Zusammenfassung

  • Im Juni 2019 störte ein BGP-Route-Leak, an dem ein kleines Netzwerk, ein Routenoptimierer und Verizon beteiligt waren, die Erreichbarkeit von Cloudflare und anderen Diensten. Die öffentliche Reaktion von Cloudflare betonte zu Recht die Ausfälle der Routing-Sicherheit außerhalb des eigenen Netzwerks.
  • Der neue Blickwinkel ist die überprüfbare Reparatur im Gegensatz zur Beschwichtigung. Nach einem Route-Leak benötigen die Kunden eines Anbieters mehr als eine zuversichtliche Erklärung; sie benötigen Nachweise, dass die Routenautorität, die Upstream-Filterung, die Validierung und die Überwachung verbessert wurden.
  • Cloudflare war den öffentlichen Aufzeichnungen zufolge nicht der ursprüngliche Verursacher des Lecks, hatte jedoch praktische Kontrolle über seine eigene Routenautorität, RPKI-Fürsprache, Kundenkommunikation, Überwachung, Transitdruck und die öffentliche Erklärung des Restrisikos.
  • Verizon und das leckende Netzwerk kontrollierten die einflussreichen Verbreitungspunkte. Die Verantwortlichkeitslandkarte trennt daher Ursprung, Verstärker, betroffenen Anbieter, validierende Netzwerke und Kunden, anstatt das Internet als gesichtslosen Unfall zu behandeln.
  • Die dauerhafte Lehre ist, dass Routing-Vorfälle messbare Artefakte hinterlassen sollten: ROAs, Ablehnung ungültiger Routen, Filteränderungen, Peer-Anforderungen, öffentliche Routendaten, Vorfallszeitpläne und Kundenanleitungen dazu, was allein durch Anbietermaßnahmen sicher gemacht werden kann und was nicht.

Nachweisprotokoll und seine Verwendung

Dieser Artikel verwendet die öffentliche Vorfallsanalyse von Cloudflare als Betroffenenbericht aus erster Hand, externe Routing- und Branchenquellen für den Kontext der Routing-Sicherheit sowie RFCs oder behördliche Leitlinien für aktuelle BGP-, RPKI- und Route-Leak-Kontrollen. Spätere Standards werden verwendet, um die überprüfbare Reparatur zu gestalten, nicht als rückwirkende gesetzliche Pflichten für jeden Teilnehmer im Jahr 2019.

#Öffentliche AufzeichnungVerwendung in dieser Analyse
1Cloudflare, Verizon and a BGP optimizer outage analysisPrimäre Erklärung des betroffenen Anbieters zum Route-Leak vom Juni 2019, zur Verbreitung durch Verizon und zu den Lehren für die Routing-Sicherheit.
2Cloudflare RPKI explainerCloudflares Erklärung der Routenursprungsautorisierung und -validierung als Reparaturkontext.
3Cloudflare RPKI updates and dataCloudflares spätere Messungen zur Routing-Sicherheit und der Rahmen für die Ablehnung ungültiger Routen.
4MANRS network operator actionsBranchennormen für Filterung, Anti-Spoofing, Koordination und globale Validierung.
5MANRS route-leak incident noteBranchendiskussion zur Routing-Sicherheit über das Route-Leck vom Juni 2019 und die Betreiberverantwortlichkeiten.
6NIST SP 800-189Behördliche Leitlinien für einen widerstandsfähigen Interdomain-Verkehrsaustausch, BGP-Sicherheit und Routenfilterung.
7RFC 4271BGP-4-Protokollreferenz.
8RFC 7908Definition und Klassifizierung des Route-Leak-Problems.
9RFC 9234BGP-Rollen und Only-to-Customer-Mechanismus zur Verhinderung von Route-Leaks.
10RFC 6480Referenz zur RPKI-Architektur.
11RFC 6811Referenz zur Validierung der BGP-Präfixherkunft.
12ARIN RPKI resourcesKontext der regionalen Internetregistrierungsstelle für die Erstellung von Routenursprungsautorisierungen.
13RIPE RISÖffentliches Routenkollektor-Ökosystem als Kontext für die Routensichtbarkeit.
14University of Oregon RouteViewsKontext der öffentlichen BGP-Beobachtungsinfrastruktur.
15Is BGP Safe Yet?Öffentlichkeitsarbeit und Fürsprache-Kontext für die RPKI-Einführung.
16PeeringDBKontext des öffentlichen Interconnection- und Peering-Ökosystems.
17Cloudflare Learning Center, BGPAllgemeinverständliche BGP-Erklärung, die neben RFC 4271 verwendet wird.
18Cloudflare 2019 Form 10-KUnternehmensgeschäfts- und Edge-Netzwerk-Risikokontext.

Beruhigung ist keine Reparatur

Route-Leaks erzeugen ein vorhersehbares Problem der öffentlichen Kommunikation. Der betroffene Anbieter möchte die Kunden beruhigen, dass der Ausfall außerhalb seiner direkten Kontrolle verursacht wurde. Das mag zutreffen. Im Juni 2019 identifizierte die öffentliche Analyse von Cloudflare ein Routenverbreitungsverhalten, an dem Verizon und ein von einem kleineren Netzwerk genutzter Routenoptimierer beteiligt waren. Cloudflare war ein betroffener Anbieter, nicht die ursprüngliche Quelle der fehlerhaften Routing-Informationen. Kunden kaufen jedoch nicht nur die Zuweisung von Schuld. Sie kaufen einen erreichbaren Dienst.

Nach einem Routing-Vorfall muss aus Beruhigung Reparaturevidenz werden.

Reparaturevidenz beantwortet Fragen, die Beruhigung nicht beantworten kann. Hat der betroffene Anbieter eine genaue Routenursprungsautorisierung für seine Präfixe veröffentlicht? Lehnen seine Transit-Provider ungültige oder nicht autorisierte Routen ab? Lehnt der Anbieter selbst ungültige Routen von anderen ab? Hat er Druck ausgeübt oder Peers aufgrund von Routing-Hygiene ausgewählt? Können Kunden erkennen, ob öffentliche Routing-Daten die Postmortem-Analyse stützen? Legt der Anbieter Restrisiken offen, die außerhalb seiner Kontrolle bleiben? Welche Kontrollen wurden nach dem Ereignis geändert?

