Ağ güvenliği protokolleri, hareket halindeki verileri, yani birbirine yakın bağlantılı fiziksel cihazlar arasında veya cihazlar arasında ve hatta karmaşık bir altyapı kullanılarak bağlanan sanal makineler arasında iletilen verileri korumanın birincil yoludur. Bu makale, Medya Erişim Kontrolü güvenliğini (MACsec) ve en yüksek düzeyde hız ve performans gerektiren çok çeşitli uygulamalar için temel düzeyde ağ güvenliği sağlamak üzere nasıl kullanılabileceğini inceleyecektir.

Üç ortak ağ güvenliği protokolü standardı vardır: TLS, IPsec ve MACsec. Açık Sistemler Ara Bağlantı (OSI) modelinin en üstünde TLS ile uygulama katmanı iletişim güvenliği bulunmaktadır. TLS, SSL'nin (Güvenli Yuva Katmanı) geliştirilmiş bir sürümüdür ve Aktarım Katmanı Güvenliği anlamına gelir. TLS, web tarayıcılarını, istemci uygulamalarını ve tüm uygulamaların bulut hizmetleriyle olan iletişimini korur. Katman 3'teki yığının aşağısında IP güvenliği veya IPsec bulunur. IPsec genellikle özel veya genel ağlar arasındaki iletişimi korumak için kullanılır; bu nedenle, bir dizüstü bilgisayarı kurumsal ağınıza bir VPN aracılığıyla bağlıyorsanız, güvenlik büyük olasılıkla IPsec tarafından sağlanır. Son olarak Katman 2'de, koruma kapsamının temelde iki Ethernet bağlantı noktası arasındaki doğrudan bağlantı üzerinden gönderilen tüm paket türlerine uygulandığı MACsec vardır. Aşağıda tartışıldığı gibi endüstri, çeşitli kullanım durumları için MACsec'i benimsemiştir ve bazı durumlarda, aynı fiziksel bağlantı üzerinden birden fazla iletişim akışını koruyarak IPsec'e alternatif olarak kullanılır. IPsec'in aksine, MACsec çok noktaya yayın, yayın ve IP olmayan paketleri koruyabilir.

Tipik ağ güvenlik protokollerinde olduğu gibi, MACsec etkinleştirildiğinde, güvenlik anahtarlarının değişimi ve doğrulanmasının ardından bağlı cihazlar arasında güvenli, çift yönlü bir bağlantı kurulur. Güvenli bağlantı yoluyla iletilen verileri korumak için veri bütünlüğü kontrolleri ve şifrelemenin bir kombinasyonu kullanılır. Güvenli paket numaralandırmanın kullanılması ve bunun alım sırasında doğrulanması, tekrar yürütme ve sınırlı alma gecikmesi saldırılarına karşı koruma sağlar.

Bir sistem içindeki MACsec bağlantı şifrelemesi, en önemlileri kontrol düzlemi ve veri düzlemi olmak üzere birkaç farklı bloktan oluşur. Veri düzlemi, şifreleme, şifre çözme, filtreleme ve muhtemelen güvenlik duvarı dahil olmak üzere paket korumasından sorumludur; kontrol düzlemi, karşılıklı kimlik doğrulamanın ayarlanmasından ve güvenli bir bağlantının yaşam döngüsünün yönetilmesinden sorumludur. Bu blokların her birinin kendi protokolü vardır ve bu protokollerin, ana trafik (varsayılan kullanım) veya kontrol protokolünün ayrı yönetim bağlantı noktaları veya ağlar aracılığıyla iletişim kurabilmesiyle aynı bağlantı noktası üzerinden birlikte çalışması gerekir.

MACsec için veri düzlemi IEEE802.1AE'yi temel alır. Standart, düz metin ağ çerçevesini güvenli bir çerçeveye dönüştürme ilkelerini ve seçeneklerini, veri akış şemaları ve zorunlu güvenlik istatistiklerinin nasıl sayılacağını açıklamaktadır. 802.1AE standardı sınıflandırma ve filtreleme/güvenlik duvarı oluşturmayı kapsamaz. Bu, endüstrinin çeşitli senaryolar ve topolojiler için MACsec güvenliğini benimsemesine olanak tanır; özellikler ile silikon maliyeti ve güç arasında doğru dengeye ulaşma fırsatı sağlar. Önde gelen sistem satıcıları, çeşitli silikon uygulamalarının ve cihazlarının birlikte çalışabilmesini sağlamak ve zorunlu özellik setini sunmak için uygulama kılavuzlarını yönlendirir.

