概要

  • 2018年11月12日、Google サービスに関連する経路がナイジェリアのプロバイダー MainOne によって China Telecom へ流出し、その後複数のプロバイダーを経由して伝播し、Google 向けのトラフィックの一部が想定外のパスを通ることにより、一部のユーザーがサービスを利用できなくなった。
  • 本インシデントは、2008年のパキスタン・テレコムによる YouTube ハイジャックとは異なる。ここでの重大な説明責任の問題は、国家によるブロックが誤ったオリジンのより特定的な経路として輸出されたことではなく、ある関係を通じて学習した経路が他の関係へと流出したこと、すなわち契約と制御の不整合であった。
  • 公開記録は、意図的なコンテンツ侵害の成功を示す証拠よりも、偶発的な設定ミスを裏付けている。Google は、影響を受けたトラフィックは暗号化されており、サービスが侵害されたと信じる理由はないと報じられている。一方、独立した観測者たちは、経路パスを重大な可用性および監視上のリスクとみなした。
  • RPKI オリジン検証は、この種の障害に対して完全な解決策とはならない。なぜなら、影響を受けた経路は依然として正当な Google の AS から発信されたように見える可能性があるからである。経路リークには、顧客およびピアのフィルタリング、関係性を意識した制御、プレフィックス制限、監視、調整、そして後の BGP Roles のようなメカニズムが必要である。
  • 説明責任の教訓は、商用のピアリングおよびトランジット契約はそれ自体を強制しないということである。事業者は、経路リークが世界的な停止となる前に、ビジネス関係をルーターのポリシーと外部から検証可能な制御に変換しなければならない。

証拠記録とその使用法

本稿は、公開記録を段階的な証拠として扱う。インシデントレポート、標準仕様、ブラウザまたは経路測定、規制または政策文書、および現在の事業者向けガイダンスは、異なる主張のために使用される。企業が作成した情報源は、企業の立場として帰属される。標準仕様や後のガイダンスは、制御の説明や説明責任の期待を示すために用いられ、公開記録がその主張を裏付けないプライベートな事実を創造したり、後の義務を遡及的に課したりするものではない。

番号公開記録本分析での使用
1Cloudflare 分析21:12 UTC 開始の事業者分析、MainOne の設定ミス、経路リークのメカニズム、影響を受けた Google の到達可能性、経路パスの枠組みの説明。
2ThousandEyes 分析MainOne が IXPN で Google とピアリングし、経路が China Telecom に流出し、TransTelecom および NTT が伝播し、ユーザーパスに影響を与えたという独立した測定。
3Internet Society 分析MainOne または China Telecom によるフィルタリングがリークを防げた可能性があり、RPKI オリジン検証だけでは正当なオリジンのリークには不十分だったという経路セキュリティの解釈。
4Wired 報道不審な経路と、Google がトラフィックは暗号化されており侵害の証拠はないと述べたことを区別した同時代の公開記事。
5Ars Technica 報道MainOne、China Telecom、および世界的な伝播に関する同時代の技術報道。
6DataCenterDynamics 報道関係者の声明と偶発的な設定ミスの枠組みを引用した業界報道。
7BankInfoSecurity 報道BGPmon の詳細を保存した同時代の報道:AS37282 MainOne が Google プレフィックスを China Telecom に流出させ、後に経路が消滅した。
8Kentik による BGP インシデントの歴史経路リークの文脈と、MainOne がルーター設定の誤りを確認したことを要約した後のネットワーク分析の振り返り。
9RFC 4271AS 間経路制御のための BGP-4 標準、経路広告とポリシーの文脈。
10RFC 7908意図された範囲を超えた伝播を分類するために使用される経路リークの分類法。
11RFC 7454プレフィックスフィルタリング、AS パスフィルタリング、境界ポリシーのための BGP 運用とセキュリティガイダンス。
12RFC 8212明示的なインポート/エクスポートポリシーが存在しない場合のデフォルトの EBGP 拒否動作。
13RFC 6811RPKI オリジン検証標準。正しいオリジンのリークがオリジンのみのチェックを回避できる理由を説明するために使用。
14RFC 9234後のパスリーク防止の文脈のための BGP Roles と Only-to-Customer 標準。
15MANRS ネットワーク事業者アクションフィルタリング、アンチスプーフィング、調整、グローバル検証に関する業界規範。
16NIST SP 800-189レジリエントなドメイン間トラフィック交換と階層化された BGP セキュリティ制御のための政府ガイダンス。
17RIPE NCC BGP オリジン検証ROA、有効/無効/未検出状態、および事業者ポリシーの運用説明。
18Cloudflare 経路リーク検出フォローアップ公開データとプロバイダーデータから経路リークを検出するための後の監視コンテキスト。
19ThousandEyes China Telecom 到達分析2018年の Google リークの China Telecom による伝播と、より広範なトランジットの影響に言及した後の分析。
20CERT-EU 脅威メモ2018年11月の Google の誤経路を、より広範な China Telecom の経路リスクの文脈で参照した公的機関の脅威メモ。