Cloudflares Reaktion ist interessant, weil sich das Unternehmen bereits als Fürsprecher der Routing-Sicherheit positioniert hat. Es veröffentlichte Erklärungen zu RPKI und machte auf die Notwendigkeit von Routenfilterung und -validierung aufmerksam. Diese Fürsprache ist wertvoll. Die Frage der Rechenschaftspflicht besteht darin, wie sie überprüfbar gemacht werden kann. Ein Anbieter kann sagen, dass das Routing-System verbessert werden muss. Kunden müssen wissen, was der Anbieter selbst getan hat: ROAs, Validierungsrichtlinien, Transitanforderungen, Überwachung, Kundenkommunikation und Vorfallsübungen.

Diese Unterscheidung ist nicht kleinlich. Internet-Routing ist ein Vertrauenssystem mit vielen privaten Beziehungen. Kunden können nicht jeden Transit-Filter oder jede Peer-Richtlinie überprüfen. Öffentliche Nachweise sind daher unerlässlich. Routenkollektoren, RPKI-Repositories, MANRS-Teilnahme, Vorfallszeitpläne und Anbietererklärungen werden zu Ersatz für die direkte Überprüfung. Je stärker die öffentlichen Nachweise, desto weniger müssen sich Kunden auf Markenvertrauen verlassen.

Beruhigung hat auch eine begrenzte Haltbarkeit. Unmittelbar nach einem Vorfall kann sie Kunden beruhigen. Monate später ist die wichtige Frage, ob die Schwachstelle in der Verbindung kleiner geworden ist. Ein Route-Leak, der nur einen Blogbeitrag hinterlässt, hat dem Internet weniger beigebracht als einer, der messbare Validierung, bessere Filter und öffentlichen Rechenschaftsdruck hinterlässt. Die wichtigste Lehre ist, dass Reparatur überprüfbar sein muss.

Das Leck hatte Ursprungs-, Verstärker- und Opferrollen

Routing-Vorfälle werden oft so beschrieben, als ob das Internet im Allgemeinen versagt hätte. Diese Sprache ist zu vage für die Rechenschaftspflicht. Eine nützliche Route-Leak-Landkarte trennt die Rollen. Ein Netzwerk hat problematische Routeninformationen durchsickern lassen oder verursacht. Ein anderes Netzwerk mit größerer Reichweite hat sie akzeptiert und verbreitet. Betroffene Anbieter wie Cloudflare sahen ihren Datenverkehr umgeleitet oder ihre Erreichbarkeit beeinträchtigt. Andere Netzwerke haben die Route entweder akzeptiert, abgelehnt oder beobachtet.

Kunden erlebten einen Dienstausfall, ohne eine dieser Routing-Entscheidungen kontrollieren zu können.

Diese Rollenkarte verhindert zwei Fehler. Der erste Fehler besteht darin, den betroffenen Anbieter für jeden Erreichbarkeitsausfall verantwortlich zu machen. Cloudflare kontrollierte weder die Routenannahme von Verizon noch den Routenoptimierer des kleineren Netzwerks. Der zweite Fehler besteht darin, den betroffenen Anbieter vollständig zu entlasten, weil das Leck anderswo entstand. Cloudflare kontrollierte weiterhin seine eigene Routenautorität, seine eigene Validierungshaltung, seine eigene Überwachung, seine eigene Kundenkommunikation und seinen eigenen kommerziellen Druck auf Netzwerkpartner.

Die Verantwortung ist verteilt, nicht aufgelöst.

Die Rolle von Verizon war wichtig, weil die Verstärkung den Explosionsradius bestimmt. Eine fehlerhafte Route eines kleinen Netzwerks kann klein bleiben, wenn Upstreams sie filtern. Die Verbreitung durch einen großen Transit-Provider kann sie global machen. Deshalb ist die Upstream-Filterung keine optionale Höflichkeit. Sie ist eine Sicherheitspflicht für Netzwerke, die Reichweite verkaufen. Je mehr Reichweite ein Anbieter hat, desto sorgfältiger muss er validieren, was er verbreitet.

Der Aspekt des Routenoptimierers ist auch eine Warnung vor Automatisierung. Tools, die BGP-Entscheidungen optimieren, können weitreichende Routing-Änderungen verursachen. Wenn solche Tools Routen über Anbieterbeziehungen hinweg durchsickern lassen können, können sie kommerzielles Traffic Engineering in einen öffentlichen Ausfall verwandeln. Automatisierung reduziert nicht die Rechenschaftspflicht; sie erhöht die Notwendigkeit von Beschränkungen, Tests der Routenrichtlinien und Überwachung.

Die Rolle von Cloudflare als betroffener Anbieter bringt eine andere Verpflichtung mit sich: das externe Kontrollversagen sichtbar zu machen, es genau zu erklären und das Ereignis in strengere Anforderungen an die Routing-Sicherheit umzuwandeln. Das ist eine legitime Form der Rechenschaftspflicht. Ein Anbieter kann zur Reparatur des Ökosystems beitragen, selbst wenn er das ursprüngliche Leck nicht verursacht hat. Der Schlüssel liegt darin, die Reparatur messbar zu machen.

RPKI verändert den Nachweisstandard

RPKI ist wichtig, weil es einige Fragen der Routenautorität in kryptografisch überprüfbare Daten umwandelt. Ein Ressourceninhaber kann eine Routenursprungsautorisierung veröffentlichen, in der festgelegt wird, welches autonome System berechtigt ist, ein Präfix mit welcher maximalen Länge zu vergeben. Netzwerke, die eine Routenursprungsvalidierung durchführen, können empfangene Routen klassifizieren und ungültige Ursprünge ablehnen, sofern die Richtlinie dies erfordert. Dies löst nicht jedes Route-Leak, ändert aber, was nachgewiesen werden kann.

Für Cloudflare war RPKI nicht nur ein technischer Fix. Es war ein Instrument der Rechenschaftspflicht. Wenn das Unternehmen genaue ROAs für seine Präfixe veröffentlicht, können Kunden und andere Netzwerke einen Teil des Autorisierungsnachweises überprüfen. Wenn Netzwerke ungültige Routen ablehnen, werden einige falsche Ursprungsankündigungen weniger gefährlich. Wenn Cloudflare die Einführung misst und sich dafür einsetzt, entsteht Druck auf Netzwerke, die immer noch ungültige Autorität akzeptieren. Die Reparatur wird weniger abhängig von privaten Zusicherungen.

