要約
- ルートオブジェクトおよび route6 オブジェクトは、狭義のプレフィックス発信元宣言であるが、アップストリーム、IXP、クラウドチーム、データセンター、フィルタ構築者はこれらを実質的な受入条件へと変換し得る。
- 陳腐化したオブジェクトは、暗黙のルーティング力を割り当てる。旧プロバイダ、契約者、売却者、あるいは一時的な発信元の記録は、削除や訂正が管理されない限り、現在の保有者よりも信じられやすく残る可能性がある。
- 競合するルートオブジェクトは法的権原を生まないが、アドレスブロックのルーティング、移転、移行、資金調達、運用化を試みる当事者に立証責任を転嫁する。
- ARIN の建設的役割は証拠の一貫性である。すなわち、範囲を定めた権限、認証されたメンテナンス、通知、監査履歴、状態セマンティクス、訂正パスであり、私的なルーティングポリシーへの命令ではない。
- ルートオブジェクト衛生管理の固定費は、少数のアップストリームやクラウド、エクスチェンジに依存する小規模ネットワーク、大学、公共機関、カリブ海事業者に最も重くのしかかる。
- RPKI と ROA はルートオブジェクトを補完する。これらは IRR ガバナンスを無意味にするものではない。なぜなら、運用上の受入は複数的であり、歴史的であり、私的に強制されるからである。
誰が信じられるかを決める小さなレコード
小規模 ISP が/22 を購入するのは、顧客の再番号付けがアドレスよりも高くつくからであり、また、利用したいアップストリームが、全顧客が IPv6 へきれいに移行する理想化された未来を待てないからである。
売却者はレジストリ記録で確認できる。移転経路は弁護士によって説明可能だ。購入者はルーター、ASN 計画、顧客基盤、そしてクロージング日を持っている。しかし、最初の運用上の警告は弁護士からではなく、アップストリームのプロビジョニング担当から来る。「なぜ古いルートオブジェクトが、まだプレフィックスを売却者の以前のトランジットプロバイダに向けているのか」と。
この問いは些細に聞こえる。それはルーティングレジストリのレコードに過ぎない。所有権証書でもなければ、暗号化された経路起点認証(ROA)でもない。キャリアに経路の受け入れを強制するものでもない。管理、契約、詐欺リスク、ネットワーク設計のすべての疑問に答えるものでもない。しかし、それはすでに、移転の経緯を知らないプロバイダ、エクスチェンジルートサーバ、マネージドネットワークプラットフォーム、顧客らによって、フィルタに取り込まれているかもしれない。もしそれが残っていれば、古い発信元は依然として普通に見え続ける。協調なく削除されれば、現在の経路は安価あるいは必要な受入形態を失う。新しいオブジェクトがあまりに気軽に作成されると、プライベートフィルタは誤った発信元を信じるかもしれない。経済的問題は抽象的な所有権ではなく、誰がフィルタによって信じられるかである。
これが ARIN のルートオブジェクトガバナンスの有益な核心である。インターネットルーティングレジストリ(IRR)におけるルートオブジェクトと route6 オブジェクトは、狭い技術的アーティファクトである。これらはプレフィックスを発信元 AS に関連付け、ネットワークにルーティングポリシーのための構造化データを提供する。番号が豊富でルーティングが非公式だった世界では、これらは業務上の書類として扱われたかもしれない。成熟した IPv4 市場においては、アドレスブロックが取引され、資金調達され、リースされ、クラウドに移行され、DDoS プラットフォームを通じてルーティングされ、顧客契約に組み込まれる中で、同じレコードが市場インフラとなり得る。それは、誰もがそれを認める前に、実質的なルーティング力を配分し得る。
その力は間接的であり、それゆえ見落とされやすい。ARIN は、ルートオブジェクトが存在するという理由で、プライベートキャリアに経路の受け入れを命令するわけではない。トランジットプロバイダ、データセンターネットワーク、クラウドプラットフォーム、企業バックボーン、あるいはエクスチェンジルートサーバが、それぞれ自身のポリシーを決定する。しかし、それらのポリシーの多くは IRR データを入力として使用する。フィルタ構築者はオブジェクトを取得する。スクリプトは AS-SET を展開する。プロビジョニングシステムは、要求された発信元を可視化されたプレフィックス発信元データと照合する。ルートサーバは、メンバーがアナウンスするプレフィックスに対して妥当なルートオブジェクトが存在するかをチェックする。サポートデスクは、IRR の証拠を求める。なぜなら、それが馴染み深く、機械可読だからである。ルーティングポリシーのために作成されたレコードが、プライベートな強制力の入力となる。それが一度起これば、公開、維持、削除はもはや単なる事務作業ではない。
ARIN 地域は、成熟したアドレス枯渇と運用の多様性を組み合わせているため、この点を先鋭化させる。ハイパースケールクラウド、全国キャリア、コンテンツネットワーク、大学、銀行、公共セクターネットワーク、ブローカー、レガシー保持者、小規模 ISP、セキュリティベンダー、島嶼事業者、そしてアップストリームの選択肢が限られたカリブ海のネットワークが含まれる。この地域の IPv4 アドレスは、単なる識別子ではない。それらはルーティングされ、フィルタリングされ、評判スコアが付けられ、法的に争われ、資金調達され、移転され、クラウドプラットフォームに持ち込まれ、顧客の依存関係に結び付けられる。レジストリの 1 行や契約ステータスは継続性を支え得るが、それが継続性そのものではない。継続性は、運用の世界が依然として正しい経路主張を行い、受け入れることができるかどうかにかかっている。
本稿は、ルーティングセキュリティ受容に関する一般的なエッセイよりも意図的に狭い範囲に焦点を当てる。ROA、経路起点検証、認可状、アビューズレピュテーション、AS-SET 衛生、移転保証、プロバイダオンボーディングファイルは、近接した領域に存在する。それらは重要だ。しかし、ここでの対象はルートオブジェクトそのものである。すなわち、プライベートなアクターがどの経路を許可し、疑い、拒否するかを決定する際に消費する、RPSL 形式のプレフィックス発信元宣言である。また、本稿は IRR データベースの断片化についてのエッセイではない。複数の IRR ソースが重要であるのは、フィルタ構築者がそれらの中から選択するからだが、ソース選択はルートオブジェクト問題の結果であって、中心的主張ではない。より深い問いは、オブジェクト内部の権威である。誰がそれを作成でき、誰がそれを最新に保ち、誰がそれを削除でき、陳腐化したあるいは競合するレコードがいかにして経済力を移転させ得るのか。
制度的な答えは控えめであるべきだ。ARIN は、証拠を一貫したものにする際に有益である。すなわち、現在のリソース権限、リンクされた組織、ルーティングの連絡先、発信元 AS、移転状態、削除経路、監査証跡は、事業者が私的な便宜なしに検証できるような物語を語るべきである。ARIN が、ルートオブジェクト制御を、経路を取り締まる一般的な権限や、希少アドレスを巡るあらゆるビジネスモデルを監督する権限のように扱うならば、危険である。正しいレジストリ機能は、到達可能性に対する主権ではない。それは狭い調整である。すなわち、一意性、相互運用性、ルーティングに隣接する継続性、セキュリティ表明、制御の証明、そしてネットワークが使用し得る最小限の共通セマンティクスである。レジストリレコードは、運用上の現実を記述し、証明を容易にすべきである。裁量によって現実を作り出すべきではない。
ルートオブジェクトと route6 オブジェクトが実際に行うこと
第一の境界は定義上のものである。ルートオブジェクトは所有権ではない。割り当てでもない。移転承認でもない。サービス契約でもない。ビジネスモデルが正当であるとの表明でもない。すべてのネットワークが経路を受け入れるという保証でもない。それは、ルーティングツールや事業者が使用可能な言語での、公的な技術的主張である。すなわち、この IPv4 プレフィックスは、ルーティングポリシー上の目的で、この自律システムによって発信されることが期待される、というものである。route6 オブジェクトは、同じ考えを IPv6 に拡張する。レコードは狭いが、周囲の依拠システムはそうではない。
その区別は重要である。なぜなら、市場は証拠を圧縮するからである。顧客はアップストリームに「ARIN のオブジェクトがある」と言う。アップストリームは「我々のフィルタプロセスが信頼するかもしれないソースに、プレフィックス発信元宣言がある」と聞く。弁護士は「公的な運用証拠がある」と聞く。購入者は「ルーティングがより容易になるはずだ」と聞く。売却者は「古いルーティングの残骸は一掃された」と聞く。データセンターのサポートデスクは「この要求はプロビジョニングするのに十分普通かもしれない」と聞く。これらの意味は重なるが、同一ではない。ガバナンスは、ルートオブジェクトが、境界なくこれらすべてを担うよう求められるときに失敗する。