インシデントはルーターが推測できない境界に関するものだった

2018年の Google 経路リークは、BGP は脆弱であるというお馴染みの言葉に単純化されやすい。その言葉は真実だが、十分に正確ではない。より鋭い教訓は、インターネットには、ルーティングソフトウェアが事業者によってコード化されない限り推論できない多くのビジネス関係が含まれているということだ。ピアはローカルに留めるべき経路を送信するかもしれない。トランジットプロバイダーは、そのネイバーから決して受け入れるべきでない経路を受信するかもしれない。経路は、商業的かつ運用上の期待に違反するパスを通りながら、正しいオリジン AS を保持するかもしれない。

Cloudflare、ThousandEyes、Internet Society の説明は中核的な形に収束している。MainOne はラゴスにあるピアリング関係を通じて Google と接続していた。Google に関連する経路がその関係から China Telecom へと流出した。China Telecom はそれらをさらに伝播させ、TransTelecom、NTT などのネットワークが関与するパスが現れた。Google サービスにアクセスしようとしたユーザーは、そのトラフィックを運ぶための容量、ポリシー、または期待されるフィルタリングを持たないパスを辿った。一部のトラフィックはドロップされ、一部のユーザーにとってサービスが到達不能になった。

それはパキスタン・テレコムの YouTube ハイジャックと同じメカニズムではない。2008年、パキスタン・テレコムは誤ったオリジン AS から YouTube アドレス空間のより特定的な経路を広告し、PCCW がそれを伝播させた。2018年、重要な公開分析は、Google が発信した経路が意図された関係を超えて伝播された経路リークを記述している。オリジンは正当に見えても、パスは依然として誤っていた。この区別は、役に立ったであろう制御を変えるため重要である。オリジン検証は偽のオリジンを拒否できる。しかし、単独では、正しいオリジンの経路が有効なビジネス関係のみを通過したことを証明できない。

契約と制御の不整合が、ガバナンス問題の中心である。ピアリング契約は、当事者がある種の経路のみを交換するか、トランジットを提供しないと述べているかもしれない。トランジット契約はカスタマーコーンと輸出ルールを定義するかもしれない。しかし、リモートルーターは受信した経路と適用するよう設定されたポリシーに基づいて転送する。ポリシーが欠けていたり、古かったり、寛容すぎたりする場合、法的または商業的境界は装飾的になる。パケットはコントロールプレーンに従い、契約書の PDF には従わない。

これが、このイベントがガバナンスに属する理由である。失敗は神秘的な自然災害ではなかった。それは技術的設定、ビジネス関係、経路権限、監視、エスカレーションの間のミスマッチであった。経路上の各組織は、グローバルな効果よりも狭い運用上のビューを持っていた。MainOne は輸出を誤設定できた。China Telecom は受け入れて伝播できた。他のプロバイダーは経路を優先または通過させることができた。Google は検出、通信、サービス層の機密性を保護できたが、すべての外部の輸入ポリシーを直接書き換えることはできなかった。

正しいオリジンは正しい経路を意味しなかった

多くの経路セキュリティの議論は、誤ったオリジンのアナウンスメントの方が説明しやすいため、ハイジャックから始まる。プレフィックスを所有していない誰かが、事実上「そのトラフィックを私に送れ」と言うのだ。RPKI ルートオリジン検証(Route Origin Validation)は、そのクラスに対処するために構築されている。リソース保持者がルートオリジン認可(Route Origin Authorization)を公開し、検証ネットワークはオリジン AS やプレフィックス長が一致しない経路を拒否できる。その制御は重要である。しかし2018年の Google イベントはその限界を示している。

Internet Society は公開分析で明確に指摘した。このシナリオでは、プレフィックスは依然として正しい AS から正当に発信されているため、中間ネットワークがオリジン検証だけを使用してリークをブロックすることは難しい。経路は有効なオリジンを持ちながらも、無効な輸出関係を表している可能性がある。それが、経路リークが単にハイジャックのソフトな言い換えではない理由である。それは関係性の失敗、すなわち経路が意図された範囲を超えて伝播することである。