RPKI ist kein magischer Schutzschild. Ein Route-Leak kann eine Route betreffen, die weiterhin ursprungsgültig ist, weil das ursprüngliche Ursprungs-AS weiterhin autorisiert ist, während die Pfadbeziehung falsch ist. Deshalb sind die Route-Leak-Taxonomie von RFC 7908 und spätere Mechanismen wie BGP-Rollen von Bedeutung. Die Routenursprungsvalidierung beantwortet, wer vergeben darf; die Verhinderung von Route-Leaks fragt auch, ob die Route über eine bestimmte Beziehung verbreitet werden sollte. Eine überprüfbare Reparatur muss sowohl die Ursprungsvalidierung als auch die beziehungsbewusste Filterung umfassen.

Diese Nuance ist wichtig für eine ehrliche Kundenkommunikation. Ein Anbieter sollte nicht suggerieren, dass RPKI alle Routing-Vorfälle unmöglich macht. Er sollte erklären, was RPKI verhindern kann, was es nicht verhindern kann und welche ergänzenden Kontrollen erforderlich sind. Kunden können dann das Restrisiko verstehen. Eine Überbewertung einer Kontrolle ist eine weitere Form der Beruhigung ohne Reparatur.

Der öffentliche Wert von RPKI besteht darin, dass es Artefakte schafft. ROAs können überprüft werden. Die Ablehnung ungültiger Routen kann gemessen werden. Die Einführung kann verfolgt werden. Netzbetreiber können gefragt werden, warum sie validieren oder nicht. Diese Artefakte geben den Kunden etwas Handfesteres als eine Entschuldigung nach dem Vorfall. Cloudflares Engagement für die Routing-Sicherheit ist dann am stärksten, wenn es mit solchen überprüfbaren Nachweisen verbunden ist.

MANRS-ähnliche Normen machen privates Routing zur öffentlichen Erwartung

MANRS ist wichtig, weil die Routing-Sicherheit nicht von einem einzigen Anbieter allein gelöst werden kann. Das Netzwerk, das den Ursprung setzt, der Upstream, der akzeptiert, der Peer, der verbreitet, und der Downstream, der validiert – sie alle prägen das Ergebnis. Freiwillige Normen wie Filterung, Anti-Spoofing, Koordination und globale Validierung machen privates Verbindungsverhalten als öffentliche Erwartung sichtbar. Sie garantieren keine Einhaltung, aber sie definieren, was verantwortungsbewusste Betreiber vorzeigen können sollten.

Für den Vorfall vom Juni 2019 ist die MANRS-Perspektive direkt. Das Leck wurde schädlich, weil falsche Routing-Informationen eine Beziehungsgrenze überschritten und weit verbreitet wurden. Das Filtern von Kundenankündigungen und die Pflege korrekter Routing-Informationen sind zentrale Präventionsaufgaben. Koordination und Kontaktbereitschaft sind wichtig, sobald das Leck im Gange ist. Die Validierung ist bei Netzwerken wichtig, die die Route empfangen. Das System benötigt all diese Kontrollen, da keine einzelne Schicht jeden Fehler abfängt.

Cloudflares Reaktion sollte daher teilweise danach beurteilt werden, wie es seine Marktposition nutzte, um diese Normen voranzutreiben. Hat es von den Transit-Providern eine bessere Routing-Hygiene verlangt? Hat es die Rolle der Filterung öffentlich gemacht? Hat es die Einführung von Routing-Sicherheit erleichtert oder sichtbarer gemacht? Hat es die öffentliche Aufklärung unterstützt, damit die Kunden verstehen, warum die Upstream-Entscheidungen ihres Anbieters wichtig sind? Diese Maßnahmen können einen Ausfall in Druck auf das Ökosystem verwandeln.

Kunden können auch MANRS-ähnliche Fragen bei der Beschaffung stellen. Filtert ein Anbieter die Kundenrouten? Validiert er RPKI? Pflegt er korrekte Routenobjekte? Hat er rund um die Uhr Routing-Sicherheitskontakte? Nimmt er an anerkannten Routing-Sicherheitsinitiativen teil? Veröffentlicht er Vorfallberichte, wenn das Routing schiefgeht? Ein Kunde, der Edge-Sicherheit kauft, sollte nach der Routing-Sicherheit fragen, denn die Edge ist nur über das Routing-System erreichbar.

Es geht nicht darum, dass freiwillige Normen Regulierung oder Verträge ersetzen. Es geht darum, dass sich das Routing-Verhalten oft zwischen privaten Verträgen und öffentlichem Schaden bewegt. MANRS-ähnliche Erwartungen geben Kunden und Peers ein Vokabular, um dieses Verhalten zu hinterfragen. Überprüfbare Reparatur hängt von einem Vokabular ab, das getestet werden kann.

Öffentliche BGP-Nachweise sind Teil des Vorfallsprotokolls

Route-Leaks sind unter Infrastrukturvorfällen ungewöhnlich, da Außenstehende wichtige Teile davon beobachten können. RouteViews, RIPE RIS und andere Kollektoren geben keine privaten Router-Absichten preis, aber sie können Ankündigungen, Rücknahmen, AS-Pfade und Zeitabläufe von vielen Beobachtungspunkten aus zeigen. Diese öffentlichen Nachweise helfen, Vorfallserzählungen zu validieren oder zu hinterfragen. Sie helfen betroffenen Anbietern auch zu erklären, was passiert ist, ohne dass die Kunden jede Behauptung blind glauben müssen.

Die öffentliche Analyse von Cloudflare verwendete Routing-Nachweise, um zu zeigen, wie sich der Ausfall entwickelte. Das ist eine gute Praxis. Eine Route-Leak-Postmortem-Analyse sollte genügend öffentliche Routendaten enthalten, um den Mechanismus nachvollziehbar zu machen: welche Präfixe betroffen waren, welche AS-Pfade beteiligt waren, was sich im Laufe der Zeit änderte, wann die Verbreitung gestoppt wurde und welche Gegenmaßnahmen von Bedeutung waren. Ziel ist es nicht, die Leser mit BGP-Tabellen zu überfordern. Es geht darum, die Kausalgeschichte überprüfbar zu machen.

Öffentliche Nachweise schützen auch vor vagen Schuldzuweisungen. Wenn ein Anbieter sagt, ein Upstream habe Routen durchsickern lassen, sollte der Routenverlauf diese Behauptung stützen. Wenn ein Upstream sagt, er habe die Filterung behoben, sollte das spätere Routenverhalten mit der Behebung übereinstimmen. Wenn ein Netzwerk sagt, es lehne ungültige RPKI-Routen ab, sollten öffentliche Messungen dies in groben Zügen überprüfen können. Je messbarer die Behauptungen zur Routing-Sicherheit werden, desto weniger Raum bleibt für eine Reparatur, die nur auf dem Ruf basiert.