ルートオブジェクトは、それが狭いままであるときに最も強力である。保有者が自身の ASN を運用している場合、オブジェクトは単純かもしれない。すなわち、保有者のプレフィックス、保有者の発信元、保有者が管理するアカウントである。顧客がキャリアの ASN を使用する場合、オブジェクトは委任された発信を表す。データセンターが顧客のアドレス空間を発信する場合、オブジェクトは外部者が顧客とプロバイダのルーティング関係を理解するのを助ける。DDoS 軽減プロバイダが攻撃中により小さいプレフィックスをアナウンスする場合、オブジェクトは一時的な受入を支えるかもしれない。クラウドプラットフォームが顧客所有のアドレス空間をインポートする場合、オブジェクトはクラウド発信元を支える証拠ファイルの一部かもしれない。すべての場合において、オブジェクトは運用上の関係を記述する。それはリソースを作り出すものではなく、運用の背後にある法的関係全体を証明するものでもない。
反対の過ちは、ルートオブジェクトを重要でないほど弱いものとして扱うことである。それが権原ではないために、一部の制度はそれを任意の書類と見なす。それは、プライベートな強制がどのように機能するかを見逃している。銀行の担保審査は、ルートオブジェクトに直接依存しないかもしれないが、技術的デューデリジェンスレポートは陳腐化した発信元にフラグを立てるかもしれない。ルートサーバは、誰がブロックを所有するかを気にしないかもしれないが、許容可能な IRR データがない場合、メンバーの経路を拒否するかもしれない。クラウドプロバイダは、オブジェクトだけを受け入れないかもしれないが、主張された発信元、アカウント ID、レジストリレコードを調整するためにオブジェクトを使用するかもしれない。トランジットプロバイダは認可状を受け入れるかもしれないが、その書状はしばしば、次のフィルタビルドが手動の例外に依存しないよう、オブジェクトを更新するよう求める要求と共に送られる。
したがって、ルートオブジェクトは中間に位置する。それは権利ではないが、権利の使用に影響を与え得る証拠である。それは公法の文書ではないが、プライベートなアクターがそれを強制に組み込むことができる。それは暗号による証明ではないが、手動の証明よりも便利であり得る。それは完全なセキュリティ管理策ではないが、一部の誤った受入を防ぎ、疑わしい主張の周りに摩擦を生み出すことができる。そのガバナンスは、その中間的な地位に合致すべきである。それは、カジュアルなメモよりも強く、財産裁判所よりも弱くなければならない。
Route6 オブジェクトは、より希少性の低いレジストリにおいて同じ論理を示す。IPv6 は IPv4 と同じようには枯渇していないが、それでも多くの運用環境で IPv6 経路は発信元の証拠を必要とする。IXP やアップストリームは IRR データから IPv6 フィルタを構築できる。陳腐化した route6 オブジェクトは依然として遅延や誤った受入を引き起こし得る。違いは強度である。IPv4 では、プレフィックスは高価であり、交換が困難であり、収益の継続性に結びついていることがある。それが、運用上のレコード問題を資産問題に変える。
RPKI の比較は不可欠であり、限定的である。ROA は、証明書ベースのリソースシステム内での署名付き経路起点認証である。それはルートオブジェクトとは異なる検証の問いに答える。多くの本格的なネットワークは両方を使用する。ROA は、経路起点検証の下で経路を有効にすることができる一方で、IRR オブジェクトはアップストリームのフィルタリストを支える。ROA が存在しない一方で、IRR オブジェクトが商業的に重要であり続けることもある。正しい ROA の傍らに陳腐化したルートオブジェクトが存続することがあるが、すべての受入システムが同じ信号を読むわけではないからである。二つのシステムは、代替物ではなく補完的な境界である。
ルートオブジェクトを理解する最善の方法は、台帳に隣接する証拠としてである。それを公開する権限がリソース制御と説明責任のある組織レコードに結び付けられるべきであるという点で、それはレジストリに近い。それが運用ツールによって消費されるという点で、それはルーティングに近い。希少な番号が、他者がその使用を受け入れる場合にのみ価値を持つという点で、それは市場に近い。この三重の近接性が、ガバナンス問題の源である。
公開からプライベートな強制へ
ルートオブジェクトが力を得るのは、それがレジストリデータベースを離れ、フィルタ構築者の運用経路に入る時である。その旅は普通のものだ。ネットワークが、ピアまたは顧客に ASN と AS-SET を求める。スクリプトが AS-SET を展開する。関連する ASN に結び付けられたプレフィックスを検索する。ネットワークが信頼することを選択したソースを選択する。おそらく発信元制約付きでプレフィックスリストを構築する。ルーティング関係が変化するため、定期的に更新する。結果として得られる設定はプライベートなポリシーである。しかし、その材料には公的または準公的なレジストリデータが含まれている。
この強制はプライベートである。なぜなら、各ネットワークがデータをどう扱うかを決定するからである。あるキャリアは、選択された IRR ソースに見つからない経路を拒否するかもしれない。別のキャリアは、人間のレビューの前のソフトチェックとして IRR データを使用するかもしれない。ルートサーバは IRR と RPKI を組み合わせるかもしれない。クラウドプラットフォームは、アカウント検証、レジストリ保有者の証拠、経路履歴、ROA の態勢、IRR の整合性を要求するかもしれない。小規模なアップストリームは、大規模なセキュリティチームを持たないため、信頼できるソースに大きく依存するかもしれない。大規模キャリアは主要顧客向けには例外経路を持つかもしれないが、小規模な顧客向けには持たない。ルートオブジェクトは統一された法を課すわけではない。それは、多くのプライベートなルールに対して共通の入力を提供する。
プライベートな強制には利点がある。それは速い。局所的なリスクを反映する。ネットワークが、グローバルな裁定者を待つことなく自身を保護できるようにする。ARIN をルーティングの規制機関に変えることを回避する。動いているコードは会議室のレトリックよりも重要である。すなわち、パケットは、コミュニティ主権の抽象的な宣言を通じてではなく、実際の受入決定を行うプライベートなシステムを通じて移動する。もしルートオブジェクトが、それらのシステムが明白な間違いを避けるのを助けるならば、それには価値がある。
プライベートな強制には病理もある。それは不透明である。保有者は、どのプロバイダがどのオブジェクトを消費したか、いつフィルタを更新したかを知らないかもしれない。購入者は、陳腐化したレコードが無害なのか、主要なアップストリームの許可リストに埋め込まれているのかを知らないかもしれない。小規模 ISP は、明確な説明なしに拒否を受けるかもしれない。カリブ海の事業者は、限られたトランジット関係に依存しており、一つの陳腐化したオブジェクトが不均衡な遅延を生み出すことを発見するかもしれない。かつてのプロバイダは、権力を行使する意図はなくとも、その古いオブジェクトが十分多くのフィルタに残っていることで、残余の権威として機能するかもしれない。
これが、事務的なレコードが経済的制度になる方法である。ルートオブジェクトがルーティング可能性を配分するというルールを誰かが書く必要はない。多くの実務的なアクターがリスクを低減するためにそれらを使用するということで十分だ。同じパターンは他の市場にも見られる。信用記録はローン契約ではないが、信用へのアクセスを形成する。コンテナ追跡記録は船舶ではないが、物流を形成する。土地登記抄本は家屋ではないが、貸付と売買を形成する。ルートオブジェクトはより小さく、より技術的であるが、到達可能性の市場の中で同様に機能する。
制度的な問いは、プライベートネットワークがルートオブジェクトの使用を止めるべきかどうかではない。それは非現実的であり、望ましくない。ネットワークは、インターネットが誤った受入を低減するためのスケーラブルな方法を必要とするために、それらを使用する。問いは、公開システムがプライベートな強制に対してクリーンな入力を提供するかどうかである。もし入力が陳腐化し、矛盾し、古い資格情報を持つ当事者によって捕捉されているならば、プライベートな強制は欠陥を増幅する。もし入力が最新で、範囲が定められ、レビュー可能であれば、プライベートな強制はトランザクションコストを低下させる。
ARIN は、フィルタ消費を依拠の事実として扱うことによって支援できる。それは、ルートオブジェクトがあらゆるプロバイダを通過することを保証する必要はない。しかし、オブジェクトが、アカウントの履歴を見ない第三者によって使用され得ることを前提とすべきである。その前提が設計を変える。通知が重要になるのは、見えない依拠当事者が影響を受けるかもしれないからである。監査証跡が重要になるのは、後の紛争が再構築を必要とするからである。状態セマンティクスが重要になるのは、プライベートなフィルタ構築者が、権威が不明瞭なオブジェクトよりも、現在のリソース権限に結び付けられたオブジェクトを好むかもしれないからである。削除ルールが重要になるのは、オブジェクトを除去することが、レジストリ自身のシステムの外の受入を変え得るからである。
