インターネットルーティングのセキュリティを大幅に高める、リソース PKI(RPKI)についてご紹介します。まだ RPKI について詳しく把握していない場合は、ぜひ本ブログ記事をお読みください。この記事では、基本的な情報を紹介し、主な利点を取り上げて、ネットワークセキュリティ戦略にとって RPKI が有益な理由を説明します。さらに、RPKI をより効率的にモニターできる ThousandEyes の新機能も紹介します。
RPKI とは?
RPKI は、インターネットのルーティング インフラストラクチャのセキュリティを高められるように設計されたフレームワークです。RPKI を使用すると、自律システム(AS)からアドバタイズされた IP プレフィックスに問題がなく、承認済みであることを確認できます。この機能によって悪意のある攻撃者からの IP アドレス空間ハイジャックの影響を軽減し、無害なエンティティによる不良構成の影響を最小限に抑えることで、インターネットルーティングの全体的なセキュリティと信頼性を高めます。
企業が RPKI に関心を持つべき理由
RPKI は、IP プレフィックスの発信元の真正性を検証することで、不良構成やハイジャックによって引き起こされる不正なプレフィックス アドバタイズメントの拡散を抑制できます。大手金融機関や米国連邦政府といったより多くの組織で活用される中で、RPKI はルーティングのセキュリティ向上に欠かせないものとなりつつあります。ボーダー ゲートウェイ プロトコル(BGP)ハイジャックと不良構成の影響範囲を狭めると、ネットワークセキュリティの運用の安定性、財務の健全性、法規制の順守、競争優位性が向上します。組織は、BGP ハイジャックの予防や軽減に向けた対策への投資を通じて顧客の信頼と満足度を高めつつ、自社の資産、評判、収益源を保護できます。
RPKI の略史
BGP は元々セキュリティを考慮した設計ではなく、ルートがハイジャックされた際にオペレータが取れる選択肢も限られています。より具体的なプレフィックスをアドバタイズできなければ、多くの場合、ピアに直接連絡することが唯一の手段です。そのためルーティングコミュニティでは、このような課題に対処するためにアドバタイズできる最大プレフィックスを設定したり、ルートのフィルタリングを使用したりするなど、さまざまなベストプラクティスを活用してきました。
また、過去 10 年間にわたって、悪意のあるルートハイジャックと偶発的なルートハイジャックの両方を予防するために、RPKI の構築と促進に多大な労力が投じられてきました。現在、IPv4 プレフィックスの約 53% と IPv6 プレフィックスの約 60% が有効な Route Origin Authorization(ROA)を有しています。
そのような進歩にもかかわらず、RPKI などのセキュリティ対策の導入がネットワークオペレータに義務付けられてなく、十分にセキュリティが確保された BGP の実現までの道のりが長いことが示唆されます。一方で、有望な傾向も見られます。NTT、Cogent、Lumen などの主要なトランジットプロバイダーと Amazon や Netflix などの大手コンテンツプロバイダーが RPKI 検証を導入し、インターネットの安全性強化に寄与しているのです。より多くのプロバイダーが確実にこうしたプラクティスを活用し、あらゆる人に対してインターネットの安全性を高められるようにするには、各オペレータが連携する必要があります。
RPKI の仕組み
RPKI では、デジタル証明書を使用して、一定の AS 番号で特定の IP アドレスブロックをアナウンスできることを証明します。次に、署名と検証という 2 つのステップがあります。以下では、そのプロセスの詳細を簡単に紹介します。
-
認証局(CA):認証局と呼ばれる信頼できるエンティティによって、IP および AS プレフィックスの所有者にデジタル証明書を発行します。この証明書では、認証局でどの IP プレフィックスと AS に ROA を発行できるのかを確認できます。
-
Route Origin Authorizations(ROA):IP プレフィックスの所有者が ROA を作成します。ROA では、その IP アドレスブロックをアナウンスすることが承認された AS 番号を指定します。これらの ROA は、CA によって発行されたデジタル証明書を使用して署名されています。