Kunden sollten nach Vorfall-Routennachweisen in einer verwendbaren Form fragen. Eine kurze Darstellung ist für Führungskräfte hilfreich. Ein technischer Anhang ist für Netzwerkteams hilfreich. Ein Zeitplan ist für Vorfallmanager hilfreich. Eine Liste der geänderten Kontrollen ist für Risikoverantwortliche hilfreich. Ein Kunde sollte kein BGP-Experte sein müssen, um zu verstehen, ob der Anbieter von der Erklärung zur Reparatur übergegangen ist.

Öffentliche Routennachweise haben Grenzen. Sie erfassen möglicherweise nicht jeden privaten Peer, jede Richtlinienentscheidung oder jeden internen Alarm. Sie können verrauscht sein. Sie erfordern möglicherweise eine fachkundige Interpretation. Aber ihre Grenzen sind kein Grund, sie wegzulassen. Bei der Rechenschaftspflicht im Routing sind unvollständige öffentliche Nachweise immer noch besser als nur private Beruhigung.

Die Rechenschaftspflicht der Transit-Provider ist der entscheidende Hebel

Der Vorfall vom Juni 2019 zeigte erneut, dass Transit-Provider einen großen Einfluss haben. Ein kleines Netzwerk kann ein Leck verursachen. Ein Routenoptimierer kann Fehlverhalten zeigen. Aber ein großer Transit-Provider kann entscheiden, ob diese Route weithin für gültig gehalten wird. Die Kundenfilter, Präfixbeschränkungen, Routenvalidierung und Beziehungsrichtlinien des Anbieters sind Kontrollen der öffentlichen Sicherheit, da sie bestimmen, wie weit sich fehlerhafte Informationen verbreiten.

Hier können kommerzielle Anreize versagen. Transit-Provider konkurrieren in Bezug auf Reichweite, Leistung und Preis. Filterung und Validierung erfordern betrieblichen Aufwand und können zu Kundenreibung führen. Wenn der Markt Routing-Hygiene nicht belohnt, investieren die Anbieter möglicherweise zu wenig, bis ein Vorfall zu Reputationskosten führt. Kunden und betroffene Netzwerke sollten daher Routing-Hygiene zu einem Bestandteil der Lieferantenauswahl und des Peer-Drucks machen.

Cloudflares öffentliche Kritik am Verstärkungspunkt erfüllte eine nützliche Marktfunktion. Sie benannte das einflussreiche Versagen. Aber das Benennen ist nur der Anfang. Überprüfbare Reparatur erfordert den Nachweis, dass sich die Transitrichtlinien geändert haben, dass ungültige oder nicht autorisierte Routen abgelehnt werden, dass die Routensätze der Kunden gepflegt werden und dass Route-Leaks eine schnelle Eindämmung auslösen. Einige dieser Nachweise können aus öffentlichen Verpflichtungen stammen, andere aus Messungen, aus vertraglichen Anforderungen oder aus dem Ausbleiben künftiger Vorfälle in Verbindung mit Prüfungen.

Betroffene Anbieter haben ebenfalls Einfluss. Ein großes Edge-Netzwerk kann Transitbeziehungen wählen, Peering-Präferenzen festlegen, Anforderungen an die Routing-Sicherheit veröffentlichen und Kunden über Anbieterhygiene aufklären. Es kann nicht jedes Netzwerk im Internet zur Validierung zwingen, aber es kann die Anreize für seine eigenen Verbindungen verändern. Wenn ein Anbieter Sicherheit und Zuverlässigkeit verkauft, ist die Beschaffung von Routing-Sicherheit Teil des Produkts und nicht nur die Hintergrundarbeit des Netzwerkteams.

Die übergeordnete politische Lehre ist, dass die Upstream-Filterung wie eine an die Reichweite geknüpfte Pflicht behandelt werden sollte. Je globaler die Reichweite, die ein Netzwerk verkauft, desto mehr öffentlichen Schaden kann es durch die Annahme fehlerhafter Routen verursachen. Diese Pflicht sollte in Normen, Verträgen, Prüfungen und Vorfallberichten sichtbar werden.

Kundenkontinuität stößt bei Routing-Ausfällen an Grenzen

Kunden fragen oft, was sie nach einem Anbieterausfall anders hätten machen können. Bei einem Route-Leak, der einen großen Edge-Anbieter betrifft, kann die Antwort unangenehm sein: nicht viel in Echtzeit, es sei denn, der Kunde hatte im Voraus unabhängige Bereitstellungspfade eingerichtet. Wenn das öffentliche Internet den Datenverkehr von den legitimen Pfaden des Anbieters wegleitet, kann der Ursprung des Kunden gesund und dennoch nicht über die erwartete Edge erreichbar sein.

DNS-Failover kann in einigen Architekturen helfen, kann jedoch durch Caching, Zertifikatseinrichtung, Ursprungskapazität und die Bereitschaft alternativer Anbieter eingeschränkt sein.

Das bedeutet nicht, dass Kunden machtlos sind. Sie können kritische Dienste klassifizieren, alternative Statusseiten pflegen, Multi-CDN- oder Direct-Origin-Fallbacks für ausgewählte Workloads verwenden, von verschiedenen Netzwerken aus überwachen und vermeiden, jeden öffentlichen Kommunikationskanal hinter denselben Anbieter zu stellen. Diese Maßnahmen erfordern jedoch Planung. Während eines Route-Leaks reicht Improvisation selten aus.

Cloudflares Rechenschaftspflicht gegenüber den Kunden ist daher teilweise erklärend. Es sollte den Kunden mitteilen, welche Risiken Cloudflare durch RPKI, Routenüberwachung und Transitauswahl reduzieren kann und welche Risiken eine Kundenarchitektur erfordern. Ein Anbieter, der suggeriert, alle Internet-Routing-Ausfälle auffangen zu können, lädt zu falschem Vertrauen ein. Ein Anbieter, der das Restrisiko erklärt, hilft den Kunden, bessere Kontinuitätsentscheidungen zu treffen.

Kundenverträge und Risikobewertungen sollten dies widerspiegeln. Eine Service-Level-Zusage deckt möglicherweise nicht die vollen betrieblichen Auswirkungen von Route-Leaks ab. Gutschriften halten einen Dienst nicht erreichbar. Kunden sollten fragen, ob kritische Workloads eine Bereitstellungsvielfalt benötigen, ob diese Vielfalt wirklich unabhängig ist und ob die Notfallkommunikationskanäle denselben Routing-Fehler überstehen. Die Antworten können je nach Workload unterschiedlich ausfallen, aber die Fragen sind für Dienste mit hoher Auswirkung obligatorisch.