逆もまた真である。すなわち、プライベートネットワークは、ルートオブジェクトを権利証書のように扱うべきではない。彼らは、それを保有者データ、利用可能な場合は RPKI 状態、経路履歴、契約上の権限、観測されたルーティングと並べて読むべきである。彼らは、保有者がどのデータベースが失敗したかを推測するのではなく、問題を解決できるよう、拒否を十分に明確に説明すべきである。彼らは、訂正が意味を持つよう、十分に頻繁にフィルタを更新すべきである。彼らは、基礎となるレコードが修正されたら、手動の例外を廃止すべきである。依拠は、依拠当事者が証拠の限界を理解している場合にのみ正当化される。
なぜ IPv4 の枯渇がレコードを経済的なものにするか
IPv4 の枯渇は、ガバナンスの賭け金を変える。アドレスが豊富な場合、陳腐化したルートオブジェクトは迷惑でしかない。アドレスが希少で、移転可能で、再番号付けにコストがかかる場合、陳腐化したルートオブジェクトは資産の使用可能な価値に影響を与え得る。アドレスブロックは法的に管理されているかもしれないが、購入者がそれをアップストリームに受け入れさせたり、クラウドにインポートしたり、期待されるスケジュールでルートサーバを通じて伝搬させたりできなければ、資産は価格が示唆するよりも流動性が低い。
枯渇の効果は価格効果だけではない。それは継続性の効果である。企業は顧客の再番号付けを避けるために IPv4 ブロックを使用する。ホスティング会社はサービス契約を維持するためにそれらを使用する。アクセスプロバイダは加入者をオンラインに保つためにそれらを使用する。セキュリティ会社は軽減プラットフォームのためにそれらを使用する。クラウド顧客は、移行中に許可リスト、評判、継続性を維持するためにアドレス空間を持ち込む。大学や公共機関は、まだ古いシステムを支えているレガシーアドレス空間を持っているかもしれない。これらの場合、ルーティング可能性は技術的な後付けではない。それはビジネス価値の一部である。
その価値は摩擦によって失われ得る。購入者は移転を完了しても、古いルートオブジェクトのクリーンアップに数週間を費やすかもしれない。売却者はブロックを引き渡しても、依然として矛盾する発信元の証拠を残すかもしれない。クラウド移行は、プラットフォームが古いプロバイダの発信元を見るために遅れるかもしれない。データセンターは、IRR の証拠が整合するまで顧客のアドレス空間を広告することを拒否するかもしれない。IXP のルートサーバは、メンバーの AS-SET とルートオブジェクトが一致するまでプレフィックスを拒否するかもしれない。貸し手は、運用上の証拠が乱雑に見えるためにブロックを割り引くかもしれない。これらの結果のいずれも所有権を決定しない。それぞれが使用の経済学を変える。
それゆえ、ルートオブジェクトガバナンスは、移転市場アーキテクチャの一部である。それは市場の全体ではない。それはアドレス価格を設定せず、購入者を認定せず、リースが許されるべきかどうかを決定しない。しかし、それは、レジストリに認識された権利をルーティングされたサービスに変えるコストに影響を与える。そのコストは、デューデリジェンス、エスクロー条件、エンジニアリング時間、移行計画、顧客リスクに現れる。よりクリーンなルートオブジェクトの権威を持つ市場は、すべての購入者が古いルーティングの履歴を一から再発見しなければならない市場よりも、トランザクションコストが低くなるはずである。
経済的な非対称性は重要である。大規模ネットワークは、しばしば例外を通じてルーティングできる。彼らには専任のチーム、プロバイダとの関係、影響力がある。小規模購入者は持たないかもしれない。大規模クラウド顧客はアカウント管理を通じてエスカレーションできる。小規模 ISP は、「IRR 不一致」とだけ書かれたチケット応答を受け取るかもしれない。全国キャリアは、ピアにフィルタを上書きするよう依頼できる。カリブ海の事業者は、現実的なトランジットの選択肢が二つしかなく、ルーティングレジストリクリーンアップの専門顧問を持たないかもしれない。同じ陳腐化したオブジェクトが、ある当事者には迷惑で、別の当事者には市場障壁となり得る。
IPv4 の枯渇はまた、戦略的な曖昧さに対するインセンティブを生み出す。売却者は、金銭の受け渡し後にルートオブジェクトのクリーンアップに時間を費やす理由がほとんどないかもしれない。プロバイダは、まだ多くのそのようなレコードを持っているために、代理登録したオブジェクトの削除を忘れるかもしれない。顧客は、将来の選択肢を開いたままにする広範なオブジェクトを好むかもしれない。ブローカーは、トランザクションを進めるためにクリーンアップ作業を過小評価するかもしれない。購入者は、値引き交渉のために古いオブジェクトの害を過大評価するかもしれない。明確な状態と削除経路を欠くルートオブジェクト体制は、これらのインセンティブを交渉ゲームに変える。
レジストリの役割は、あらゆる経済的対立を解決することではなく、曖昧さを減らすことであるべきだ。公開する明確な権限、陳腐化したレコードを廃止する明確なメカニズム、明確な監査履歴、移転時の明確な警告は、取引の商業的条件を決定するものではない。それらは運用状態をより判読可能にする。判読可能性は経済的サービスである。それは、すべてのルートオブジェクトを特注の調査に変換することなく、当事者がリスクを価格付けすることを可能にする。
これが、本レポートが技術的な仕組みを結論としてではなく証拠として扱う理由である。ARIN ソースの IRR レコードが RPSL 形式であり、それらが公開 Whois データとは別のデータベースに存在し、組織にリンクされたアカウントとルーティングコンタクトが管理に影響し、オブジェクトが問い合わせやミラーリングされ得ること、そして移転クリーンアップがルーティングレコードの注意を必要とし得るという事実は、哲学ではない。それらは運用上の事実である。結論は、それらの事実がどのようにプライベートフィルタリングおよび IPv4 枯渇と相互作用するかから来る。すなわち、ルートオブジェクトガバナンスは、依拠コストを配分する。
陳腐化、削除、そして古い発信元の後生
陳腐化は中心的なガバナンス問題である。ルートオブジェクトは、作成時には正確であっても、後には誤解を招くことがある。プロバイダ発信元のオブジェクトは、顧客がトランジットを変更した後に残るかもしれない。売却者発信元のオブジェクトは、移転後に残るかもしれない。DDoS 軽減オブジェクトは、インシデントのずっと後まで生き残るかもしれない。一時的なクラウドインポートオブジェクトは、移行よりも長く生きるかもしれない。より小さいプレフィックスのルートオブジェクトは、トラフィックエンジニアリングの理由が消えた後に残るかもしれない。レガシー保持者は、古いレコードが存続する間に、スタッフ、名前、アカウント権限を変更するかもしれない。
陳腐化したレコードが問題になるのは、フィルタがその経緯を知らないからである。フィルタは、オブジェクト、ソース、プレフィックス、発信元、そしてネットワークが符号化したポリシーを知っている。古いオブジェクトが AS X を指名し、新しいアナウンスが AS Y から来る場合、フィルタ構築者またはサポートデスクは、AS Y が正当なのか、AS X がバックアップとして残るのか、オブジェクトが古い残骸なのか、あるいは何か疑わしいことが起こっているのかを決定しなければならない。その不確実性は、ルーティングしようとする当事者に負担を転嫁する。現在の運用上のニーズを持つ当事者が、歴史的な曖昧さのコストを支払う。
削除は、単に作成の反対ではない。それはそれ自体が力である。ルートオブジェクトを削除することは、ライブの経路に対する実質的な受入を除去し得る。削除を拒否することは、古い経路に対する見かけ上の権威を保持し得る。更新は、受入をある発信元から別の発信元へと移し得る。依存度の高いプレフィックスにおいては、これらの行動は、法的紛争が解決される前に顧客に影響を与え得る。強力なルートオブジェクト体制は、削除を家事整理のボタンとしてではなく、結果を伴うものとして扱わなければならない。
削除のカテゴリーは異なり、ひとまとめにすべきではない。プロバイダ変更後の争いのないクリーンアップは、疑わしい無許可の公開後の緊急削除と同じではない。移転に伴う廃止は、顧客紛争中の発信元 AS の撤回と同じではない。一時的なオブジェクトの期限切れは、プロバイダが削除がサービスを破壊すると信じるような係争中の委任と同じではない。アカウント侵害は、保有者が理解していない古いレコードをクリーンアップしようとするのと同じではない。異なるケースは、異なる通知、証拠、緊急性を必要とする。
通知は実務的な安全装置である。保有者が、ライブのトラフィックを支えていると思われるプロバイダ発信元のオブジェクトを削除したい場合、緊急のセキュリティ上の理由で待てない場合を除き、発信元 AS または委任されたコンタクトに通知が必要かもしれない。プロバイダが委任されたオブジェクトを保持したい場合、保有者はその理由を確認できるべきである。購入者の移転が古いオブジェクトの廃止をトリガーする場合、売却者は、クロージング前にどのレコードに対処しなければならないかを知るべきである。緊急オブジェクトが作成される場合、その期限切れとレビュー経路は明示的であるべきである。通知は、見えない力を説明可能な力に変える。