実用上の影響はユーザーにとって同様に深刻であり得る。誤ったプロバイダーを通過する正しいオリジンの経路は、容量不足、制限的なフィルタリング、監視の懸念、または不十分な到達可能性を持つネットワークにトラフィックを運ぶかもしれない。ユーザーはタイムアウトを経験する。顧客は壊れたクラウドサービスを目にする。インシデントチームは、予期しなかった国やプロバイダーを通る奇妙な traceroute を目にする。正しいオリジンは、パスがパケットをドロップしたり、リスク想定に違反したりする場合、彼らを安心させない。

この区別は調達と取締役会の監督を変えるべきである。プロバイダーが RPKI を導入しているかどうかを尋ねることは有用だが不完全である。購入者は、プロバイダーが顧客経路をフィルタリングしているか、ビジネス関係に一致しない経路を拒否しているか、プレフィックス制限を維持しているか、リークを監視しているか、調整チャネルに参加しているか、ピアリング経路がトランジット経路にならないようにする方法を説明できるか、も尋ねるべきである。RPKI カバレッジに関する yes/no の回答は、関係性を意識した経路制御の代わりにはならない。

後の BGP Roles や Only-to-Customer 属性などの技術的作業は、ビジネス関係をルーティングプロトコルに見えるようにしようと試みる。これらのメカニズムは2018年には完成した普遍的な制御ではなく、本稿はそれらを必須の標準として遡及的に適用するものではない。それらの関連性は説明的である。すなわち、多くの損害をもたらすリークがオリジン認証の失敗ではなく、パスポリシーの失敗であると事業者が認識したために、それらが存在するのである。業界は「この経路はあちらに行くべきではない」ということを機械的にチェック可能にする方法を必要としていた。

China Telecom は伝播の増幅器だった

MainOne は公開記録上リークの発生源として現れるが、イベントが世界的に重要になったのは、他のプロバイダーが経路を受け入れ伝播させたからである。China Telecom は、漏洩した Google 経路を受信し、それをさらに渡したため、公開説明の中心にいる。その役割は慎重に記述されるべきである。公開情報源は偶発的または誤った経路処理を支持しており、成功したトラフィック傍受作戦を証明するものではない。しかし、説明責任には意図は必要ない。トランジットプロバイダーは、フィルタリングすべきであった顧客またはピアの経路を信じることで、大きな害を生み出し得る。

グローバルなリーチを持つプロバイダーは、ネイバーがどの経路をアナウンスする権限があり、どの経路が輸出されるべきかを知る高いレバレッジの義務を負う。これはすべての経路決定が単純であることを意味しない。カスタマーコーンは変化し、ピアは複雑な取り決めを持ち、インターネットエクスチェンジは多様な経路を運び、レジストリデータは乱雑になり得る。しかし、基本的な義務は残る。つまり、主要なプロバイダーは、BGP 構文が有効であるというだけで、予期しないすべての経路をグローバルに輸出可能と扱うべきではない。

フィルタリングは関係性にも一致しなければならない。ピア経路は、関係性が明示的に許容しない限り、トランジット経路になるべきではない。顧客は、その顧客がそのプラットフォームのためのトランジットを正当に提供している場合を除き、巨大なクラウドプラットフォームの経路をアナウンスできるべきではない。プロバイダーは、プレフィックスおよび AS パスフィルター、最大プレフィックス制限、信頼できるデータからの経路ポリシー生成、突然の大規模な経路セット変更の監視、異常な有名プレフィックスアナウンスメントに対する帯域外エスカレーションを適用すべきである。

経路パスの公開可視性により、伝播の役割は無視しがたくなった。ThousandEyes は China Telecom と TransTelecom を通るパスを説明した。Cloudflare は異常なルーティングとサービス影響を記録した。ニュース報道は、トラフィックが中国とロシアを通過したことに焦点を当てた。そのパスが明白な政治的および監視上の懸念を伴っていたからである。トラフィックが暗号化されており、侵害が示されていなくても、経路自体が、トラフィックがどこを移動し、到達可能であり続けるかという顧客の期待を損なった。

これが政策上のポイントである。リークした経路を輸出するプロバイダーは、別のネットワークのミスをグローバルなイベントに変換する。最初の誤設定は重要だが、伝播が被害範囲を決定する。したがって、経路の説明責任は、最初の悪い輸出と、すべての主要な増幅点を測定すべきである。

