利用媒体访问控制安全最大的速度和安全性。
网络安全协议是保护运行中的数据的主要手段——也就是说,在紧密连接的物理设备之间,或设备之间,甚至是使用复杂基础设施连接的虚拟机之间通信的数据。本文将探讨媒体访问控制安全(MACsec),以及如何使用它为要求最高速度和性能的广泛应用程序提供基础级网络安全。
目前常用的网络安全协议标准有TLS、IPsec和MACsec。在开放系统互连(OSI)模型的顶部,有使用TLS的应用层通信安全。TLS是SSL(安全套接字层)的改进版本,代表传输层安全。TLS保护web浏览器、客户端应用程序以及所有应用程序与云服务的通信。再往下,栈的第3层是IP安全或IPsec。IPsec通常用于保护私有或公共网络之间的通信,因此如果您通过VPN将笔记本电脑连接到公司网络,安全性很可能由IPsec提供。最后,在第2层是MACsec,其保护范围基本上适用于通过两个以太网端口之间的直连链路发送的所有类型的数据包。正如下面所讨论的,业界已经在各种用例中采用了MACsec,在某些情况下,它被用作IPsec的替代方案,保护同一物理链路上的多个通信流。与IPsec不同,MACsec可以保护组播、广播和非ip报文。
与典型的网络安全协议一样,启用MACsec后,在连接的设备之间通过交换和验证安全密钥建立安全的双向链路。数据完整性检查和加密的组合用于保护通过安全链路传输的数据。使用安全的数据包编号并在接收期间进行验证,可以防止重放和有界接收延迟攻击。
系统中的MACsec链路加密由几个不同的块组成,其中主要的是控制平面和数据平面。数据平面负责包保护,包括加密、解密、过滤和可能的防火墙;控制平面负责建立安全连接的相互认证和管理安全连接的生命周期。每个区块都有自己的协议,这些协议需要通过与主要通信(默认使用)相同的端口进行互操作,或者控制协议可以通过单独的管理端口或网络进行通信。
MACsec的数据平面基于IEEE802.1AE。该标准描述了将明文网络帧转换为安全帧的原则和选项,以及数据流程图和如何统计强制性安全统计。802.1AE标准不包括分类和过滤/防火墙。这使得行业可以针对各种场景和拓扑采用MACsec安全;它提供了在功能、硅成本和功率之间达到适当平衡的机会。领先的系统供应商推动实现指南,以确保各种硅实现和设备是可互操作的,并提供强制性的功能集。
MACsec的控制平面是在IEEE802.1X中指定的,包含两个协议:MKA (MACsec Key Agreement)和EAP (Extensible Authentication Protocol)。MKA通过数据平面的安全连接管理API (Layer management Interface或LMI)管理MACsec安全通道,主要负责加密密钥的生成、分发和定期切换。参与安全通信组(称为MACsec连接关联或CA)的每个对等端上的所有MKA组件必须有一个共享秘密(称为连接关联密钥或CAK),所有短期加密密钥都是从这个秘密派生出来的。MKA还支持CAK的非中断更新,CAK的生命周期通常长得多。
EAP是一个更高级别的协议,负责端口访问控制(使用或不使用MACsec)。在MACsec的情况下,它可以生成和分发共享秘密。如果系统需要外部身份验证服务器,EAP可以支持。作为EAP的替代方案,系统供应商可能有他们自己的类似功能的实现,或者提供预共享密钥(PSK)选项,其中CAK由设备和网络管理员编写,允许控制平面级别的互操作性。
除了MACsec提供的基础级别的安全性之外,MACsec还提供了许多其他优点。这些优点之一是采用的灵活性。例如,MACsec可以保护VLAN、VxLAN或EoMPLS隧道上携带的L2报文。先进的MACsec系统集成和分类将支持每个“虚拟局域网”的MACsec,因此提供了一种方法来保护广域网(WAN)上的端到端连接。一个支持这种MACsec实现的以太网端口可以保护数百个独特的端到端连接。
MACsec被定义为在吞吐量方面具有很强的可伸缩性。MACsec协议中使用的AES-GCM加密算法特别适用于高速网络,因为它可以并行化。该协议还具有较低的延迟,因为处理包的头部不需要知道包的尾部。有了这些属性,MACsec可以实现以线速率(全线速度)和低延迟运行。
近年来,数据的持续指数级增长一直是以太网性能发展的驱动力。800G以太网代表了一个重要的新里程碑,预计在未来几年内,它将成为超级规模商和服务提供商的主导。同时,高速以太网端口的多通道特性要求它们通过端口突破与前几代兼容,要求MACsec实现通过信道化提供灵活的带宽分配和资源共享。
多年来,Rambus凭借其多通道MACsec硅IP (MACsec-IP-164)在行业中发挥着领先作用,最初从100G开始,然后是400G,现在正积极服务于新兴的800G市场。除了800G变体,该产品还提供了功能等效的配置,针对需要总吞吐量为100G至400G的应用进行了优化。该产品锚定全功能线速率MACsec数据平面创建与领先的系统供应商密切合作。此外,它还提供了线速率IPsec的选项。有了这款产品,芯片和系统供应商可以将800G以太网的全部性能优势和MACsec的安全优势结合起来。支持跨数据中心、跨企业网络、跨运营商网络、跨网络高性能计算(HPC)、跨人工智能/机器学习(AI/ML)应用的安全数据通信。
额外的资源
|
|
|
|
|
|
|
|
留下回复