدمات يديرون دوائر العملاء، لضمان اتصال سحابي هجين آمن وسلس.
يؤمِّن MACsec جميع حركة مرور Ethernet، بما في ذلك بروتوكولات مستوى التحكم مثل ARP وDHCP. تتفوق MACsec في توفير أمان دقيق وعالي الأداء لروابط Ethernet المحلية. تشمل الميزات الإضافية ما يلي:
- الحماية من تهديدات الطبقة الثانية: الحماية من انتحال MAC، وهجوم تجسس ARP، والتنصت داخل الشبكة المحلية.
- يؤمِّن بروتوكولات مستوى التحكم: يحمي بروتوكولات DHCP وARP وLLDP، مما يعزز مرونة البنية الأساسية للشبكة بشكل عام.
- أمان دقيق للشبكة المحلية: تشفير إطارات الإيثرنت في الطبقة 2، مما يوفر المزيد من الأمان المحلي مقارنةً بـ IPsec.
- أداء بمعدل خطي مع زمن انتقال قصير: يضمن لك التشفير وفك التشفير المستند إلى الأجهزة تقليل التأثير على الأداء لأدنى حد، حتى عند عرض النطاق الترددي العالي. يوفر زمن انتقال أقل مقارنة بالتشفير المستند إلى البرامج.
- عبء أقل على وحدة المعالجة المركزية: يتم التعامل مع التشفير بواسطة أجهزة مخصصة، مما يقلل من حمل وحدة المعالجة المركزية مقارنةً بالمعالجة القائمة على البرامج في IPsec.
- الحماية من الهجمات السلبية: الحماية من هجمات التنصت على المكالمات الهاتفية والتطفل وإعادة التشغيل.
- يكمِّل أمان الطبقة العليا: يضيف طبقة أمان محلية تعالج الثغرات الأمنية في الشبكة التي لا تغطيها بروتوكولات الطبقة العليا مثل IPsec.
يعمل معيار شبكة الطبقة 2 (IEEE 802.1AE) على تقوية الأجهزة المتصلة بالإيثرنت من خلال عدة آليات رئيسية:
- مصادقة المَنشأ: تقوم أجهزة MACsec النظيرة بمصادقة بعضها البعض باستخدام مفتاح اقتران الاتصال (CAK) الذي يتكون من اسم وسر، وكلاهما يجب أن يتطابق تمامًا بين النظراء.
- حماية إعادة التشغيل: تسمح النافذة القابلة للتكوين بقبول عدد محدد من الإطارات غير المتسلسلة، مما يحمي من هجمات إعادة التشغيل.
- سرية البيانات: بمجرد تنشيط جلسة عمل آمنة، يتم تشفير البيانات باستخدام مفتاح الاقتران الآمن (SAK) المشتق من خلال بروتوكول اتفاقية مفتاح MACsec (MKA)، مما يضمن خصوصية البيانات.
- سلامة البيانات: يتضمن كل إطار قيمة التحقق من النزاهة (ICV)، والتي يجب أن تتطابق مع القيم المتوقعة في الطرف المتلقي، مما يضمن عدم التلاعب بالبيانات.
توفر هذه الميزة نهج MACsec قابل للتكوين، مع CAK أساسي وCAK احتياطي اختياري. حيث يعمل مفتاح CAK الاحتياطي كالنسخ الاحتياطي، حيث يقوم بتأمين جلسة عمل MACsec في حالة حدوث اختلاف في الاسم أو السر مع مفتاح CAK الأساسي بين النظراء. يتم تخزين أسرار CAK بشكل آمن كموارد مفاتيح Hyper Protect Crypto Services (HPCS) داخل مثيل HPCS الخاص بالعميل. بمجرد تكوين الأقران بنهج MACsec وCAK(s)، سيبدأ الارتباط المباشر جلسة MACsec، مما يحمي إطارات البيانات المتبادلة بين جهاز العميل الذي يدعم MACsec ومحول التوصيل المتقاطع من IBM.
ستستمر تغطية MacSec في التوسع خارج مواقعها الحالية. ستكون جميع عمليات تثبيت مفتاح Direct Link الجديدة قادرة على دعم MACsec. حيث يؤدي الدعم المستقبلي لبطاقات CAK الأساسية المتعددة ذات العمر الافتراضي إلى تمكين العملاء من تكوين إعدادات دورات CAK بشكل مسبق.
استخدم الرمز الترويجي VPC1000 لفترة محدودة، والذي يمنحك رصيدًا مجانيًا بقيمة 1000 دولار أمريكي من أرصدة IBM® Cloud المجانية لبدء مسيرتك نحو اعتماد IBM® Cloud Direct Link Dedicated.