Google には回復力の責務があったが、一方的な制御はできなかった

Google は影響を受けたサービス事業者であり、Google 向けトラフィックに何か奇妙なことが起きていることを検出する最大の能力を持つ当事者の一つであった。また、重要なアプリケーション層の保護を制御していた。公開報告は、Google が影響を受けたトラフィックは暗号化されており、サービスが侵害されたと信じる理由はないと述べたと伝えている。その区別は重要である。暗号化は、ルーティングが悪いパスを取ったり、可用性リスクを解決しなかったりしても、機密性リスクを低減できる。しかし、経路リークが自動的に証明されたデータ露出イベントになることを防ぐ。

このようなイベントにおける Google の責務には、経路監視、ROA 公開、正確な IRR オブジェクト、プロバイダーエスカレーション、顧客コミュニケーション、緊急トラフィックエンジニアリング、事後証拠が含まれる。Google のような規模のプラットフォームは、すべての外部リークを止めることはできないが、検出と修復までの時間を短縮することはできる。また、パスの迂回が黙ってユーザーコンテンツを露出しないようにサービスを設計することもできる。暗号化、証明書の衛生、サービス冗長性、ネットワークテレメトリはすべて、その回復力パッケージの一部である。

同時に、Google は一方的に MainOne や China Telecom に正しい輸入・輸出ポリシーを適用させることはできなかった。これが、経路セキュリティの説明責任がブランドの可視性ではなく、制御能力に従うべき理由である。ユーザーは Google の停止症状を経験し、Google のブランドが公に向けた信頼の打撃を受けた。しかし、漏洩した経路を受け入れ輸出したルーターポリシーは Google のネットワークの外にあった。ガバナンスの問いは、イベントの前に Google の契約、ピアリングの取り決め、エスカレーションプレイブックがその外部依存性にどのように対処していたかである。

影響を受けたプラットフォームからのより強力な公開記録には、検出時間、影響を受けたプレフィックスの数、顧客向けの影響、観測されたパスの変更、暗号化と機密性の評価、連絡を受けたプロバイダー、修復タイムスタンプ、インシデント後の経路監視またはパートナー要件への変更が含まれるだろう。これらの証拠の一部はライブイベント中は機密性が高いかもしれないが、事後要約は防御上の秘密を露出することなくカテゴリーを共有できる。

顧客にとっての教訓は、すべての外部経路について Google を非難することではない。大規模なクラウドおよびプラットフォームプロバイダーに、グローバルな到達可能性をどのように監視しているか、どの経路が認可されているか、不審なパスをどれだけ早く検出するか、第三者のルーティング障害によってサービスが到達不能になった場合にどのようなコミットメントを行うかを尋ねることである。可用性はプロバイダーのエッジで終わらない。

契約には実行可能な制御が必要である

契約と制御のミスマッチというフレーズは、インターネット基盤全体に現れる障害パターンを捉えている。当事者は誰がピア、顧客、またはプロバイダーであるかを定義する契約を持っているかもしれない。しかし、ルーターは法的意図ではなく、経路ポリシーを強制する。経路ポリシーが関係性を具体化していなければ、契約は事後の議論となり、予防的制御にはならない。2018年の Google リークは、パスの変更が非常に可視性の高いサービスを破壊したため、そのギャップを一般のユーザーに見えるようにした。

実行可能な制御には、顧客が認可した経路セットから構築されたプレフィックスフィルター、AS パスフィルター、経路制限、ピアセッションポリシー、RPKI オリジン検証、経路リーク検出、突然の有名プレフィックス輸出に対するアラート、テスト済みの緊急連絡先が含まれる。また、ガバナンス制御、すなわち輸出ポリシーの変更レビュー、定期的な経路セットの調整、カスタマーコーンのレビュー、インシデント訓練、リークしているセッションを迅速にシャットダウンする文書化された権限も含まれる。

MANRS、NIST、IETF のガイダンスは、これらの制御を以前の時代よりもエキゾチックでなくしている。ポイントは、すべての事業者が明日すべてのリークを排除できるということではない。ポイントは、制御の語彙が存在するということである。グローバルな到達可能性を販売するプロバイダーは、ローカルなピアリング経路がグローバルなトランジットになることをどのように防ぎ、防止が破られた場合にどのように失敗を検出するかを説明できるべきである。

取締役会はスローガンではなく証拠を求めるべきである。「我々はベストプラクティスに従っている」では不十分である。有用なダッシュボードは、RPKI 検証ポリシー、顧客フィルターカバレッジ、明示的な EBGP 輸入・輸出ポリシーカバレッジ、最大プレフィックスイベント、古い経路オブジェクトの例外、リークアラート、応答時間、未解決の異常を示すだろう。それは、オリジン無効の拒否とパスリーク制御を区別するだろう。それらは異なるリスククラスだからである。