監査履歴は第二の安全装置である。後の紛争は、誰が、どの組織の下で、どのアクセス方法を通じて、どのプレフィックスと発信元に対して、どの通知と共に、何を変更したかを再構築する必要がある。監査ファイルは、私的文書を公衆にさらす必要はない。しかし、それは運用上の疑問に答えるのに十分でなければならない。すなわち、このオブジェクトは、現在の保有者によって作成されたのか、代理登録者によってか、役割が変更されたリンクユーザによってか、API 統合によってか、移行されたレコードを通じてか。それは、保有者が要求したために削除されたのか、移転が完了したためにか、発信元 AS が権限を撤回したためにか、あるいは緊急レビューがリスクを発見したためにか。市場は、レコードが説明できないものを価格付けできない。
第三の安全装置は、一時的な権限に対する期限切れである。緊急移行、DDoS 軽減、破産移行、ケーブル障害、クラウドフェイルオーバー、データセンターの移動は、迅速なルートオブジェクト公開を必要とするかもしれない。迅速な範囲を定めた公開をサポートできないシステムは、事業者をプライベートな例外に追いやる。一時的なオブジェクトを永久に存続させるシステムは、陳腐化した権威を作り出す。期限切れは橋渡しである。それは、ネットワークが緊急の証拠を永続的な市場権力に変換することなく、緊急の問題を解決することを可能にする。
第四の安全装置は、保有者の可視性である。保有者は、自身のリソースに関連付けられたルートオブジェクトを、代理登録や古い委任された発信元を含め、通常のネットワークスタッフが理解できる方法で確認できるべきである。隠された、または発見が困難なオブジェクトは、ガバナンスがより困難である。小規模保有者は、かつてのプロバイダのオブジェクトが依然としてアクティブであることを学ぶためだけに、専門コンサルタントを必要とすべきではない。可視性は華やかではない。それは惰性に対する第一の防御である。
陳腐化はセキュリティリスクだけではない。それは公平性の問題である。古いオブジェクトを作成した、あるいはその恩恵を受けた当事者は、もはやそのコストを負担しないかもしれない。現在の保有者、購入者、またはルーティング事業者が負担する。このミスマッチは、既存事業者やリソースの豊富なアクターに対する静かな補助金を生み出す。成熟したルートオブジェクト体制は、現在の運用上の経緯が異なり証明可能である場合に、古い発信元が惰性で生き残ることを許すべきではない。
競合は、単なるデータベースの不整合ではなく経済的イベントである
競合するルートオブジェクトは、しばしばデータ品質の問題として説明される。それは正しいが不完全である。同じまたは重複するプレフィックスに対して二つのオブジェクトが異なる発信元を指す場合、その競合は交渉力を変え得る。プロバイダは、保有者が明確にするまで両方を拒否するかもしれない。ルートサーバは、あるソースを別のソースよりも好むかもしれない。クラウドプラットフォームは追加の証拠を求めるかもしれない。購入者は支払いを遅らせるかもしれない。売却者は、古い発信元は無害だと主張するかもしれない。小規模ネットワークは、競合が手動のケースを生み出すために時間を失うかもしれない。不整合は経済的イベントとなる。
競合は正直に生じ得る。プレフィックスがプロバイダ間の移行中かもしれない。保有者は、通常のサービスにある発信元を使用し、バックアップに別の発信元を使用するかもしれない。トラフィックエンジニアリングのために、より小さいプレフィックスのアナウンスがあるかもしれない。DDoS プロバイダが軽減中に一時的に発信するかもしれない。クラウドインポートは、古いサービスがアクティブなままである間に新しい発信元を必要とするかもしれない。合併は、新しい企業支配の下で古いネットワークアーキテクチャを保持するかもしれない。複数の発信元主張の存在は、自動的に悪用を意味するわけではない。
競合は残滓も反映し得る。売却者が古いオブジェクトを忘れているかもしれない。プロバイダが多くの顧客オブジェクトを代理登録し、それらを廃止し損ねたかもしれない。顧客がサービスを変更したがレコードを残したかもしれない。契約者が依然として資格情報を管理しているかもしれない。第三者の IRR ソースが、プライベートフィルタが依然として消費する継承されたオブジェクトを含むかもしれない。難しいのは、フィルタとサポートデスクが、証拠なしに正当な共存と残滓を区別できないことが多いことである。
ガバナンスの目的は、共存の理由を判読可能にすることであるべきだ。移行中に二つの発信元が有効である場合、その状態は抑制的にそう述べるべきである。バックアップ発信元が認可されている場合、そのレコードは陳腐化した残骸と同一に見えるべきではない。プロバイダ発信元のオブジェクトが移転後も保持される場合、新しい保有者の認可は、それに依拠する必要がある当事者に見えるべきである。競合が保有者による異議申し立ての下にある場合、プライベートな受入者は、そのレコードが確定していないことを知るべきである。ポイントは、契約を公開することではない。それは、誤った確信を防ぐことである。
状態の設計は注意深くなければならない。あまりに多くの公共ラベルはフィルタを混乱させ、新たな攻撃面を作り出し得る。あまりに少ないラベルは、プライベートなアクターを推測に委ねる。有用な最小限は、現在の保有者の発信元レコード、委任された発信元レコード、代理登録されたレコード、一時的な移行レコード、異議申立中のオブジェクト、移転クリーンアップレコード、廃止されたレコードを区別し得る。一部のラベルは公開され、一部は認証された影響を受ける当事者のみが見え、一部は監査ログにのみ現れるかもしれない。設計上の問いは美学的ではない。それは、機密情報を漏洩したり、権限を過大主張したりすることなく、依拠コストをいかに低下させるかである。
クロスソースの競合は規律をもって扱われるべきである。本レポートは IRR データベースの断片化を中心的主張とはしていないが、ソース選択はルートオブジェクトの結果である。プライベートなフィルタ構築者は、しばしばどの IRR ソースをどの順序で消費するかを選択する。もし ARIN ソースのデータが最新で、検証済みで、解釈しやすければ、事業者は ARIN 管理下のリソースについてそれを好む強い理由を持つ。もし ARIN ソースのデータが沈黙または陳腐化していれば、外部ソースがその空白を埋める。沈黙もまた、誤ったオブジェクトと同様に確実に力を配分し得る。
競合はまた、プレフィックス長と相互作用する。ルートオブジェクトは ROA のような maxLength セマンティクスを持たないが、フィルタ構築者やルートポリシーツールは、しばしばオブジェクト、ルートセット、AS-SET 展開の周りでプレフィックス長の仮定を行う。より小さいプレフィックスのアナウンスを導入する移行は、古い仮定が残っていると失敗し得る。広範なオブジェクトは、一部のプライベートポリシーにとって許容的過ぎるかもしれない。狭いオブジェクトは、意図されたトラフィックエンジニアリングには不十分かもしれない。したがって、ガバナンスは、発信元 AS だけではなく、意図されたアナウンスのプレフィックス長の現実を含むべきである。
最も重要な競合の原則は、立証責任の配置である。もし現在のリソース権限が意図された発信元を証明できるならば、システムは古い履歴と無限に戦わせるべきではない。もし委任された発信元が現在の顧客サービスを証明できるならば、保有者は通知とレビューなしにそれを消去できるべきではない。もしプライベートな受入者が競合を理由に経路を拒否するならば、当事者がそれを治療できるよう、競合を明確に特定すべきである。良いガバナンスは紛争を排除しない。それは、曖昧さが決定を下すことを防ぐ。
移転と使用可能なアドレス空間の納品条件
移転ファイルこそ、ルートオブジェクトガバナンスが非エンジニアに見えるようになる場所である。売却者の商業的な話はクリーンかもしれない。すなわち、ブロックを保有し、移転でき、購入者は計画を持っている。しかし、ルーティングレコードのファイルはより乱雑な履歴を物語るかもしれない。ブロックは複数の発信元のルートオブジェクトを持つかもしれない。一部は ARIN ソースのデータにあり、他は外部ソースにあるかもしれない。一部はプロバイダによって作成されたかもしれない。一部は API 駆動かもしれない。一部はより古い運用取り決めから継承されたかもしれない。現在のスタッフが即座に説明できないものもあるかもしれない。
購入者の問題は実務的である。クロージング後に何が起こるのか?古い発信元はフィルタに残るのか?売却者は移転前にオブジェクトを削除または更新できるか?削除は、カットオーバー前に現在のサービスを中断させるか?購入者は、アカウント権限を得た直後に置換オブジェクトを作成できるか?購入者のアップストリームは、経路を受け入れる前にルートオブジェクトを必要とするか?クラウドプラットフォームは、IRR オブジェクトと ROA 態勢の整合を期待するか?売却者の古いプロバイダは通知を必要とするか?顧客が依然としてより小さいプレフィックスのオブジェクトに依存しているか?外部ソースは、当事者が ARIN のシステム外で処理しなければならない陳腐化したデータを含んでいるか?
