Netwerkbeveiligingsprotocollen zijn de belangrijkste manier om gegevens in beweging te beveiligen, dat wil zeggen gegevens die worden gecommuniceerd tussen nauw verbonden fysieke apparaten of tussen apparaten en zelfs virtuele machines die zijn verbonden via een complexe infrastructuur. Dit artikel gaat in op Media Access Control-beveiliging (MACsec) en hoe het kan worden gebruikt om netwerkbeveiliging op basisniveau te bieden voor een breed scala aan toepassingen die de hoogste niveaus van snelheid en prestaties vereisen.
Er zijn drie algemene netwerkbeveiligingsprotocolstandaarden: TLS, IPsec en MACsec. Bovenaan het Open Systems Interconnection (OSI)-model staat communicatiebeveiliging op de applicatielaag met TLS. TLS is een verbeterde versie van SSL (Secure Sockets Layer) en staat voor Transport Layer Security. TLS beschermt webbrowsers, clienttoepassingen en alle communicatie van toepassingen met cloudservices. Lager op de stapel op laag 3 is er IP-beveiliging of IPsec. IPsec wordt doorgaans gebruikt om de communicatie over particuliere of openbare netwerken te beschermen, dus als u een laptop via een VPN met uw bedrijfsnetwerk verbindt, wordt de beveiliging hoogstwaarschijnlijk geleverd door IPsec. Ten slotte is er op laag 2 MACsec, waar de beschermingsomvang wordt toegepast op in principe alle soorten pakketten die via een directe link tussen twee Ethernet-poorten worden verzonden. Zoals hieronder wordt besproken, heeft de industrie MACsec voor verschillende gebruikssituaties gebruikt en in sommige gevallen wordt het gebruikt als alternatief voor IPsec, waarbij meerdere communicatiestromen via dezelfde fysieke verbinding worden beschermd. In tegenstelling tot IPsec kan MACsec multicast-, broadcast- en niet-IP-pakketten beschermen.
Net als typische netwerkbeveiligingsprotocollen wordt, wanneer MACsec is ingeschakeld, een veilige bidirectionele link tot stand gebracht tussen aangesloten apparaten na uitwisseling en verificatie van beveiligingssleutels. Een combinatie van gegevensintegriteitscontroles en codering wordt gebruikt om de gegevens die via de beveiligde verbinding worden verzonden, te beschermen. Het gebruik van veilige pakketnummering en validatie hiervan tijdens de ontvangst biedt bescherming tegen aanvallen van opnieuw afspelen en begrensde ontvangstvertragingen.
MACsec-linkcodering binnen een systeem bestaat uit verschillende blokken, waarvan de belangrijkste het besturingsvlak en het gegevensvlak zijn. Dataplane is verantwoordelijk voor pakketbescherming, inclusief codering, decodering, filtering en mogelijk firewalling; het controlevlak is verantwoordelijk voor het opzetten van wederzijdse authenticatie en het beheer van de levenscyclus van een beveiligde verbinding. Elk van deze blokken heeft zijn eigen protocol en deze protocollen moeten samenwerken via dezelfde poort als het hoofdverkeer (standaardgebruik) of besturingsprotocol kan communiceren via de afzonderlijke beheerpoorten of netwerken.
Dataplane voor MACsec is gebaseerd op IEEE802.1AE. De standaard beschrijft principes en opties voor het transformeren van het netwerkframe in platte tekst naar een beveiligd frame, samen met gegevensstroomschema's en hoe de verplichte beveiligingsstatistieken moeten worden geteld. De 802.1AE-standaard heeft geen betrekking op classificatie en filtering/firewalling. Hierdoor kan de industrie MACsec-beveiliging gebruiken voor verschillende scenario's en topologieën; het biedt de mogelijkheid om de juiste balans te vinden tussen de functies versus de kosten en het vermogen van silicium. Toonaangevende systeemleveranciers sturen implementatierichtlijnen om ervoor te zorgen dat verschillende siliconenimplementaties en apparaten interoperabel zijn en de verplichte functieset bieden.