結論として、2018年の Google 経路リークは、関係性の統治可能性に関する説明責任のイベントであった。MainOne のミスは重要だった。China Telecom の伝播は重要だった。他のネットワークの受け入れは重要だった。Google の回復力とコミュニケーションは重要だった。一般市民は経路ポリシーの失敗をサービス停止として経験しなければならなかった。修復の教訓は、抽象的な「より良い BGP 衛生」だけでなく、契約と期待を、目に見えて失敗し、迅速に回復する経路制御に変換することである。

経路が政治的に見えたのは、経路が運用上間違っていたからである

2018年の Google 経路リークが公の注目を集めたのは、一部にはトラフィックが中国とロシアを通過したように見えたからである。その地理は、監視と主権の懸念を引き起こしたため、ユーザーやジャーナリストにとって重要だった。それはまた、より一般的なルールを示している。すなわち、ルーティングパスが期待に反する場合、説明の余地は急速に拡大する。ユーザーは、輻輳、検閲、ハイジャック、偶発的リーク、監視、攻撃、あるいはルーティングオプティマイザーの誤動作のいずれを見ているのかわからない。したがって、事業者の記録は、可用性の影響と機密性の侵害、事故と意図を分離できるほど正確でなければならない。

公開報道は、Google が影響を受けたトラフィックは暗号化されており、サービスが侵害されたと信じる理由はないという立場を保持した。その声明は重要だった。それは、パス迂回が自動的にコンテンツ侵害として扱われるリスクを低減した。しかし、暗号化は可用性の問題を消し去らなかった。暗号化されたトラフィックがドロップされれば、ユーザーは依然としてサービスに到達できない。Google サービスが到達不能な企業は依然として運用上の混乱に直面する。予期しない管轄区域を経路が通過する公的機関は、ペイロードの機密性が保たれていても、政策上の懸念を抱くかもしれない。

このパスはまた、国家的なラベルよりも関係性を意識した制御が重要である理由を露呈した。China Telecom の役割が問題だったのは、単にネットワークが中国のものだからではない。問題だったのは、その経路が明らかにその形式では受け入れられ伝播されるべきではなかったからである。別の国にある別の大規模プロバイダーも、経路ポリシーに違反するピア学習または顧客リーク経路を受け入れた場合、同様の停止を引き起こし得た。したがって、説明責任の基準は、フィルター、経路権限、関係性、監視、修復の証拠に焦点を当てるべきであり、地理がユーザーの懸念を増幅し得ることを認識しつつもそうするべきである。

この区別は、二つの悪い読み方を避けるのに役立つ。一つは、イベントを証拠なしに悪意のある傍受の証明として扱うことである。もう一つは、コンテンツ侵害が証明されなかったため、無害な事故として扱うことである。正しい読み方はその中間である。経路リークは偶発的でありながら深刻であり得る。暗号化されたトラフィックは機密性を保ちながらも利用不可能であり得る。プロバイダーは悪意がなくとも重要なフィルタリング義務を怠り得る。ガバナンスにはその中間の語彙が必要である。

政治的な光学はまた、タイムリーな公的コミュニケーションが重要である理由を示している。事業者の説明がない場合、traceroute や BGP パスは推測の原材料となる。影響を受けたプラットフォームは、パスについて何がわかっているか、暗号化について何がわかっているか、何が未だ不明か、何が修正されたか、どの当事者が失敗した経路ポリシーを制御していたかを伝えるべきである。それは評判管理だけではない。それは、可用性とルーティングの完全性を依然として現実のリスクとして扱いつつ、ユーザーがすべての奇妙な経路を確認された侵害と混同するのを防ぐ方法である。

ピアリングとトランジットは技術的な歯を持つビジネス関係である

ピアリングとトランジットは、しばしば商業的な取り決めとして要約される。ピアは相互利益のためにトラフィックを交換し、トランジットプロバイダーはより広範なインターネットへの到達可能性を販売する。Google リークは、これらの用語が技術的な歯を必要とする理由を示している。ピア学習経路は、それが顧客経路であるかのように自動的に輸出されるべきではない。顧客経路は、その顧客がグローバルプラットフォームのトランジットを許可されているかのように自動的に信じられるべきではない。ある関係の下で受け入れられた経路は、別の境界を越えるときにポリシー制約を伴うべきである。