良い移転スケジュールは、これらの質問を家事整理ではなく納品条件として扱う。売却者は、既知のルートオブジェクトを開示できる。当事者は、どのオブジェクトを除去し、一時的に保持し、または置き換えるかに合意できる。売却者は、既存の発信元やプロバイダと調整できる。購入者は、意図する ASN のために新しい IRR レコードを準備できる。エスクローは、依存度の高いブロックに対して運用上のマイルストーンを含むことができる。顧問は、「使用可能な」アドレスという漠然とした約束を避け、代わりにルートオブジェクトクリーンアップ、ROA クリーンアップ、逆引き DNS 計画、クラウドまたはトランジットのオンボーディングを別個のタスクとして定義できる。
ARIN の役割はより狭いが重要である。ARIN は、移転状態に伴ってルートオブジェクト管理がどう変わるかを明確にすることができる。ソースの責任に結び付けられた通知やリマインダーを提供できる。オブジェクトがいつ作成され、更新され、削除され、置き換えられ、または異議を申し立てられたかを示す監査ログを維持できる。受領者が、移転後に自身のルーティングセキュリティレコードを作成しなければならないことを確実にできる。移転承認自体がプライベートな受入を保証することを示唆するのを避けることができる。また、陳腐化した ARIN ソースのオブジェクトが移転の実用的価値を損なうのを放置するのを避けることもできる。
移転後のオブジェクト廃止は、鍵となる規律である。ソース発信元のオブジェクトは、それがかつて売却者のネットワークに一致したという理由だけで永遠に生きるべきではない。また、定義された移行中に古い発信元がトラフィックを運ぶ場合に、時期尚早に消滅すべきでもない。レコードは運用計画に従うべきである。移行中に新旧の発信元が共存する場合、共存は意図的かつ期間限定であるべきである。バックアップのためにオブジェクトが保持される場合、その範囲は既知であるべきである。プロバイダ発信元のオブジェクトがもはや権限を持たない場合、購入者が売却者の全運営履歴を訴訟することなく削除できる経路があるべきである。
合併や組織再編は関連する問題を生み出す。運用ネットワークは、新しい企業構造の下で継続するかもしれない。古いルートオブジェクトは依然として実際の発信元と一致するかもしれない。単に法的名称が変更されたという理由でそれを削除することは有害であろう。しかし、オブジェクトの背後にある権限は更新されるべきである。もし前身組織がもはや存在しないならば、誰が編集を制御するのか?もし親会社がネットワーク運用を一元化するならば、どのルーティングコンタクトが行動できるのか?もし分離された事業がアドレスを持ち去るならば、どの古い ASN が残るべきか?ルートオブジェクトは、運用の継続性と企業権限の両方に従わなければならない。
レジストリ間の移転とインポートは、断片化を主たる話にすることなく複雑さを加える。ARIN 地域に入るか出るブロックは、他のソースからのルートオブジェクト、異なるメンテナモデル、権限に関する異なる期待を運ぶかもしれない。ARIN はすべての外部レコードをクリーンにできない。ARIN 側の状態を明確にし、カウンターパーティ向けのチェックリストを提供できる。当事者は、どのレコードを ARIN が変更できるか、どの外部レコードが自身の責任として残るか、どの古いソースが依然としてプライベートフィルタによって消費されるかもしれないかを知るべきである。
後生の問題は売却に限らない。リース終了、プロバイダ交代、クラウド退出、DDoS サービス期限切れ、倒産プロバイダの移行、顧客付け替え、データセンター移動は、すべて古い発信元の残骸を生み出す。移転は、金銭、弁護士、デューデリジェンスが収斂するために経済学を可視化するに過ぎない。成熟したルートオブジェクト体制は、売却が強制する前に、同じ規律を利用可能にすべきである。保有者が通常運用中にオブジェクトを最新に保てば、取引はより安価になる。
プライベートな受入裁判所としてのクラウド、データセンター、エクスチェンジ
クラウドプラットフォーム、データセンター、IXP は法的所有権を決定しないが、しばしば実務的な入場を決定する。顧客所有のプレフィックスを広告するよう求められたクラウドプロバイダは、自身のネットワーク、顧客、評判、アビューズ表面を保護しなければならない。顧客のアドレス空間を発信するよう求められたデータセンターは、無許可のルーティングの導管となることを避けなければならない。エクスチェンジルートサーバは、どのメンバー経路を他のメンバーに渡すかを決定しなければならない。各機関は、レジストリ記録、IRR オブジェクト、ROA、書状、チケット、経路履歴、顧客契約の独自の混合を使用する。それぞれが、リソース保有者の話が正当であっても、経路を遅延または拒否することができる。
これが、ルートオブジェクトガバナンスがトランジットキャリアを超えて結果を持つ理由である。クラウドの BYOIP プログラムは、しばしば顧客にプレフィックスに対する制御を示し、設計で使用されるクラウド ASN または顧客 ASN と経路発信元の証拠を整合させることを要求する。依然として古いプロバイダを指名するルートオブジェクトは、それ自体でクラウド要求を打ち負かすことはないかもしれないが、摩擦を導入する。クラウドチームは、古いオブジェクトが陳腐化しているのか、移行中なのか、未解決の委任の証拠なのかを決定しなければならない。顧客が小さい場合、エスカレーション経路はより遅いかもしれない。移行に期限がある場合、コストはプロジェクト計画に現れる。
データセンターは異なるバージョンに直面する。彼らの顧客は、しばしば履歴を持つプレフィックスを伴って到着する。一部は正当に割り当てられまたは移転されている。一部は顧客所有である。一部は私的契約の下でリースされている。一部はマネージドサービスプロバイダを通じてルーティングされている。データセンターは、過度のリスクを負うことなくイエスと言うクリーンな方法を望んでいる。ARIN ソースのルートオブジェクトは助けることができる。競合するオブジェクトはチケットを停止させ得る。欠落した削除経路は、データセンターに広範な認可状を要求させ、それはその後、管理され廃止されなければならない別のプライベートなアーティファクトとなる。
IXP とルートサーバは、コードをより可視化する。多くのエクスチェンジは、メンバーを不良経路から守るために IRR と RPKI データを使用する。受け入れ可能なルートオブジェクトを生成できないメンバーは、たとえバイラテラルセッションが依然として可能であっても、ルートサーバを通じて経路を伝搬させられないかもしれない。大規模ネットワークにとっては、それは不便かもしれない。小規模な地域または島嶼事業者にとっては、ルートサーバの受入はトランジットコスト、パフォーマンス、顧客到達可能性に物質的に影響し得る。したがって、ルートオブジェクトガバナンスは、レジストリの整理整頓だけでなく、相互接続の経済学にも影響を与える。
これらのプライベートな受入裁判所は悪役ではない。それらが存在するのは、ルーティングが分散リスクシステムだからである。クラウドは顧客が主張する任意のプレフィックスを広告できない。データセンターは販売メールに依拠できない。エクスチェンジは、全メンバーにあらゆる経路を手動で検査させることはできない。ルートオブジェクトは、入場をスケーラブルにする一つの方法である。問題は、同じスケーラビリティが、陳腐化したレコードを拒否または過剰受入に変換し得ることである。
ARIN は、これらの読み手のために設計すべきであるが、彼らの支配者になるべきではない。それは、第三者のプロビジョニングデスクが、オブジェクト、ソース、プレフィックス、発信元、そしていくつかの公開フィールドしか見ないかもしれないことを前提とすべきである。自動化されたフィルタがプライベートな移転契約を理解しないかもしれないことを前提とすべきである。ルートサーバが、現在の ARIN リソース権限に結び付けられたオブジェクトを好むかもしれないことを前提とすべきである。クラウド移行が、可視的な矛盾によって遅延する可能性があることを前提とすべきである。これらの前提は、ARIN がプライベートポリシーを指図することを要求しない。それらは、ARIN が状態と権限をより明確にすることを要求する。
