RPKI のグローバルな採用を推進してインターネットルーティングのセキュリティを強化
Fastly が IETF (Internet Engineering Task Force) への参加を通じて同団体の取り組みをサポートし、RPKI (Resource Public Key Infrastructure) のグローバルな採用を促進するコミュニティの一員として積極的に活動していることをご存知ですか?
Fastly は RPKI の採用に向けたグローバル・ネットワーキング・コミュニティの取り組みに積極的に参加し、その実現をサポートすることに加え、先日、自社ネットワークにおけるルーティングセキュリティの改善を行いました。
Fastly が IETF が推奨するネットワークセキュリティ標準を率先して推進する背景には、お客様の重要なワークロードを担う者として、最強のネットワークセキュリティを提供する責任があることを Fastly が真摯に受け止めていることがあります。業界全体を通じて標準の改善に取り組むことで、Fastly のお客様のセキュリティを向上できるだけではなく、インターネット全体のセキュリティを強化し、安全性を高めることが可能になります。
インターネットルーティングとは?
インターネット上でネットワークへの利用可能な経路をアナウンスするのに BGP (Border Gateway Protocol) が使用されます。これは、トラフィックが横断する道路システムで、どの高速ルートの利用が可能かを知らせるのと似ています。A地点からB地点へ移動しなければならない場合、両地点を結ぶルートが存在し、そのルートとは何かを知る必要があります。インターネット上の経路をアナウンスする BGP を使用して組織が自分たちのサービスやサーバーへの経路を伝えなければならないという点で、インターネットもこれと似ています。BGP の仕様は、オープンなコラボレーションを促すモデルに従い、IETF によって管理されています。
セキュリティおよび信頼性に関する懸念
かれこれ数十年にわたり、インターネットトラフィックのルーティングに BGP が使用されてきました。組織や ISP、コンテンツプロバイダーをつなぐインターネット上の経路を特定する BGP は、今日のインターネットの仕組みにおいて中心的な役割を担っています。しかし BGP には欠陥があり、特にハイジャックのリスクは深刻です。BGP ハイジャックは、ある組織が誤って、あるいは不正に他の誰かの経路 (IP アドレス) をアナウンスすることで生じます。キーボード上で数字キーが横に並んでいることから、ルーティング設定でタイプミスが発生しやすいことは想像に難くありません。そのため、多くのハイジャックが偶発的な操作エラーによるものとして特定される一方、悪質な動機によるトラフィックの故意のリダイレクトに関する懸念も長年、指摘されてきました。誰がどのプリフィックスの BGP アナウンスを設定できるのかというセキュリティ問題がこれまで放置されてきたのです。
RPKI とは?
RPKI によって、暗号化を使用して検証できる形で、インターネット上での BGP アナウンスが正しいことを認証できます。RPKI は、リソース所有者が ROA (ルートオリジン認証) を使用してプリフィックスの正当な発信元であることを (グローバル BGP に) 示せるようにすることで、このようなセキュリティ上の懸念に対処できるよう導入されました。さらに、この認証プロセスの別の部分では、ネットワークオペレーターが RP (Relying Parties) として機能し、パブリッシュされた ROA を処理して BGP ピアや BGP トランジットから受信した経路のアナウンスを検証します。
有効な RPKI データを使用して、経路のアナウンスで使用されたプリフィックスの BGP オリジンを検証できる具体的な方法は、RFC 6811 に記載されています。このボイラープレートは一見、ややこしく見えるかもしれませんが、実は非常に分かりやすく読みやすいドキュメントで、読む価値があります!
これまでの Fastly の取り組み
Fastly は所有するすべての IP アドレス空間の ORA を発行しました。これにより、他のインターネットプロバイダーは Fastly IP 空間の経路アナウンスの正当性を確認できます。Fastly スタッフは、rpki-client や StayRTR などのさまざまな RPKI オープンソースプロジェクトに大きく貢献し、Secure Internet Routing に関する FCC の Notice Of Inquiry にコメントを提出したほか、RFC 9319、RFC 9323、RFC 9582、RFC 9589 をはじめとする多数の RPKI 標準の仕様を共同執筆し、これらの作成に協力してきました。
特に Fastly の Job Snijders は、業界全体に RPKI を浸透させる取り組みにおける中心人物のひとりです。Job はインターネットコミュニティに対して積極的に RPKI の採用を勧め、RPKI に関する講演や分析データの公開、標準やツールの開発を通じて、業界が RPKI を受け入れ、グローバルインターネットワーキングにおけるセキュリティギャップを埋められるようサポートしています。2024年5月1日現在、ROA はインターネット経路の50%以上をカバーしています。
また、Job が中心となり標準化に取り組んできた RFC 9582 と RFC 9589 は本日、最終承認を得て公開されました。RFC 9589 は RPKI データの送信に関する最適化戦略について説明しています。RFC 9582 は下位互換性がある ROA 仕様の改訂で、無限に大きな正の整数や負の正数を禁じるなど (当然ながら AS 番号が負の整数であることはあり得ません)、曖昧な点が排除されています。 ささいなことかもしれませんが、定義の明確化はセキュアなプログラミングに役立ちます。
今後の展開
Fastly のプラットフォームを使用しているお客様は、コンテンツやワークロードと一緒にインターネットルーティングも実質的に Fastly にアウトソースしています。持ち込み IP アドレス (Fastly では Subscriber Provided Prefix とも呼ばれます) を使用するお客様の場合、特にこの点が重要になります。お客様がそのように高い信頼を Fastly に置いていることを、私たちは真剣に受け止めています。
Fastly では数年前から、持ち込み IP アドレスをご使用のお客様に Fastly がプリフィックスをアナウンスする前に RPKI ROA をインストールしていただています (業界で一般的に採用されている認証アプローチで広く使用されている文字に加えて)。業界全体にわたるネットワークセキュリティ標準の採用を推進することで、Fastly のお客様だけではなく、すべてのユーザーのためにインターネット全体のセキュリティを強化し、安全性を高めることに貢献できると私たちは考えています。