そのマッピングは、ルーター設定と検証システムに実装されなければならない。それには、ネイバーが送信できるものに対する明示的な輸入ポリシー、それらの経路がどこに行くことができるかに関する明示的な輸出ポリシー、プレフィックスおよび AS パスフィルター、経路制限、該当する場合の RPKI オリジン検証、関係性タグ、突然の経路セット拡大の監視、緊急シャットダウン権限が含まれる。重要な言葉は「明示的」である。デフォルト、前提、部族知識は、設定ミスが Google を到達不能にし得る場合には十分ではない。

RFC 8212 のデフォルト拒否原則は同じ哲学を反映している。外部 BGP セッションは、明示的なポリシーなしに経路を輸入または輸出すべきではない。それはすべてのエラーを防ぐわけではない。明示的な間違ったポリシーでも経路をリークし得る。しかし、それは、未設定または不完全な設定のセッションがデフォルトで伝播すべきであるという最も危険な前提を取り除く。ガバナンスの言葉では、デフォルト拒否は、コントロールプレーンが行動する前に事業者にルーティングの意図を表明させる。

契約も同じ論理に従うべきである。ピアリング契約やトランジット契約は、当事者が何を意図しているかを述べるだけでなく、その意図が強制されていることの証拠を要求すべきである。各当事者は経路フィルターを維持しているか?顧客プレフィックスセットはどのように生成されているか?それらはどのくらいの頻度でレビューされているか?ネイバーが有名なプレフィックスをリークした場合、何が起こるか?誰がセッションをシャットダウンする権限を持っているか?どのような公的または顧客への通知が続くか?これらの条項は風変わりな法的行き過ぎではない。それらは、ルーティングの害を運用上の義務に変換するものである。

顧客は、自分たちがネットワーク事業者でなくとも気にかけるべきである。SaaS 購入者、銀行、出版社、政府機関は、到達可能性がトランジット関係に依存するプロバイダーに依存するかもしれない。購入者はすべてのグローバル経路を監査することはできないが、重要なプロバイダーに、到達可能性をどのように監視しているか、RPKI をどのように使用しているか、経路リークからどのように保護しているか、外部の経路障害がサービスに影響を与えた場合にどのように顧客に通知するかを尋ねることはできる。「インターネットルーティングの問題」を除外するサービスレベルアグリーメントは法的な割り当てを記述するかもしれないが、運用上の依存を消し去るわけではない。

オリジン検証が依然として議論に含まれる理由

2018年の Google イベントが単純な誤ったオリジンのハイジャックではなく経路リークであったため、一部の読者は RPKI が無関係であると結論付けるかもしれない。それは誤った教訓であろう。RPKI オリジン検証はリークに対する完全な制御ではなかったが、それでも説明責任スタックに含まれる。それは、偽の権限の一つのクラスを別のクラスから区別するのに役立ち、悪い経路のバックグラウンドレベルを低減し、多くのインシデントに対して手動の信頼に依存するであろう機械可読な証拠を事業者に与える。

制限は正確である。経路が依然として認可された Google AS から発信されている場合、オリジンコンポーネントは検証できるが、パスは受け入れられないままである。その場合、RPKI はオリジンが許可されていると言うが、MainOne、China Telecom、TransTelecom、NTT、その他のパスセグメントがその関係で経路を運ぶべきであるとは言わない。パス検証と経路リーク防止には追加の制御が必要である。それが RFC 9234 と関係性を意識したメカニズムが重要である理由である。それらは信頼問題の異なる部分に対処する。

オリジン検証はインシデント対応中も役立つことがある。不審な経路がオリジン無効である場合、事業者はそれを拒否するか、不正の可能性が高いとしてエスカレーションすることができる。オリジン有効だがパスが不審である場合、インシデントをリークまたはパスポリシー障害として分類できる。その分類は誰に連絡し、どの証拠を検査するかに影響する。成熟したルーティングセキュリティ運用は、RPKI にすべての質問に答えるよう求めるのではなく、RPKI を使用して可能な限り曖昧さを取り除き、その後追加の経路ポリシーチェックを適用する。

RPKI はまた、文書化に関するインセンティブを変える。Google のようなプラットフォームは正確な ROA を維持すべきだが、経路オブジェクト、ピアポリシー、プロバイダー連絡先、外部監視も維持すべきである。China Telecom のようなプロバイダーはオリジンを検証すべきだが、関係性に従ってフィルタリングもすべきである。MainOne のようなピアは、ピア学習経路がトランジットにリークするのを防ぐべきである。これらの制御は互いに置き換わるのではなく、補完し合う。