プライベートなアクターにも責任がある。彼らはルートオブジェクトを権利証書として扱うことを避けるべきである。彼らはそれを、レジストリ保有者データ、利用可能な場合は ROA 状態、経路履歴、顧客権限と並べて読むべきである。彼らは、洗練された証拠ファイルを即座に満たせない正当な小規模保有者のために、例外経路を文書化すべきである。彼らは、訂正が意味を持つよう、十分に頻繁にフィルタを更新すべきである。彼らは、ルートオブジェクトが修正されたら手動例外を廃止すべきである。彼らは、保有者がどのデータベースが失敗したかを推測するのではなく、欠陥を治療できるように、拒否を十分に明確に説明すべきである。
これらの責任が出会うとき、市場は恩恵を受ける。ARIN は、狭く、最新で、監査可能なレコードを供給する。プライベート事業者は、比例的な判断で自身のポリシーを施行する。保有者は、資産管理の一部としてルートデータを維持する。購入者は、クリーンアップをアフターケアではなく納品として扱う。小規模ネットワークは、一連の個人的な好意ではなく、予測可能な経路を得る。それが、到達可能性のためのより安価な市場である。
小規模保有者とカリブ海の固定費問題
ルートオブジェクトガバナンスは、最大規模のネットワークが最も多くのルーティングデータを生成するため、大規模ネットワークの問題のように見えることがある。コスト構造は逆を指している。大規模ネットワークは衛生を吸収できる。小規模保有者は固定費に直面する。ルーティングレジストリチームを持つキャリアは、ルートオブジェクト、AS-SET、ROA、逆引き DNS、監視、移転証拠を維持できる。小規模 ISP には、障害、課金システム、顧客苦情、調達も扱う一人のエンジニアしかいないかもしれない。大学には有能なネットワークスタッフがいるかもしれないが、古いアドレスレコードに関する企業記憶は弱い。公共機関には権限があるが、文書化の経路は遅い。カリブ海の事業者は、アップストリームの選択肢が限られており、IRR クリーンアップの現地専門市場を持たない。
プレフィックス当たりの固定費は過酷になり得る。/22 と/16 は、どちらも古いオブジェクトを見つけること、アカウント権限を検証すること、発信元 AS と調整すること、経路履歴をチェックすること、AS-SET メンバーシップを更新すること、フィルタ受入を確認することを必要とするかもしれない。/16 保有者は、その作業をより多くのアドレスとより大きな収益に分散させる。/22 保有者はそれができない。もしルートオブジェクト体制が不透明であれば、より小さい保有者は同じ市場アクセスに対してより高い実効税率を支払う。
カリブ海の文脈が重要なのは、地理とインフラが選択肢を狭めるからである。島嶼ネットワークは、少数の海底ケーブル経路、地域トランジット契約、大陸のクラウドリージョンに依存するかもしれない。ルートサーバによる拒否やアップストリームのフィルタ遅延は、プレフィックスの見かけのサイズを超える顧客への影響を持ち得る。観光ネットワーク、銀行、学校、病院、公共ポータル、地元のホスティング顧客、政府サービスは、しばしば控えめなアドレスプールに依存する。彼らにとって、ルートオブジェクトは抽象的なルーティング衛生ではない。それは手頃な到達可能性へのチケットである。
レガシーおよび公共セクターの権限は摩擦を加え得る。省庁は、ルーティングが請負業者によって運用されているアドレスを保有するかもしれない。大学は、現在の IT ガバナンスより前からあるプレフィックスを持つかもしれない。小規模 ISP は、正式なクリーンアップの何年も前に非公式に顧客ネットワークを取得しているかもしれない。家族経営のプロバイダは、古いルートオブジェクトが残っている間に企業名を変更しているかもしれない。これらの保有者は、必ずしも弱い主張者ではない。彼らは弱くパッケージングされた主張者である。市場は、プライベートな受入者が安価に話を検証できないため、弱いパッケージングを罰する。
ARIN は、基準を下げることなく固定費の負担を削減できる。第一歩は、平易な状態表示である。保有者は、ルートオブジェクト、作成経路、リンクされた組織、ルーティングコンタクト、代理登録、適格リソースを、非専門家が理解できる形で確認できるべきである。第二は、日常的なクリーンアップツールである。すなわち、古いオブジェクトの特定、不一致の発信元のフラグ付け、移転によって影響を受けるオブジェクトの表示、古いプロバイダエントリの通知準備。第三は、一般的なケースのプレイブックである。すなわち、プロバイダ変更、クラウドインポート、データセンター移行、緊急発信元、レガシー保有者の正規化、大学コンタクトの回復、カリブ海の小規模事業者相互接続。
第四ステップは、比例的な証拠である。小規模事業者は、現在の保有者権限と発信元 AS の通知が明確な場合に、明らかに陳腐化したプロバイダ発信元のオブジェクトを削除するために、完全な企業訴訟ファイルを提出する必要はない。逆に、小規模事業者は、誰か他の者のプレフィックスに対して、単に説得力のあるメールを持っているという理由で、重大な結果を伴うオブジェクトを作成できるべきではない。要点は甘さではない。それはリスクに証拠を適合させることである。
第五ステップは、時間の規律である。小規模保有者は、より少ない回避策を持つため、不確実性によってより苦しむ。もしルートオブジェクトの訂正に数日かかるなら、計画できる。もしリクエストがアカウント権限、契約適格性、ルーティングコンタクト範囲、移転状態の間で迷子になったために未定義の期間を要するかもしれなければ、交渉力を失う。明確なクロックと理由カテゴリーは公平性ツールである。
最終ステップは、言語の規律である。もしルーティングセキュリティサポートがコンプライアンス負担として提示されるなら、小規模ネットワークは強制されるまでそれを避けるかもしれない。もしそれが資産のポータビリティおよび顧客継続性のインフラとして提示されるなら、採用は合理的になる。ルートオブジェクトはレジストリに対する好意ではない。それは、保有者がその正当なルーティングを受け入れやすくするための方法である。
ここで、ガバナンスのレトリックは動いているコードと出会うべきである。あるネットワークは ARIN 会議に一度も出席しないかもしれないが、それでも ARIN ソースのルートオブジェクトに依存する。ホテル ISP、郡ネットワーク、学校区、小規模ホスティングプロバイダ、公立病院、大学の部門は、アップストリームの拒否を通じてルートオブジェクトの曖昧さを感じるかもしれない。レコードは、会場を動き回る方法を知っている機関だけでなく、それらの依拠当事者に対しても機能する場合にのみ正当である。
RPKI と ROA との境界
RPKI はルーティングの会話を改善したが、ルートオブジェクトガバナンスを廃止してはいない。ROA は、リソース証明書に結び付けられた暗号化された経路起点認証を提供できる。それは価値がある。それは無効なアナウンスを暴露し、発信元主張をより機械検証可能にし得る。しかし、運用上の受入は依然として複数的である。ネットワークはすべて同じ方法で経路起点検証を適用するわけではない。一部は依然として IRR ベースのフィルタを使用する。一部は IRR と RPKI を組み合わせる。一部は ROA が存在する場合でも、プロビジョニングにルートオブジェクトを使用する。一部の顧客やプラットフォームは、各信号が異なる問いに答えるため、両方を求める。
その違いは単に技術的ではない。ROA は、ASN が指定された範囲内でプレフィックスを発信することを認可されていると述べる。ルートオブジェクトはルーティングポリシーデータベース内に位置し、AS-SET 展開、ルートサーバポリシー、アップストリームプロビジョニング、レガシーフィルタ構築に供給され得る。ROA は経路を暗号的に有効にすることができるが、陳腐化したルートオブジェクトは依然として人間のレビュー担当者に質問をさせる。正しいルートオブジェクトは、ROA の展開が不完全であるか、ポリシーが依然として IRR 証拠を必要とする場所で、プロバイダがフィルタを構築するのを助けることができる。どちらの信号も普遍的な所有権に膨らませるべきではない。
この境界は重要である。なぜなら、隣接トピックが誘惑的だからである。ルートオブジェクトをルーティングセキュリティ受容に関する一般的なエッセイに変えることもできよう。それは、より狭いガバナンスのアーティファクトを見逃すであろう。議論を失効や証明書継続性のエッセイに変えることもできよう。それは、よりソフトだが依然として強力な IRR レコードを見逃すであろう。陳腐化したルートオブジェクトを主にハイジャックや詐欺の管理策として扱うこともできよう。それは、移転、古いプロバイダ、クラウドインポート、データセンターオンボーディング、緊急軽減、小規模事業者を含む多くの通常のケースを見逃すであろう。ポイントは、RPKI と IRR をランク付けすることではない。それは、混合された受入の世界において、ルートオブジェクトがなぜ市場に関連し続けるのかを理解することである。