-
検証:ネットワークオペレータが RPKI バリデータを使用して、ROA の真正性を確認します。ROA が有効でルートのアナウンスメントが ROA と一致している場合、そのルートは承諾されます。承諾できない場合は拒否する必要があります。このプロセスは Route Origin Validation(ROV)と呼ばれます。
実際の RPKI 検証
図 1 では、ThousandEyes の BGP ルートの可視化によって、特定のプレフィックスにおける経路の変更を示しています。赤色の実線は新しい経路が導入されたことを示しています。その一方で、赤色の点線は経路が撤回されたことを示しています。ニューヨークとアムステルダムに所在する 2 つの ThousandEyes BGP モニターが、プレフィックスの到達不能を報告しています。この原因は、AT&T と KPN の 2 つのプロバイダーが、アドバタイズされたプレフィックスに対する無効な ROA を検出したことにあります。ROV が導入されているため、このアドバタイズメントをドロップし、その結果としてプレフィックスの可視化が不十分になっています。この状況は、悪意のあるアクティビティではなく、ROA の不良構成によって生じています。しかし、このシナリオから、RPKI がハイジャックの発生時にどのようにして不正なアナウンスメントの拡散を防ぐのかがわかります。
ネットワークオペレータが ROA を修正すると、以下の図 2 で示されているように、すべてが想定どおりに機能します。
RPKI の利用を開始する
RPKI の導入は大変なことのように思えるかもしれませんが、意外とシンプルです。以下では、RPKI の利用を開始するための手順を紹介します。
-
地域インターネットレジストリ(RIR)の役割を理解する:地域インターネットレジストリ(RIR、ARIN、RIPE NCC、APNIC、LACNIC、AFRINIC)は、RPKI サービスのルート CA としての役割を果たし、トラストアンカーとして機能します。まず、RIR のポータルにログインして、ROA の作成方法に関するガイドを確認します。
-
ROA を作成する:RIR の Web インターフェイスまたは API を使用して、ROA を作成します。ROA では、どの AS に対して特定の IP プレフィックスの発信を承認するのかを指定します。多くの場合、RIR はこの AS と IP プレフィックスの組み合わせを自動的に提案できるため、ユーザーはこれを確認するだけで済みます。
-
モニターする:ThousandEyes を使用して、無効な RPKI をモニターできます。
-
維持する:さらに、オペレータはセキュリティとコンプライアンスを継続的に確保して、世界各地での障害を予防できるように、最大プレフィックス長を設定し、既存のシステム(DDoS 攻撃の軽減など)に対する影響を評価して、関連性のあるワークフローを更新し、ROA を最新の状態に保つ必要があります(注:本ブログの目的に沿って、やむを得ず一部の詳細を簡略化しています)。
ThousandEyes で RPKI をモニターする
ASN とプレフィックスのペアに対して ROA を設定した後、ThousandEyes の新しい RPKI ステータスのアラートタイプ(図 3 を参照)を使用してアラートを設定し、BGP モニターで検出された RPKI の無効なアナウンスメントをモニターできます。モニターする特定のテストやプレフィックスにこれらのアラートを関連付けます。
ThousandEyes の BGP モニターで RPKI の無効なアナウンスメントが検出されると、ユーザーはアラートを受信し、図 4 で示されているように、どの AS が RPKI の無効なプレフィックスをアナウンスしているのかを示す視覚表示を BGP ビューで確認できます。
まとめ
RPKI は、BGP ポスチャのセキュリティと信頼性を高められる高機能なセキュリティフレームワークです。不良構成と BGP ハイジャックの影響を軽減することで、データを簡単に保護し、信頼できるインターネットプレゼンスを維持できるようにします。今すぐ RPKI の利用を開始して、貴社のセキュアなルーティングの潜在能力を最大限に引き出しましょう。