Der Route-Leak-Vorfall zeigt auch, dass das Abhängigkeitsrisiko bis zum Ausfall unsichtbar bleiben kann. Ein Kunde weiß möglicherweise nicht, welche Transitbeziehungen oder Routenrichtlinien seine Erreichbarkeit über einen Anbieter prägen. Deshalb ist die Transparenz der Anbieter wichtig. Kunden können nicht verwalten, was der Anbieter nicht lesbar macht.

Überprüfbare Reparatur benötigt eine Checkliste

Eine glaubwürdige Route-Leak-Reparaturaufzeichnung sollte beobachtbare Elemente enthalten. Erstens, einen genauen Zeitplan der Routenverbreitung, Erkennung, Eindämmung und Wiederherstellung. Zweitens, eine Rollenkarte, die Ursprung, Verstärker, betroffene Präfixe und validierende Netzwerke identifiziert, soweit bekannt. Drittens, Routenursprungsnachweise: ROAs, maxLength-Entscheidungen und Validierungshaltung. Viertens, Filternachweise: Kontrollen der Kundenroutensätze, Ablehnung ungültiger Routen und Methoden zur Verhinderung von Route-Leaks.

Fünftens, Koordinationsnachweise: Kontakte, Eskalation und Kommunikation mit den verantwortlichen Netzwerken. Sechstens, Kundenanleitung zum Restrisiko und zu möglichen Kontinuitätsdesigns.

Eine solche Checkliste hätte aus dem Ereignis vom Juni 2019 mehr als eine Erzählung gemacht. Cloudflare lieferte umfangreiche öffentliche Erklärungen und Fürsprache. Der nächste Schritt in der Rechenschaftspflicht besteht darin, jede Behauptung mit einem dauerhaften Artefakt zu verbinden. Wenn RPKI Teil der Antwort ist, zeigen Sie die Einführung auf. Wenn Upstream-Filterung Teil der Antwort ist, geben Sie die Erwartungen an Upstreams an. Wenn öffentliche Routenkollektoren den Zeitplan stützen, fügen Sie genügend Daten zur Überprüfung hinzu. Wenn Kunden Architekturänderungen benötigen, sagen Sie es direkt.

Diese Checkliste schützt auch betroffene Anbieter. Wenn der Anbieter zeigen kann, dass er ROAs veröffentlicht, Routen validiert, öffentliches BGP überwacht, verantwortungsbewusste Transit-Provider ausgewählt und schnell eskaliert hat, können die Kunden erkennen, dass das Restrisiko aus dem breiteren Routing-Ökosystem stammte. Ohne diese Nachweise hören die Kunden möglicherweise nur Beschwichtigungen. Nachweise sind die stärkste Verteidigung des Anbieters, wenn er den Fehler wirklich nicht verursacht hat.

Die überprüfbare Reparatur sollte über Vorfälle hinweg wiederholbar sein. Dieselbe Struktur kann auf Lecks angewendet werden, die CDNs, Cloud-Anbieter, Banken, Regierungsportale oder Software-Repositories betreffen. Die Details unterscheiden sich, aber die Rechenschaftselemente bleiben: Routenautorität, Ausbreitungskontrolle, Validierung, Überwachung, Koordination und Kundenkontinuität.

Die Checkliste sollte auch mit der technologischen Entwicklung aktualisiert werden. BGP-Rollen und Only-to-Customer-Mechanismen in RFC 9234 adressieren die beziehungsbewusste Leckverhinderung, die die RPKI-Ursprungsvalidierung allein nicht lösen kann. Anbieter sollten ihr Reparaturmodell nicht auf die Kontrollen von 2019 einfrieren. Ein echtes Reparaturprogramm übernimmt bessere Mechanismen, sobald sie einsetzbar werden.

Fürsprache ist stärker, wenn sie mit Beschaffung gepaart wird

Cloudflare hat seine öffentliche Plattform oft genutzt, um für eine bessere Routing-Sicherheit zu werben. Fürsprache ist wichtig, weil Routing-Sicherheit eine kollektive Anstrengung erfordert. Aber Fürsprache wird stärker, wenn sie mit Beschaffungs- und Betriebsverpflichtungen gepaart wird. Ein Anbieter kann über RPKI schreiben und gleichzeitig Partner, Peers und Transit-Vereinbarungen wählen, die dieselben Werte widerspiegeln. Er kann die Kunden bitten, sich zu kümmern, während er zeigt, dass er sich bei den eigenen Netzwerkkäufen darum kümmert.

Diese Paarung ist wichtig, weil die Einführung von Routing-Sicherheit unter Trittbrettfahrerdynamiken leiden kann. Wenn verantwortungsbewusste Netzwerke validieren, aber unverantwortliche immer noch fehlerhafte Routen verbreiten, bleibt jeder exponiert. Große Anbieter können Anreize ändern, indem sie Routing-Hygiene zu einem Bestandteil der kommerziellen Beziehungen machen. Ein Transit-Provider, der riskiert, wichtige Kunden aufgrund schwacher Filterung zu verlieren, hat einen stärkeren Grund, sich zu verbessern. Ein Peer, der keine Routenobjekte pflegen kann, wird stärker überprüft.

Ein Netzwerk, das Ungültige ablehnt, kann diese Reife bewerben.

Kunden können denselben Anreiz verstärken. Sie können Edge-Anbieter fragen, welche Transit-Provider sie nutzen, ob sie RPKI validieren, ob sie MANRS-ähnliche Kontrollen pflegen und wie sie auf Lecks reagieren. Nicht jedes Detail wird öffentlich sein, aber wiederholter Käuferdruck verändert das Gespräch. Routing-Sicherheit sollte Teil der Zuverlässigkeitsbeschaffung werden und kein Nischenthema der Netzwerktechnik sein.

Die Position von Cloudflare als betroffener Anbieter verleiht ihm Glaubwürdigkeit, um diese Agenda voranzutreiben. Es hat den Schaden erfahren und konnte ihn einem breiten Publikum erklären. Der Maßstab der Rechenschaftspflicht besteht darin, diese Glaubwürdigkeit kontinuierlich in messbaren Druck auf das Ökosystem umzuwandeln. Ein überzeugender Blogbeitrag ist nützlich; ein veränderter Routing-Markt ist besser.

Das gleiche Prinzip gilt für jeden Anbieter, der sichere Erreichbarkeit verkauft. Wenn das Produktversprechen beinhaltet, die Kunden online und geschützt zu halten, dann ist die Beschaffung von Routing-Sicherheit Produktarbeit. Die Grenze zwischen Netzwerkbetrieb und Kundenvertrauen ist während eines Ausfalls künstlich.