補完性は実務的である。移転ファイルは、ソース ROA の削除、ROA 内の最大プレフィックス仮定のレビュー、IRR オブジェクトの更新または削除、逆引き DNS 調整、プロバイダへの通知を必要とするかもしれない。これらが別々のタスクであるのは、異なる依拠システムに影響を与えるからである。クラウド移行は、クラウド発信元のための ROA、アップストリームフィルタのための IRR オブジェクト、アカウント検証のための書状を必要とするかもしれない。IXP は IRR の一貫性を要求し、RPKI の無効性を監視するかもしれない。データセンターは、保有者の認可を求めつつルートオブジェクトを受け入れるかもしれない。資産は、一つの完璧な証明を通じてではなく、これらすべての層を通じて移動する。
ガバナンスの原則は、仕組みが異なっていても層を横断して一貫しているべきである。すなわち、広範な制度の裁量よりも、局所的に検証可能な制御の証明が優先されるべきである。フィルタ構築者は、プライベートな内部者に制度の気分を解釈させることなく、オブジェクトが現在のリソース権限と意図された発信元に結び付けられていることを検証できるべきである。保有者は、オブジェクトを作成、変更、廃止するためにどのような証拠が必要かを知るべきである。購入者は、移転時にルートオブジェクトの権限がどのように変わるかを知るべきである。小規模事業者は、非公式の関係に依存することなくクリーンなオブジェクトを生成できるべきである。
RPKI は時間とともに IRR への依拠を減らすかもしれないが、履歴を急速に消し去ることはない。古いフィルタは存続する。AS-SET の慣行は存続する。プロバイダオンボーディングのチェックリストは存続する。クラウドとデータセンターの証拠ファイルは存続する。手動例外の文化は存続する。合理的なアプローチは、単一の受入メカニズムが勝利するのを待つことではない。それは、ルートオブジェクト層が実際よりも権威があるふりをしないようにしつつ、陳腐化が少なく、不透明でなく、裁量的でないようにすることである。
ARIN が経路警察にならずに統治できること
ARIN の有益な役割は、証拠の一貫性から始まる。それは、自らの IRR ソースが何を意味するか、誰がそこに公開できるか、ルートオブジェクトと route6 オブジェクトがどのようにリソースレコードに結び付けられるか、ルーティングコンタクトがどのように機能するか、代理登録がどのように範囲を定められるか、オブジェクトがどのように削除されるか、監査履歴がどのように保存されるかを決定できる。クエリインターフェース、ミラーフィード、ダウンロードに対してクリーンなデータを提供できる。プライベートネットワークが自身のフィルタを決定することを説明できる。受入を命令することなく訂正を支援できる。
第一の要素は、範囲を定めた権限である。システムは、認識されたリソース保有者、組織アカウントアクター、ルーティング POC、発信元 AS コンタクト、代理登録者、API ユーザー、移転参加者を区別すべきである。これらの役割は交換可能ではない。課金コンタクトが偶然にルーティングオブジェクトを制御すべきではない。ルーティングコンタクトは、普遍的な企業役員として扱われるべきではない。プロバイダは、顧客関係が終了した後も代理権限を保持すべきではない。リンクされたユーザーは認証されるべきだが、認証は、重大な変更に対する企業権限と混同されるべきではない。
第二の要素は、認証されたメンテナンスである。オブジェクトは、信頼できる証跡を残すメカニズムを通じて作成、更新、削除されるべきである。組織にリンクされたアカウントは役立つが、監査可能性は後の再構築のために十分に見えるものでなければならない。誰が変更を要求したか?どの組織と役割の下で?それはウェブインターフェース、API、移行オブジェクト、代理登録を通じてか?どのプレフィックスと発信元が変更されたか?どのコンタクトに通知されたか?移転状態が関与していたか?オブジェクトは削除されたのか、置き換えられたのか、異議を申し立てられたのか?これは私的文書の公開を必要としない。運用上の履歴の保存を必要とする。
第三の要素は、削除ガバナンスである。作成だけが権力ではない。削除は実質的な受入を除去できる。削除の拒否は、陳腐化した受入を保存できる。ルートオブジェクト体制は、削除ケースを分類すべきである。すなわち、争いのないクリーンアップ、プロバイダ交代、移転廃止、一時的オブジェクトの期限切れ、陳腐化した発信元に対する保有者の異議申立、発信元 AS の撤回、疑わしい無許可オブジェクト、アカウント侵害、係争中の委任。各カテゴリーは、通知とレビューの基準を持つべきである。緊急削除は存在すべきだが、狭く、ログが取られ、レビュー可能であるべきだ。
第四の要素は、訂正経路である。陳腐化したプロバイダオブジェクトを発見した保有者は、それに異議を申し立てる明確な経路を持つべきである。削除が現在の顧客サービスを破壊すると信じるプロバイダは、証拠を提示する方法を持つべきである。ソースクリーンアップを必要とする購入者は、どの当事者が行動しなければならないかを知るべきである。古いアカウント問題を持つレガシー保有者は、範囲を定めた回復経路を持つべきである。小規模事業者は、制度の霧を進むことなく、オブジェクトが不適格または制限されている理由を学ぶことができるべきである。
第五の要素は、状態セマンティクスである。すべてのオブジェクトが劇的な公開フラグを必要とするわけではないが、一部の共有状態はプライベートな推測を減らすことができる。現在かつ検証済み。保有者によって委任。代理登録。移転クリーンアップ中。保有者による異議申立中。一時的移行。緊急。レビュー中。廃止済み。これらのカテゴリーは、あまりに多くのラベルがフィルタを混乱させ、あまりに少ないラベルがリスクを隠すため、注意深い設計を必要とする。市場は契約の公開ダンプを必要としない。誤った確信を避けるために十分な共通セマンティクスを必要とする。
第六の要素は、移転統合である。移転システムは、もはや適用されないルートオブジェクトを更新または除去するようソース組織に注意喚起すべきである。より重要なことに、プロセスは、ルートオブジェクト状態を既知の移行依存関係として扱うべきである。ソースと受領者は、移転によって影響を受ける ARIN 側のオブジェクトを特定できるべきである。受領者は、いつ置換オブジェクトを作成できるかを理解すべきである。古いオブジェクトは、単に誰もクリーンアップを所有していないという理由でデフォルトで残るべきではない。
第七の要素は、メトリクスである。ARIN は、センシティブなデータを公開することなく、ルートオブジェクトガバナンスの集計統計を公表できる。すなわち、作成ボリューム、削除ボリューム、争われた訂正、移転関連のオブジェクト変更、平均クリーンアップ時間、陳腐化したプロバイダへの異議申立、代理登録の使用、API 対 Web の変更、緊急アクション、一般的な不適格原因。メトリクスは、IRR が生きた権威システムなのか、時折編集のあるアーカイブなのかを示すであろう。それはまた、小規模保有者やプライベート受入者が、依拠をより適切に価格付けすることを可能にするであろう。
第八の要素は、境界の言語である。ARIN は、自らのルートオブジェクトがルーティングポリシーの公開とプライベートな受入決定を支援するものであり、法的所有権を決定したり、グローバルなルーティングを強制したりするものではないと、平易に述べるべきである。その境界は、保有者を越権から守り、ARIN を経路裁判所として扱われることから守る。それはまた、プライベート事業者を守る。すなわち、彼らは、ARIN ソースのデータを、あらゆる問いに答えると偽ることなく、強力な証拠として使用できる。
ARIN がすべきでないことも同様に重要である。狭いリソースと権限の問題を超えて、合法的な商業利用を監督するためにルートオブジェクトの適格性を使用すべきではない。陳腐化したオブジェクトが、移転、リース、プロバイダ変更、クラウド移行に対する圧力ツールとなることを許すべきではない。契約の境界が、基本的なルーティング可能性の証拠に対する不透明な梃子となることを許すべきではない。ルーティングセキュリティサービスのアクセスを、制度的な主権のより広い主張に崩壊させるべきではない。そして、自身のレコードがプライベートな強制に対する物質的な入力であるときに、プライベートネットワークの自律性の背後に隠れるべきではない。