MACsec için kontrol düzlemi IEEE802.1X'te belirtilmiştir ve iki protokolü kapsar: MKA (MACsec Anahtar Anlaşması) ve EAP (Genişletilebilir Kimlik Doğrulama Protokolü). MKA, veri düzleminin güvenli bağlantı yönetimi API'si (Katman Yönetim Arayüzü veya LMI) aracılığıyla MACsec güvenli kanalını yönetir ve esas olarak şifreleme anahtarı oluşturma, dağıtım ve periyodik anahtarlama işlemlerini gerçekleştirir. Güvenli iletişim grubuna (MACsec Bağlantı Birliği veya CA olarak adlandırılır) katılan her eşteki tüm MKA bileşenleri, tüm kısa ömürlü şifreleme anahtarlarının türetildiği paylaşılan bir gizli diziye (Bağlantı İlişkisi Anahtarı veya CAK adı verilir) sahip olmalıdır. MKA ayrıca genellikle çok daha uzun kullanım ömrüne sahip olan CAK'ın kesintisiz güncellenmesini de destekler.

EAP, bağlantı noktası erişim kontrolünden (MACsec ile veya MACsec olmadan) sorumlu olan daha üst düzey bir protokoldür. MACsec durumunda, paylaşılan bir sır oluşturabilir ve dağıtabilir. Sistemin harici bir kimlik doğrulama sunucusuna ihtiyacı varsa bu EAP tarafından desteklenebilir. EAP'ye alternatif olarak, sistem satıcıları benzer işlevselliğe sahip kendi uygulamalarına sahip olabilir veya alternatif olarak CAK'ın ekipman ve ağ yöneticileri tarafından programlandığı ve kontrol düzlemi düzeyinde birlikte çalışabilirliğe izin veren bir önceden paylaşılan anahtar (PSK) seçeneği sunabilir.

MACsec'in sağladığı temel düzeyde güvenliğin yanı sıra, MACsec başka birçok avantaj da sunar. Bu avantajlardan biri benimseme esnekliğidir. Örneğin MACsec, VLAN, VxLAN veya EoMPLS tünelleri üzerinden taşınan L2 paketlerini korumak için kullanılabilir. Gelişmiş MACsec sistem entegrasyonu ve sınıflandırması, "sanal LAN" başına MACsec'i destekleyecektir ve bu nedenle geniş alan ağları (WAN) üzerinden uçtan uca bağlantıları korumaya yönelik bir araç sunacaktır. Bu tür MACsec uygulamasını destekleyen bir Ethernet bağlantı noktası, yüzlerce benzersiz uçtan uca bağlantıyı koruyabilir.

MACsec, verim açısından oldukça ölçeklenebilir olarak tanımlanır. MACsec protokolü içerisinde kullanılan AES-GCM şifreleme algoritması paralelleştirilebildiği için özellikle yüksek ağ hızları için uygundur. Protokolün gecikme süresi de düşüktür, çünkü paketin başının işlenmesi paketin kuyruğunun bilinmesini gerektirmez. Bu özelliklerle MACsec, hat hızında (tam kablo hızı) ve düşük gecikmeyle çalışacak şekilde uygulanabilir.

Verilerin sürekli olarak katlanarak büyümesi, son yıllarda Ethernet performansındaki gelişmelerin itici gücü olmuştur. 800G Ethernet önemli bir yeni kilometre taşını temsil ediyor ve önümüzdeki birkaç yıl içinde hiper ölçekleyiciler ve servis sağlayıcılar için baskın hale geleceği tahmin ediliyor. Aynı zamanda, yüksek hızlı Ethernet bağlantı noktalarının çok şeritli yapısı, bunların bağlantı noktası ayırma yoluyla önceki nesillerle uyumlu olmasını gerektirir; bu da kanallaştırma yoluyla esnek bant genişliği tahsisi ve kaynak paylaşımı sunmak için MACsec uygulamasının yapılmasını gerektirir.

Rambus, başlangıçta 164G, ardından 100G'de başlayan ve şu anda gelişen 400G pazarına aktif olarak hizmet veren çok kanallı MACsec Silicon IP (MACsec-IP-800) ile uzun yıllardır sektörde lider bir rol oynamıştır. 800G modeline ek olarak bu ürün, toplamda 100G ile 400G arası üretim gerektiren uygulamalar için optimize edilmiş, işlevsel açıdan eşdeğer konfigürasyonlarda sunulmaktadır. Bu ürün, önde gelen sistem tedarikçileriyle yakın işbirliği içinde oluşturulan tam özellikli hat hızında MACsec veri düzlemini birleştirir. Ayrıca hat hızı IPsec için bir seçenek sunar. Bu ürünle silikon ve sistem satıcıları, 800G Ethernet'in tüm performans avantajlarını ve MACsec'in güvenlik avantajlarını birleştirebilir. Veri merkezleri, kurumsal ve taşıyıcı ağlar, ağa bağlı yüksek performanslı bilgi işlem (HPC) ve yapay zeka/makine öğrenimi (AI/ML) uygulamaları arasında güvenli veri iletişimini desteklemek için ideal bir çözümdür.

Ek kaynaklar

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://semiengineering.com/industry-adoption-of-line-rate-network-security-using-macsec/