Route-Leaks zeigen die Grenzen der Edge-Redundanz auf

Cloudflare betreibt ein großes globales Edge-Netzwerk, aber der Route-Leak-Vorfall zeigte, dass physische und softwaretechnische Redundanz die Abhängigkeit vom Interdomain-Routing nicht beseitigen. Ein Anbieter kann viele Rechenzentren, viele Server und ein ausgeklügeltes Datenverkehrsmanagement haben und dennoch betroffen sein, wenn das Internet an einen fehlerhaften Pfad glaubt. Redundanz innerhalb des Anbieterbestands ist notwendig, aber nicht dasselbe wie Unabhängigkeit im Routing. Der öffentliche Pfad zur Edge ist Teil des Dienstes.

Dies ist wichtig für die Kundenerwartungen. Kunden kaufen Edge-Dienste oft in der Annahme, dass Größe Immunität schafft. Größe schafft Kapazität und viele Wiederherstellungsoptionen, aber sie schafft auch mehr Verbindungsbeziehungen und eine größere Abhängigkeit von den Routing-Entscheidungen anderer. Wenn ein großer Transit-Provider fehlerhafte Routen verbreitet, kann eine globale Edge auf bestimmte Weise global falsch erreicht werden. Kunden müssen verstehen, dass die interne Widerstandsfähigkeit des Anbieters und die externe Routing-Hygiene des Internets unterschiedliche Schichten sind.

Die öffentliche Kommunikation von Cloudflare kann diese Erwartungslücke verringern, indem sie zwischen der Dienstresilienz und dem Risiko des Routing-Ökosystems unterscheidet. Eine Postmortem-Analyse sollte angeben, welche Teile unter der Kontrolle von Cloudflare standen, welche außerhalb und welche Gegenmaßnahmen die Grenze überbrücken. Die RPKI-Veröffentlichung ist eine Brücke. Die Ablehnung ungültiger Routen ist eine weitere. Die Transitauswahl und die Peering-Richtlinie sind weitere. Die öffentliche BGP-Überwachung ist eine weitere. Die kundenseitige Bereitstellung über mehrere Anbieter kann für hochkritische Workloads eine weitere sein.

Ohne diese schichtweise Erklärung könnten Kunden dem Anbieter entweder zu sehr vertrauen oder ihn zu Unrecht für jeden externen Routenfehler verantwortlich machen.

Die Lehre aus der Edge-Redundanz betrifft auch Vorfallsübungen. Anbieter sollten nicht nur den Verlust von Rechenzentren und Software-Regressionen testen, sondern auch Szenarien wie Routenentführung, Route-Leak, Annahme ungültiger Ursprünge und Fehlverhalten von Transit-Providern. Diese Übungen sollten die Kundenkommunikation einschließen, da Routing-Vorfälle für nicht-technische Teams verwirrend sind. Ein Kunde, der aus einigen Regionen intermittierende Fehler sieht, weiß möglicherweise nicht, ob das Problem in der Ursprungsgesundheit, dem DNS, der CDN-Software, der ISP-Filterung oder der Routenverbreitung liegt.

Die Fähigkeit des Anbieters, die Schicht schnell zu erklären, ist Teil der Resilienz.

Die beste Reparaturevidenz umfasst daher die Szenarioabdeckung. Hat der Anbieter die Erkennung von Route-Leaks getestet? Hat er die Transit-Eskalation geübt? Hat er die ROA-Genauigkeit überprüft? Hat er auf verdächtige AS-Pfade überwacht? Hatte er eine kundenorientierte Sprache für Routing-Vorfälle vorbereitet? Diese Fragen machen das Routing von einer reinen Experten-Domäne zu einer rechenschaftspflichtigen Dienstleistungspflicht.

Falsche Pfade schaffen Vertrauensschulden

Ein Route-Leak ist ein Vertrauensschuldenereignis. Es zeigt, dass Netzwerke einen Pfad akzeptiert haben, den sie nicht hätten akzeptieren sollen, oder eine Route über eine Beziehung verbreitet haben, über die sie nicht hätte verbreitet werden sollen. Die Schuld wird während des Ausfalls von den betroffenen Anbietern und Nutzern bezahlt, bleibt aber danach bestehen, wenn die zugrunde liegenden Vertrauensannahmen nicht behoben werden. Beschwichtigungen können den Moment beruhigen. Reparatur tilgt die Schulden.

Vertrauensschulden sind kumulativ. Jedes öffentliche Route-Leak lehrt die Kunden, dass die Internet-Erreichbarkeit von Kontrollen abhängt, die sie nicht sehen können. Wenn die Reaktion nur erzählend ist, schwächt sich das Vertrauen, weil der nächste Vorfall unvermeidlich erscheint. Wenn die Reaktion messbare Verbesserungen hervorbringt, kann sich das Vertrauen erholen, weil das System überprüfbarer wird. Die Einführung von RPKI, Verpflichtungen zur Routenfilterung und die öffentliche Routenüberwachung sind nicht nur technische Hygiene; sie sind Werkzeuge zur Wiederherstellung von Vertrauen.

Die Rolle von Cloudflare ist kompliziert, weil es sowohl ein Opfer von Vertrauensbrüchen im Routing als auch ein Anbieter von Internet-Vertrauensdiensten ist. Diese Doppelrolle erhöht den Standard. Kunden erwarten, dass das Unternehmen sich nicht nur erholt, sondern auch die Schwäche des Internets erklärt und für glaubwürdige Lösungen eintritt. Wenn Cloudflare Erklärungen zur Routing-Sicherheit veröffentlicht, wandelt es seinen eigenen Vorfall in öffentliche Bildung um. Der nächste Schritt besteht darin, zu zeigen, welche Teile dieser Bildung in seinem Netzwerk und seinen Geschäftsbeziehungen operationalisiert sind.

Vertrauensschulden gehören auch den verstärkenden Netzwerken. Ein Transit-Provider, der fehlerhafte Routen akzeptiert und verbreitet, schädigt das Vertrauen über seine direkten Kunden hinaus. Die Schulden sollten ihm in zukünftige Beschaffungs- und Peering-Gespräche folgen. Hat er die Filter geändert? Hat er mehr Routen validiert? Ist er den Routing-Sicherheitsnormen beigetreten oder hat er sie erfüllt? Hat er transparent berichtet? Wenn nicht, hat der Markt wenig Grund zu glauben, dass sich dasselbe Verhalten nicht wiederholen wird.

