전용 연결에서 MACsec으로 시작하기 - AWS Direct Connect
MACsec 전제 조건 서비스 연결 역할MACsec에서 사전 공유한 CKN/CAK 주요 고려 사항 1단계: 연결 생성(선택 사항) 2단계: 링크 집계 그룹 (LAG) 생성3단계: CKN/CAK를 연결 또는 LAG에 연결4단계: 온프레미스 라우터 구성5단계: (선택 사항) CKN/CAK와 연결 또는 LAG 간의 연결 제거

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

전용 연결에서 MACsec으로 시작하기

다음 작업은 AWS Direct Connect 전용 연결에서 MacSec에 익숙해지는 데 도움이 됩니다. MACsec 사용에 따른 추가 요금은 없습니다.

전용 연결에서 MACsec을 구성하기 전에 다음 사항을 참고하십시오.

  • MACsec은 선택된 접속 지점의 10Gbps 및 100Gbps 전용 Direct Connect 연결에서 지원됩니다. 이러한 연결의 경우 다음과 같은 MACsec 암호 제품군이 지원됩니다.

    • 10Gbps 연결의 경우 GCM-AES-256 및 GCM-AES-XPN-256.

    • 100Gbps 연결의 경우 GCM-AES-XPN-256.

  • 256비트 MACsec 키만 지원됩니다.

  • 100Gbps 연결에는 확장 패킷 번호 지정 (XPN) 이 필요합니다. 10Gbps 연결의 경우 다이렉트 커넥트는 GCM-AES-256 및 GCM-AES-XPN-256 모두를 지원합니다. 100Gbps 전용 연결과 같은 고속 연결은 MACsec의 원래 32비트 패킷 번호 지정 공간을 빠르게 소진시킬 수 있으며, 이 경우 몇 분마다 암호화 키를 교체하여 새로운 연결 연결을 설정해야 합니다. 이러한 상황을 방지하기 위해 IEEE Std 802.1AEBW-2013 수정안은 확장된 패킷 번호 지정을 도입하여 번호 지정 공간을 64비트로 늘리고 키 교체에 대한 적시성 요구 사항을 완화했습니다.

  • 보안 채널 식별자 (SCI) 가 필요하며 반드시 켜야 합니다. 이 설정은 조정할 수 없습니다.

  • IEEE 802.1Q (dot1q/VLAN) 태그 오프셋/도트1은 VLAN 태그를 암호화된 페이로드 외부로 이동하는 데 지원되지 q-in-clear 않습니다.

직접 연결 및 MACsec에 대한 자세한 내용은 FAQ의AWS Direct Connect MACsec 섹션을 참조하십시오.

MACsec 전제 조건

MACsec를 전용 연결로 구성하기 전에 다음 작업을 완료합니다.

  • MACsec 암호 키에 사용할 CKN/CAK 쌍을 생성하세요.

    개방형 표준 도구를 사용하여 쌍을 만들 수 있습니다. 쌍은 4단계: 온프레미스 라우터 구성의 요구 사항을 충족해야 합니다.

  • 연결 끝에 MACsec를 지원하는 장치가 있어야 합니다.

  • 보안 채널 식별자 (SCI) 를 켜야 합니다.

  • 256비트 MACsec 키만 지원되므로 최신 고급 데이터 보호 기능을 제공합니다.

서비스 연결 역할

AWS Direct Connect AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 직접 연결되는 고유한 유형의 IAM 역할입니다. AWS Direct Connect서비스 연결 역할은 미리 정의되며 서비스에서 사용자를 AWS Direct Connect 대신하여 다른 서비스를 호출하는 데 필요한 모든 권한을 포함합니다. AWS 서비스에 연결된 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 설정이 AWS Direct Connect 더 쉬워집니다. AWS Direct Connect 서비스 연결 역할의 권한을 정의하며, 달리 정의되지 않는 한 해당 역할만 AWS Direct Connect 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다. 자세한 설명은 Direct Connect 에 대한 서비스 연결 역할 섹션을 참조하세요.

MACsec에서 사전 공유한 CKN/CAK 주요 고려 사항

AWS Direct Connect 연결 또는 LAG에 연결하는 사전 공유 키에 AWS 관리형 CMK를 사용합니다. Secrets Manager는 사전 공유한 CKN 및 CAK 쌍을 시크릿 관리자의 루트 키가 암호화하는 시크릿으로 저장합니다. 자세한 사항은AWS Key Management Service 개발자 안내서의 AWS 관리형 CMK를 참조하세요.

저장된 키는 기본적으로 읽기 전용이지만 AWS Secrets Manager 콘솔 또는 API를 사용하여 7~30일 삭제를 예약할 수 있습니다. 삭제를 예약하면 CKN을 읽을 수 없으며, 이로 인해 네트워크 연결에 영향을 미칠 수 있습니다. 이 경우 다음과 같은 규칙이 적용됩니다.

  • 연결이 보류 상태인 경우 연결에서 CKN의 연결을 끊습니다.

  • 연결이 사용 가능한 상태인 경우 연결 소유자에게 이메일로 알립니다. 30일 이내에 아무 조치도 취하지 않으면 연결에서 CKN의 연결이 끊어집니다.

연결에서 마지막 CKN의 연결을 끊고 연결 암호화 모드를 "반드시 암호화"로 설정하면 갑작스러운 패킷 손실을 방지하기 위해 모드를 "should_encrypt"로 설정합니다.

1단계: 연결 생성

MACsec 사용을 시작하려면 전용 연결을 만들 때 이 기능을 켜야 합니다. 자세한 설명은 연결 마법사를 사용하여 연결 생성 섹션을 참조하세요.

(선택 사항) 2단계: 링크 집계 그룹 (LAG) 생성

이중화를 위해 여러 연결을 사용하는 경우 MACsec을 지원하는 LAG를 만들 수 있습니다. 자세한 내용은 MACsec 고려 사항LAG 생성 섹션을 참조하세요.

3단계: CKN/CAK를 연결 또는 LAG에 연결

MACsec을 지원하는 연결 또는 LAG를 생성한 후에는 CKN/CAK를 연결에 연결해야 합니다. 자세한 내용은 다음 중 하나를 참조하십시오.

4단계: 온프레미스 라우터 구성

MACsec 암호 키로 온프레미스 라우터를 업데이트하세요. 온프레미스 라우터와 해당 위치의 MACsec 비밀 키는 일치해야 합니다. AWS Direct Connect 자세한 설명은 라우터 구성 파일 다운로드 섹션을 참조하세요.

5단계: (선택 사항) CKN/CAK와 연결 또는 LAG 간의 연결 제거

MACsec 키와 연결 또는 LAG 간의 연결을 제거해야 할 경우, 다음 방법 중 하나를 사용하면 됩니다.