レジストリの強みは、簿記係の強みであるべきだ。すなわち、精密で、最新で、狭く、監査可能で、操作が困難であること。その種の強みは、依拠コストを低下させるため、資産価値を増加させる。門番の強みは逆を行う。それは、あらゆるルートオブジェクトの行動を、経済生活に対する裁量的な判断のように感じさせる。希少な IPv4 市場においては、その違いは金である。
よりクリーンなルートオブジェクト体制のための監視点
署名者の権限は第一の監視点である。誰がプレフィックス発信元宣言を認可できるのか?その答えは「アクセスを持つ誰か」よりも具体的であるべきだ。保有者発信元オブジェクトについては、リンクされた保有者権限で十分かもしれない。第三者発信元については、明確な委任根拠があるべきである。代理登録については、範囲と期間が既知であるべきである。緊急オブジェクトについては、理由と期限切れが明示的であるべきである。
陳腐化したアカウントと役割レコードは第二の監視点である。ARIN のモデルは、一部の IRR の伝統のように、古典的な自由浮遊型のメンテナパスワードを中心に構築されているわけではないが、古い作成方法、移行されたレコード、リンクユーザー、ルーティングコンタクト、API キー、代理の取り決めは依然として陳腐化し得る。強力なログインは弱い委任を解決しない。したがって、定期的な役割レビューは、単なるセキュリティ衛生ではなく市場機能である。
継承されたプロバイダエントリは第三である。多くの保有者は古いプロバイダ発信元のルートオブジェクトを持っている。プロバイダ交代は、アクティブなバックアップまたは移行関係が保持を正当化する場合を除き、通知と廃止をトリガーすべきである。古いプロバイダは、惰性によって見かけ上の権威を無期限に保存できるべきではなく、保有者は、無実のユーザーが依存している場合に、通知なしにライブの委任経路を削除できるべきではない。
プレフィックス長の仮定は第四である。ルートオブジェクトは ROA スタイルの maxLength セマンティクスを持たないが、フィルタ構築者はしばしばオブジェクト、AS-SET、ルートセットの周りでプレフィックス長の決定を行う。より小さいプレフィックスのアナウンスを変更する移行は、古い仮定が残っていると失敗し得る。IRR クリーンアップは、発信元 AS 番号だけでなく、意図されたアナウンスパターンを含むべきである。
緊急移行は第五である。ケーブル障害、DDoS イベント、データセンターの停止、クラウドリージョンの障害、倒産プロバイダ、公共セクターのインシデント、緊急公共サービス移行は、一時的な発信元を必要とするかもしれない。迅速で範囲を定めた緊急公開をサポートできないルートオブジェクト体制は、事業者をプライベートな例外に追いやる。緊急オブジェクトを存続させる体制は、陳腐化した権威を作り出す。両方のリスクは、明示的な一時的状態と廃止によって管理されるべきである。
機密性の高い顧客委任は第六である。一部のルーティング関係は、契約、セキュリティサービス、顧客 ID が機密であるため、完全に公開できない。ガバナンスは、公共の状態と共に非公開の証拠を許すべきである。ルートオブジェクトは、契約全体を公開することなく、プレフィックスと発信元を示すことができる。監査ファイルは証拠を保存できる一方で、公開レコードは事業者が行動するのに十分な信頼を与える。
移転後のオブジェクト廃止は第七である。ソース発信元のオブジェクトは、新しい保有者が移行的または継続的な関係を認可する場合を除き、完了した移転後も存続すべきではない。移転ツールは、影響を受けるオブジェクトを特定し、廃止を通常のクロージングタスクとすべきである。購入者は、アップストリームが経路を拒否した後になって初めて、古い ARIN ソースのルートオブジェクトを発見すべきではない。
クロスソース競合は第八である。本稿は IRR データベースの断片化を中心に据えてはいないが、ARIN 側のガバナンスは、プライベートフィルタが ARIN オブジェクトを第三者ソースと比較するかもしれないことを認識すべきである。ARIN ソースのデータが最新で検証済みである場合、事業者はそれを好むことができる。ARIN ソースのデータが沈黙している場合、古い外部オブジェクトがその空白を埋めるかもしれない。沈黙もまた力を配分し得る。
小規模保有者のユーザビリティは第九である。もしルートオブジェクトクリーンアップが専門知識を必要とするならば、大規模保有者がデフォルトで勝つ。一般的なタスクは理解可能であるべきだ。すなわち、オブジェクトの作成、プロバイダとの代理登録、陳腐化した発信元の廃止、移転準備、プロバイダ変更の処理、クラウドインポートとの調整、権限の回復。設計テストは、全国キャリアだけでなく、小規模 ISP とカリブ海の事業者を含むべきである。
責任のミスマッチは第十である。誤ったルートオブジェクトアクションの下流コストは、レジストリの直接的なエクスポージャーを超えるかもしれない。そのミスマッチは無制限の責任を要求するものではない。それは、より狭い裁量、より良いログ、より速い訂正、注意深い状態言語を要求する。権力と責任が分岐するとき、透明性と制約がより多くの仕事をしなければならない。
これらの監視点は一つの前提を共有する。すなわち、ルートオブジェクトガバナンスは、陳腐化したプライベートアクターや広範な制度の裁量に資本を統治させることなく、ルーティング可能性の主張を判読可能にすべきである。インターネットは、あるプレフィックスに対してどの発信元が期待されるかを述べる公的な方法を必要としている。フィルタフィードの中に隠された財産裁判所を必要としているのではない。
結論:台帳に隣接する制度的配管
ルートオブジェクトは、周囲のシステムと比べて小さく見えるため、嘲笑されやすい。それはルーティングレジストリの一行であり、ファイバー経路でも、クラウドリージョンでも、裁判所命令でも、暗号儀式でもない。しかし、市場は他者が信じる小さなレコードから構築される。IPv4 が希少な資本であり、ルーティング可能性が私的に引き受けられている ARIN 地域において、ルートオブジェクトは、アドレスブロックが安価にまたは摩擦を伴って運用世界を移動するかを決定し得る。
正しい制度的応答は、オブジェクトを所有権に膨らませることではない。それは越権を招き、ルーティングポリシーと財産法を混同させるだろう。また、オブジェクトを無害な書類として退けることでもない。それは、フィルタ、ルートサーバ、アップストリーム、クラウド、データセンターがレコードを受入に変換する方法を無視するであろう。オブジェクトは、それがなったものとして統治されるべきである。すなわち、ルーティング可能性主張のための台帳に隣接する配管として。
良い配管は退屈である。それは、既知の圧力の下で、漏れなく、正しい信号を正しい場所に運ぶ。ルートオブジェクトにとって、それは現在の権限、範囲を定めた委任、認証されたメンテナンス、有用な場合は見える状態、結果を伴う削除前の通知、移転後の廃止、期限切れする緊急経路、紛争を生き延びる監査証跡、システムが改善しているかどうかを示すメトリクスを意味する。それはまた謙虚さを意味する。すなわち、ARIN は証拠層を狭く強く保つべきであり、プライベートネットワークは自身のルーティングポリシーを保持する。
より深い教訓は制度的なものである。番号リソースの調整は、それが一意性、相互運用性、ルーティングに隣接する継続性、セキュリティ表明、制御の証明、最小限の共通セマンティクスを保護するときに擁護可能である。それは、記録保持者が、レコードが記述することを意図された現実をレコードが作り出すと考え始めるときに危険になる。ルートオブジェクトは、現在の認可された運用の話が局所的に検証可能になるのを助けるべきである。昨日のプロバイダ、陳腐化したアカウント、隠されたソース選択、または広範な裁量が明日の到達可能性を決定することを許すべきではない。
売却者の/20、小規模 ISP の/22、大学のレガシーブロック、クラウド顧客の移行プレフィックス、あるいはカリブ海事業者の顧客経路にとって、その区別は哲学的ではない。それは、使用可能な資本と、まずプライベートな受入を通じて嘆願しなければならない資本との違いである。それゆえ、ARIN のルートオブジェクトガバナンスは、ルーティングセキュリティの控えの間ではない。それは、公共インターネットの経済学が決済される静かな場所の一つである。