Für Kunden sollten Vertrauensschulden in den Risikoregistern erscheinen. Wenn ein kritischer Dienst von einem Anbieter abhängt, der globalen Routing-Vorfällen ausgesetzt ist, sollte das Risiko die Ausfallart und die Kontrollen benennen. Es sollte nicht unter einer allgemeinen Sprache des Internetausfalls versteckt werden. Spezifität erlaubt es, die Reparatur zu messen.

Die maximale Länge ist eine Governance-Entscheidung

Die RPKI-Reparatur hängt nicht nur von der Erstellung von ROAs ab, sondern auch von deren sorgfältiger Erstellung. Ein ROA autorisiert ein Ursprungs-AS und kann eine maximale Präfixlänge festlegen. Diese maximale Länge ist wichtig. Ist sie zu breit gefasst, kann sie spezifischere Ankündigungen autorisieren, die den Schutz schwächen. Ist sie zu eng, können legitimes Traffic Engineering oder eine Notfalldesaggregation ungültig werden. Routenursprungsnachweise erfordern daher Governance und nicht nur eine Checklisten-Veröffentlichung.

Für einen globalen Edge-Anbieter sollten Entscheidungen zur maxLength an die dokumentierte Routing-Praxis gebunden sein. Welche Präfixe werden normalerweise angekündigt? Welche spezifischeren werden für das Traffic Engineering verwendet? Welche könnten im Notfall verwendet werden? Welche sollten nie erscheinen? Wer genehmigt Änderungen? Wie werden ROAs vor der Veröffentlichung getestet? Wie schnell können Fehler korrigiert werden? Dies sind betriebliche Fragen mit Kundenfolgen.

Die Diskussion über das Route-Leak vom Juni 2019 macht dies konkret, da Route-Leaks und Entführungen oft die Präferenz für spezifischere Routen oder Verbreitungsfehler ausnutzen. RPKI kann einige falsche Ursprünge ungültig machen, aber es kann auch ein falsches Sicherheitsgefühl erzeugen, wenn ROAs zu freizügig sind. Überprüfbare Reparatur muss daher den Nachweis beinhalten, dass die Routenautorität korrekt ist und gepflegt wird. Ein veralteter oder schlampiger ROA-Eintrag ist keine Reparatur. Er ist eine neue Risikoquelle.

Kunden müssen nicht jede ROA Zeile für Zeile überprüfen, aber anspruchsvolle Kunden und öffentliche Beobachter sollten erkennen können, dass ein Anbieter eine disziplinierte RPKI-Haltung einnimmt. Öffentliche Tools können Existenz und Gültigkeit überprüfen. Anbietererklärungen können die Richtlinie erklären. Vorfallberichte können beschreiben, ob die Routenursprungsvalidierung geholfen hat oder geholfen hätte. Hier werden technische Artefakte zu Governance-Artefakten.

Die Routenautorität überschneidet sich auch mit dem Kunden-Onboarding. Wenn ein CDN- oder Edge-Anbieter kundeneigene Präfixe ankündigt oder Bring-your-own-IP-Arrangements unterstützt, wird die ROA-Koordination Teil des Kundenrisikos. Anbieter und Kunde müssen die Ursprungsautorisierung, maxLength und Notfallverfahren abstimmen. Eine Nichtübereinstimmung kann ungültige Routen erzeugen oder den Schutz schwächen. Die überprüfbare Reparatur sollte diese Kunden-Edge-Fälle abdecken, nicht nur die anbietereigenen Präfixe.

Beziehungslecks benötigen Beziehungsnachweise

Die RPKI-Ursprungsvalidierung beantwortet eine spezifische Frage: Ist dieses Ursprungs-AS für dieses Präfix autorisiert? Route-Leaks stellen oft eine andere Frage: Hätte diese Route von einer Beziehung zur anderen weitergegeben werden sollen? Eine Route kann ursprungsgültig sein und dennoch lecken. Deshalb sind beziehungsbewusste Kontrollen wie Routenfilterung, BGP-Rollen und Only-to-Customer-Mechanismen wichtig. Überprüfbare Reparatur muss die Beziehungsebene adressieren.

Beim Ereignis im Juni 2019 umfasste das schädliche Muster die Verbreitung über Netzwerke hinweg, in denen sich die Route nicht in diesem Umfang hätte ausbreiten sollen. Die genauen privaten Richtlinien sind für die Kunden nicht vollständig sichtbar, daher müssen öffentliche Reparaturnachweise die Klasse der Kontrolle beschreiben. Hat der Anbieter kundenspezifische Präfixfilter verlangt? Hat er Nachbarrollen klassifiziert? Hat er die Routenverbreitung auf der Grundlage der Geschäftsbeziehung beschränkt? Hat er genaue IRR- und RPKI-Daten gepflegt? Hat er auf Pfadanomalien überwacht, die nicht mit normalen Beziehungen vereinbar sind?

RFC 9234 ist wichtig, weil es einen standardkonformen Versuch darstellt, Beziehungsrollen in die BGP-Leckverhinderung zu codieren. Es datiert nach dem Vorfall, sollte also nicht verwendet werden, um das Verhalten von 2019 an einem künftigen Mechanismus zu messen. Es sollte verwendet werden, um den aktuellen Reparaturstandard anzuheben. Anbieter sollten nicht bei den Kontrollen stehen bleiben, die zum Zeitpunkt des Vorfalls üblich waren. Sie sollten fragen, welche neueren Mechanismen jetzt dieselbe Risikoklasse verringern können.

Beziehungsnachweise sind schwieriger zu veröffentlichen als Ursprungsnachweise, da Geschäftsbeziehungen sensibel sein können. Dennoch können Anbieter Richtlinienverpflichtungen offenlegen, ohne jedes private Detail preiszugeben. Sie können angeben, dass Kundenrouten anhand erwarteter Präfixe gefiltert werden, dass ungültige RPKI-Routen abgelehnt werden, dass Peer- und Kundenbeziehungen klassifiziert sind, dass Route-Leaks Alarme auslösen und dass Transit-Provider auf Routing-Hygiene bewertet werden. Sie können auch Branchennormen unterstützen, die solche Aussagen vergleichbar machen.

Der Kundenwert ist Klarheit. Wenn ein Anbieter sagt, er habe RPKI, aber nichts über Route-Leaks sagt, könnten die Kunden den Schutz überschätzen. Wenn er zwischen Ursprungsvalidierung und Beziehungsfilterung unterscheidet, erhalten die Kunden ein ehrlicheres Risikobild. Ehrliche Risikobilder sind Teil der Reparatur.