したがって、読者は階層化モデルを持ち帰るべきである。RPKI はオリジン権限を扱う。プレフィックスおよび AS パスフィルターは期待される顧客およびピアの権限を扱う。BGP Roles と OTC は関係性の方向をエンコードできる。監視は逸脱を検出する。人間の調整は自動化が安全に決定できないものを修復する。契約言語とガバナンス指標は、階層を維持する。Google イベントは、その階層化モデルにギャップを露呈したのであって、それを構築することの無益さを露呈したのではない。

より良い公開修復記録は、各制御点を分離していただろう

2018年のリークの有用な事後記録は、経路上のすべての制御点を特定するだろう。MainOne では、その記録は、Google から学習した経路セット、輸出を防ぐべきだったポリシー、何が変わったか、リークがいつ始まったか、いつ検出されたか、どのように修正されたかを説明するだろう。China Telecom では、リークした経路がなぜ受け入れられたか、顧客またはピアフィルターが存在したか、経路制限が作動したか、輸出がいつ停止したかを説明するだろう。下流プロバイダーでは、どのパスが選択され、なぜ選択されたかを説明するだろう。

Google にとって、その記録は、顧客向けの影響、影響を受けたサービス、暗号化と侵害評価、検出タイムライン、プロバイダーエスカレーション、経路監視、緊急トラフィックエンジニアリング、ピアリング要件への事後変更をカバーするだろう。独立した観測者にとって、ルートコレクターの証拠は伝播と撤回を示すことができる。顧客にとって、簡潔な要約は可用性の喪失とデータ露出の証拠を区別できる。これらの個別の記録は、各当事者が一つの主体の声明にインターネット全体を説明させることなく、自身の制御面を所有することを可能にするだろう。

公開記録は独立した分析を通じて部分的に利用可能であるが、内部の修復記録は薄いままである。これはルーティングインシデントでは一般的である。事業者はしばしば経路を修正して先に進む。問題は、ルーティングインシデントは、修復可能なレベルで制御の失敗が記述された場合にのみ学習機会となることである。「設定ミス」だけでは不十分である。どのポリシーか?どのセッションか?どの経路セットか?どのネイバー関係か?どのアラートか?撤回する権限は誰か?これらの答えがなければ、同じ失敗が異なるプレフィックスと異なるプラットフォームで繰り返され得る。

規制当局や大口購入者は、すべての事業者に機密性の高いルーター設定の公開を要求すべきではない。彼らは経路セキュリティ計画と証拠カテゴリーを要求できる。例えば、顧客プレフィックスフィルターカバレッジ、RPKI 検証ポリシー、経路リークアラート、明示的な EBGP ポリシーカバレッジ、最大プレフィックス例外、緊急連絡成功率、インシデント後の事後分析要約である。これらの指標は、すべてのルーター行を露出することなく監査するのに十分実用的である。

2018年の Google リークは、契約と制御の不整合を可視化するため、依然として有用である。ビジネス関係が経路がそのように進むべきでないことを示唆しただけでは不十分だった。ルーターは強制可能なポリシーを必要としていた。監視は逸脱を確認する必要があった。人間は到達可能な連絡先を必要としていた。一般市民は、リークが封じ込められ、暗号化が機密性リスクを制限したという証拠を必要としていた。それが、インシデントが露呈したガバナンススタックである。

経路契約に対する読者の決断

2018年の Google 経路リークから、読者は調達とガバナンスの問いを持ち帰るべきである。すなわち、我々の重要なプロバイダーは、ルーティング関係を測定可能な制御に変換しているか?経路リークは、契約がネイバーをピアや顧客とラベル付けすることを気にしない。それは、ルーターポリシーが誤った輸出を防ぐかどうか、そして監視がポリシーが失敗したときにリークを捕捉するかどうかを気にする。したがって、顧客はプロバイダーに、顧客プレフィックスフィルタリング、明示的な EBGP 輸入・輸出ポリシー、RPKI 検証、経路リークアラート、24時間のエスカレーション連絡先の証拠を求めるべきである。

プラットフォームにとっての決断は、外部ルーティングをサービス回復力の一部として扱うことである。プロバイダーは、優れたデータセンター、強力な TLS、強化されたアプリケーションを所有しながら、リモートネットワークがリークしたパスを優先すれば依然として到達不能になり得る。つまり、グローバルな経路監視、プロバイダーエスカレーション訓練、ROA 衛生、経路オブジェクト衛生、顧客コミュニケーションは、通常の可用性工学の近くに位置する必要がある。「インターネットが我々のエッジの外で壊れた」というのは記述的には真実かもしれないが、顧客は依然として検出、診断、修復の証拠を必要としている。