Het besturingsvlak voor MACsec is gespecificeerd in IEEE802.1X en omvat twee protocollen: MKA (MACsec Key Agreement) en EAP (Extensible Authentication Protocol). MKA beheert een MACsec-beveiligd kanaal via een beveiligde verbindingsbeheer-API van het datavlak (Layer Management Interface of LMI) en zorgt voornamelijk voor het genereren, distribueren en periodiek wisselen van coderingssleutels. Alle MKA-componenten bij elke peer die deelneemt aan de beveiligde communicatiegroep (MACsec Connectivity Association of CA genoemd) moeten een gedeeld geheim hebben (Connectivity Association Key of CAK genoemd) waarvan alle kortlevende coderingssleutels zijn afgeleid. MKA ondersteunt ook non-disruptive update van de CAK, die meestal een veel langere levensduur heeft.
Het EAP is een protocol van een hoger niveau dat verantwoordelijk is voor poorttoegangscontrole (met of zonder MACsec). In het geval van MACsec kan het een gedeeld geheim genereren en verspreiden. Als het systeem een externe authenticatieserver nodig heeft, kan dit worden ondersteund door EAP. Als alternatief voor EAP kunnen systeemverkopers hun eigen implementatie van vergelijkbare functionaliteit hebben, of als alternatief een pre-shared key (PSK) -optie aanbieden, waarbij CAK wordt geprogrammeerd door beheerders van de apparatuur en netwerken, waardoor interoperabiliteit op besturingsniveau mogelijk is.
Naast de basisbeveiliging die MACsec biedt, biedt MACsec ook vele andere voordelen. Een van deze voordelen is de flexibiliteit van adoptie. MACsec kan bijvoorbeeld worden gebruikt om L2-pakketten te beschermen die via VLAN-, VxLAN- of EoMPLS-tunnels worden overgedragen. Geavanceerde MACsec-systeemintegratie en -classificatie ondersteunt MACsec per "virtueel LAN" en biedt daarom een manier om end-to-end-verbindingen via Wide-Area Networks (WAN) te beschermen. Eén Ethernet-poort die een dergelijke MACsec-implementatie ondersteunt, kan honderden unieke end-to-end-verbindingen beschermen.
MACsec is gedefinieerd als zeer schaalbaar met betrekking tot doorvoer. Het cryptografische AES-GCM-algoritme dat binnen het MACsec-protocol wordt gebruikt, is vooral geschikt voor hoge netwerksnelheden omdat het parallel kan worden uitgevoerd. Het protocol heeft ook een lage latentie, omdat voor de verwerking van de kop van het pakket de staart van het pakket niet bekend hoeft te zijn. Met dergelijke eigenschappen kan MACsec worden geïmplementeerd om te werken met lijnsnelheid (volledige kabelsnelheid) en lage latentie.
De aanhoudende exponentiële groei van gegevens is de afgelopen jaren de drijvende kracht geweest achter de ontwikkelingen op het gebied van Ethernet-prestaties. 800G Ethernet vertegenwoordigt een belangrijke nieuwe mijlpaal en zal naar verwachting de komende jaren dominant worden voor hyperscalers en serviceproviders. Tegelijkertijd vereist het multi-lane karakter van high-speed Ethernet-poorten dat ze compatibel zijn met eerdere generaties door middel van port-breakout, waardoor MACsec-implementatie vereist is om flexibele bandbreedtetoewijzing en het delen van bronnen via kanalisatie te bieden.
Rambus speelt al vele jaren een leidende rol in de branche met zijn multi-channel MACsec Silicon IP (MACsec-IP-164), dat oorspronkelijk begon bij 100G, daarna 400G, en nu actief de opkomende 800G-markt bedient. Naast de 800G-variant wordt dit product aangeboden in functioneel equivalente configuraties die zijn geoptimaliseerd voor toepassingen die een totale verwerkingscapaciteit van 100G tot 400G vereisen. Dit product verankert een full-featured line-rate MACsec-dataplan dat is gemaakt in nauwe samenwerking met toonaangevende systeemleveranciers. Daarnaast biedt het een optie voor line-rate IPsec. Met dit product kunnen silicium- en systeemleveranciers de volledige prestatievoordelen van 800G Ethernet combineren met de beveiligingsvoordelen van MACsec. Het is een ideale oplossing voor het ondersteunen van veilige datacommunicatie tussen datacenters, bedrijfs- en carriernetwerken, Network-Attached High-Performance Computing (HPC) en kunstmatige intelligentie/machine learning (AI/ML)-toepassingen.
Aanvullende informatiebronnen
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://semiengineering.com/industry-adoption-of-line-rate-network-security-using-macsec/