Die Vorfallsprache sollte die Kausalität nicht vereinfachen

Routing-Vorfälle sind technisch dicht, und dichte Vorfälle lassen sich leicht vereinfachen. Ein Unternehmen kann sagen, dass ein Route-Leak aufgetreten sei, ein Upstream habe ihn verursacht, Dienste seien betroffen gewesen und die Behebung sei im Gange. Diese Sprache mag wahr, aber unzureichend sein. Eine vereinfachte Sprache verbirgt, wer welche Kontrolle hatte, welche Kontrollen versagten und welche Kontrollen geändert wurden. Eine Kultur der überprüfbaren Reparatur verwendet eine präzise Kausalität.

Präzise Kausalität würde die Leckquelle, den Optimierer oder Automatisierungsmechanismus, das verstärkende Netzwerk, die betroffenen Präfixe, die validierenden oder nicht validierenden Empfänger, den Erkennungspfad und die für den Kunden sichtbaren Symptome trennen. Sie würde auch Unsicherheiten benennen, wenn öffentliche Nachweise unvollständig sind. Dies hilft den Kunden, dem Bericht zu vertrauen, da er nicht vorgibt, jedes private Detail zu kennen. Es verhindert auch, dass der betroffene Anbieter ein Upstream-Versagen als pauschale Erklärung für alle Kundenauswirkungen verwendet.

Die Vorfallsanalyse von Cloudflare war stärker als eine allgemeine Aussage, da sie das Routing-Verhalten benannte und erklärte, warum die Upstream-Filterung wichtig war. Der breitere Standard sollte sein, dass jeder größere Routing-Vorfall genügend kausale Struktur enthält, damit die Kunden die Kontrollen aktualisieren können. Ein Sicherheitsteam sollte fragen können: Hätte RPKI geholfen? Hätte die Verhinderung von Route-Leaks geholfen? Hätte eine Bereitstellung über mehrere Anbieter geholfen? Hat unser Anbieter schnell überwacht? Haben unsere eigenen Statuskommunikationen überlebt?

Sprache beeinflusst auch die öffentlichen Anreize. Wenn Berichte Routing-Vorfälle als unvermeidliche Internet-Skurrilitäten beschreiben, haben die Betreiber weniger Druck, sich zu verbessern. Wenn Berichte die genauen fehlenden Filter oder Validierungsfehler beschreiben, werden die verantwortlichen Netzwerke überprüft. Es geht nicht um öffentliche Beschämung um ihrer selbst willen. Es geht darum, die Fehlermodi so spezifisch zu machen, dass der Markt Reparaturen belohnen kann.

Präzision sollte sich auch auf Wiederherstellungsansprüche erstrecken. Ein Anbieter sollte zwischen Routenrückzug, Konvergenz der Routenverbreitung, Dienstwiederherstellung, für den Kunden sichtbarer Wiederherstellung und Vorfallsüberwachung unterscheiden. Diese Meilensteine können unterschiedlich sein. Eine Route kann korrigiert werden, bevor Caches, Sitzungen oder Kundenmonitore wieder normal sind. Kunden benötigen diese Nuance für ihre eigenen Berichte.

Typografie

Typografie ist die Kunst und Technik, Schrift so anzuordnen, dass geschriebene Sprache lesbar, gut leserlich und visuell ansprechend ist. Sie umfasst die Auswahl von Schriftarten, Schriftgrößen, Zeilenlängen, Zeilenabständen und Buchstabenabständen.

  • Die Typografie entstand mit der Erfindung des Buchdrucks mit beweglichen Lettern durch Johannes Gutenberg im 15. Jahrhundert.
  • Zu den Schlüsselelementen gehören Schriftwahl, Kerning, Laufweite und Zeilenabstand.
  • Gute Typografie verbessert die Lesbarkeit und vermittelt Stimmung oder Ton im Design.

Der Reparaturstandard ist der öffentliche Nachweis

Cloudflares Reaktion auf das Route-Leak vom Juni 2019 ist wertvoll, weil sie ein unsichtbares Routing-Versagen einem breiten Publikum verständlich machte. Der Rechenschaftsstandard des Artikels liegt jedoch über der bloßen Erklärung. Der betroffene Anbieter, der verstärkende Transit-Provider und die breitere Routing-Gemeinschaft sollten öffentliche Nachweise dafür hinterlassen, dass die Schwachstelle verringert wurde. Nachweise können unvollständig sein. Sie können technisch sein. Sie können über RPKI-Repositories, Routenkollektoren, MANRS-Verpflichtungen, Anbieterrichtlinien und Vorfallberichte verteilt sein.

Aber sie müssen mehr sein als bloßes Vertrauen.

Cloudflare kontrollierte wichtige Teile dieser Nachweise: seine eigene Routenautorität, Überwachung, öffentliche Aufklärung, Validierungshaltung, Kundenanleitung und kommerziellen Druck. Verizon und das leckende Netzwerk kontrollierten andere Teile: Filterung, Routendisziplin und Verbreitung. Die Kunden kontrollierten nur die im Voraus erstellten Kontinuitätsoptionen und den Beschaffungsdruck. Diese Kontrolllandkarte erklärt, warum Beschwichtigung allein unzureichend ist. Jeder Akteur muss die Reparatur an dem Punkt zeigen, den er kontrolliert.

Die dauerhafte Lektion ist, dass die Internet-Erreichbarkeit kein sich selbst ausführendes Vertrauen ist. Es handelt sich um eine Reihe von betrieblichen Zusicherungen, die über BGP, DNS, Registries, Verträge und Peering-Beziehungen ausgetauscht werden. Wenn diese Zusicherungen versagen, muss die Reaktion überprüfbar sein. Ein Route-Leak, der einen globalen Edge-Anbieter stört, sollte eine bessere öffentliche Aufzeichnung darüber hervorbringen, wer vergeben darf, wer verbreiten darf, wer validiert, wer überwacht und wer wiederherstellen kann.

Cloudflares bester Beitrag nach dem Leck bestand nicht einfach darin zu sagen, dass ein anderes Netzwerk das Problem verursacht habe. Es ging darum, das Problem der Routing-Sicherheit sichtbar zu machen. Der nächste Schritt für jeden Anbieter besteht darin, auch die Reparatur sichtbar zu machen. Kunden sollten nicht wählen müssen, ob sie einer Marke vertrauen oder eine Route verstehen. Sie sollten in der Lage sein, die Nachweise zu sehen, dass aus Beschwichtigung sichereres Routing geworden ist.