トランジットプロバイダーにとっての決断は、有名な経路リークが問題を公にする前にフィルタリングを証明するかどうかである。顧客またはピアセッションが、Google、銀行、政府サービス、CDN のためのサプライズトランジットパスになることを許されるべきではない。プロバイダーは、予想される経路セットを知り、信じがたいアナウンスメントを拒否し、突然の拡大をアラートし、修復を説明するのに十分なログを保持すべきである。グローバルリーチの価値は、他者のミスをグローバル化しない義務を伴う。

取締役会と規制当局にとっての教訓は、サイバー指標を要求するのと同じ方法で経路セキュリティ指標を要求することである。RPKI 無効拒否率、顧客フィルターカバレッジ、明示的ポリシーカバレッジ、リークアラート、古い経路オブジェクト、最大プレフィックスインシデント、連絡応答時間はガバナンスシグナルである。それらは深いパケットの秘密ではない。それらは、関係性の境界が技術的な強制力を持つ証拠である。

2018年のイベントは、単一の制御に適合することを拒否するため、依然として有用である。RPKI は重要だが、オリジン検証だけでは十分ではなかった。契約は重要だが、それらは自分自身を強制しなかった。暗号化は重要だが、それは到達可能性を回復しなかった。修復には、経路ポリシー、監視、調整、顧客コミュニケーション、公的証拠のスタック全体が必要だった。

最終的な運用テストは、次の経路リークが最初に顧客、外部研究者、またはそれを運ぶネットワークによって気付かれるかどうかを問うことである。外部ユーザーが主要な検出者である場合、契約制御システムは弱すぎる。プロバイダーは、ピアが突然ハイパースケールネットワークをトランジットしているように見えるとき、顧客がその権限外の経路セットを輸出しているとき、トラフィックパスがビジネス関係に矛盾するときを確認できるべきである。その可視性は、ルーティング契約を書類から強制可能な基盤に変える。

同じテストがクラウドおよびコンテンツプロバイダーの調達に属する。購入者はグローバルスケールで BGP を実行しないかもしれないが、プロバイダーが経路リークを監視しているか、オリジンを検証しているか、経路セキュリティ連絡先を公開しているか、プロバイダーエスカレーションをリハーサルしているか、トラフィックが単に利用不可能だったのか、パスリスクにも露出したのかを説明できるかを尋ねることができる。これらの答えは抽象的なネットワークトリビアではない。それらは収益の継続性、カスタマーサポート、プライバシー保証、公共セクターのアクセスを形作る。したがって、Google/MainOne インシデントは、アプリケーション所有者が、自身のチームがルーターポリシーに触れるかどうかに関わらず、何らかのルーティング依存性を継承することを思い出させるものである。説明責任は、その継承された依存性が名前を付けられ、測定され、インターネットの不可知な天候として扱われる代わりに制御所有者に割り当てられたときに始まる。

その所有者はまた、停止中に使用される言語を制御すべきである。経路リークは遠隔のキャリアトリビアのように聞こえるかもしれないが、顧客の問いは即時的である。すなわち、ユーザーはサービスに到達できるか?パスは信頼できるか?何が変わったか?いつ正常に戻るか?強力なインシデントノートは、到達可能性の喪失、予期しないトランジットパス、暗号化ステータス、侵害の疑い、修復を区別する。Google の記録は、これらの区別が重要である理由を示している。トラフィックが暗号化されていたという安心感は重要だが、可用性の問いに答えるものではない。経路の撤回はサービスを回復するかもしれないが、どの関係が失敗したかを説明するものではない。優れたコミュニケーションは、購入者、ユーザー、事業者がイベントから学べるように、これらの制御面を十分に分離しておく。

タイポグラフィ

タイポグラフィ

タイポグラフィは、文字言語を読みやすく、判読しやすく、視覚的に魅力的にするために文字を配置する技術および技法である。書体、ポイントサイズ、行長、行間、文字間隔の選択を含む。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクが活版印刷を発明したことに端を発する。
  • 主な要素には、フォントの選択、カーニング、トラッキング、行取りがある。
  • 優れたタイポグラフィは可読性を高め、デザインにおけるムードやトーンを伝える。

要点

説明責任の基準は、公的証拠に結合された実用的な制御である。最も強力な記録は、すべての主体がすべての結果を制御していたと偽らない。それは、誰が失敗を防げたか、誰がそれを検出できたか、誰が被害範囲を制限できたか、誰が影響を受けた当事者に通知できたか、誰が信頼関係を修復できたか、そしてどの証拠が、修復がそれに依存したシステムと人々に到達したことを証明するかを特定する。