概況

  • この主題における NRS の役割は、アドボカシー、調査、キャンペーン、会合、および権限を与えられた会員の代表です。運用行為は RIR、認定登録サービス事業者、保持者、借り手、ネットワーク運用者に属します;NRS の立場を引用することは、NRS がそれらを実行する証拠でも、BTW による承認でもありません。
  • リースまたは委託されたリソースは、1つの認識された保持者と1つの割当履歴を保持すべきです。運用使用記録は、定義された範囲を誰が、どの目的で、どのプロバイダを介して、どの期間使用できるかを追加します;基礎となる権利を黙示的に移転したり、2番目の権威あるリソースを作成したりしません。
  • 役割は明示的である必要があります。保持者、委託先、技術運用者、登録サービスプロバイダ、RPKI 運用者、リバース DNS 運用者、および不正使用またはセキュリティ連絡先は異なる組織である可能性があります。各々はその機能に必要な権限のみを受け取り、どの役割ラベルも、管理条件が付与していない権限を暗示すべきではありません。
  • すべての委託には、正確な範囲、開始、期限、更新ルール、許可された再委託、ルーティング権限、連絡義務、セキュリティ取り決め、終了結果、および承認の証拠が必要です。無期限または曖昧に境界付けられたエントリは、ネグレクトにより永続的に見えるのではなく、強化されたレビューを受けるべきです。
  • 公開 RDAP データは、個人データ、契約、認証証拠を保護しながら、業務、不正使用、説明責任の質問を責任者に指示するのに十分な情報を明らかにすべきです。保護された記録は紛争と合法的なレビューをサポートします;公開透明性はすべての商業条件を暴露する要求ではありません。
  • RPKI、ルーティング、リバース DNS、および登録は別々のコントロールサーフェスです。委託先は、保持者を変更したり、リソースを移転したり、すべての暗号化および命名機能を制御したりする権限を受け取らずに、ルートを発信することを許可される場合があります。記録はそれらの境界を示し、その終了を調整する必要があります。
  • 期限切れと失効は安全でなければなりません。事前通知、依存関係チェック、限度のある猶予期間、ルートと認可の停止、連絡先の更新、保存された証拠、および独立したレビューにより、商業上の不一致が停止または無許可の永久的な取得のいずれかになるのを防ぎます。
  • 階層化された記録は、責任が強制される場合にのみセキュリティを向上させます。連絡先の欠落、偽の保持者、隠されたチェーン、古い条件、説明のないルート発信元の変更、および繰り返される不正使用は、保持者の権利と影響を受けていないサービスを維持しながら、修正と比例的な制限を引き起こすべきです。

役割の境界は証拠の一部である

NRS 自身の明示された位置付けは、この分析の最初の境界を提供します。それは、分散化、出口、移植性、冗長性、および裁量的なチョークポイントの削減を推進する会員制およびアドボカシー組織です。Lu Heng の NRS の存在理由に関するノートは、NRS が製品を販売したり、商業的ソリューションを実装したりしないと直接述べています;その役割はガバナンスの方向性を変えることです。したがって、NRS は研究を公開し、キャンペーンを組織し、影響を受ける事業者を招集し、会員を支援し、権限を与えた組織を代表することができます。その代表を他の誰かに対するレジストリ権限に変えてはなりません。

実装層は別です。RIR、認定登録サービス事業者、保持者、借り手、およびネットワーク運用者は、この記事に関連する権威あるレジストリ記録、割当、移転認識、RPKI または RDAP 運用、技術的フェイルオーバー、拘束力のあるレビュー、破産行為、または法的に強制された救済の責任を引き続き負います。NRO は5つの RIR を調整します;それは NRS の別名ではありません。IANA 番号付けサービスは定義された調整役割を実行します;それは NRS の部門ではありません。裁判所および合法的な公的機関は、その法制度が実際に与える権限を保持します。

BTW の役割も別です。BTW は観察可能な構造を報告し、一次情報源を確認し、提案を提案としてラベル付けします。NRS のアドボカシーを事実に変換したり、NRS に代わってキャンペーンを行ったり、一致から権限を推測したりしません。この現実-ではない-アドボカシーの規律が、この記事の機関名詞を重要にします:NRS からの勧告、RIR による行為、裁判所からの命令は3つの異なるものです。

記録は、それが知っている以上を決定することなく現実を記述すべきである

レジストリ記録の第一の義務は、それが代表すると主張する権限についての正確さです。保持者を識別する場合、ユーザーはその組織が依然として認識された基礎的権利を持っているかどうかを推測する必要はありません。運用連絡先を識別する場合、ユーザーはその連絡先がリソースを販売または移転できると推測すべきではありません。すべての関係を1つの名前に圧縮するよりも精度が重要です。

リース使用は一般的に経済的役割と技術的役割を分離します。保持者は、固定期間アドレス範囲を利用可能にすることができます。ユーザーは自分のネットワークを通じてそれをアナウンスするか、ホスティング会社に依頼することができます。セキュリティプロバイダはルート認可を維持することができます。保持者はリバース DNS 制御を保持するか、ユーザーがそれを受け取る場合があります。不正使用の苦情は専門の対応者に送られる場合があります。請求は別の仲介者を通過する場合があります。

単一の組織フィールドはそれらの違いを伝えることができません。保持者をユーザーに置き換えると、記録は最新に見えますが、継続性を偽造します。保持者のみを示すと、法的履歴は保存されますが、インシデントレポートは即時の制御を欠く当事者に送られます。役割境界なしですべての関連企業をリストすると、ノイズが発生し、プライベートデータが露出する可能性があります。

したがって、レジストリ運用者は記録を型付けされ時間制限のある主張のセットとして扱うべきです。1つの主張は、認識された保持者が誰かを述べます。別の主張は、誰が定義された範囲の運用使用権を持つかを述べます。その他は、誰が登録変更を提出でき、合意された権限の下でルートを発信でき、RPKI サービスを管理でき、リバース DNS を変更でき、緊急の不正使用報告を受け取るかを識別します。記録は証拠がサポートするもののみを主張します。

この抑制は保護的です。レジストリ運用者は、運用使用を記録したという理由だけで商業リースがすべての管轄区域で有効であると判断するわけではありません。それは、主張された関係が認識、説明責任、およびグローバルな一意性に関する独自のルールを満たすかどうかを判断します。プライベート契約が争われている場合、権威ある記録は、権限のあるフォーラムが争われた権利を決定する間、最後の争いのない役割を保存できます。

1つのリソースは階層化された役割を持つことができるが、認識された保持者は1つだけ

保持者は耐久性のあるアンカーです。それは割当または受け入れられた移転履歴において認識された個人または組織であり、該当するルールの下でリソースを保持します。リースはその履歴を置き換えません。委託は並列ブロックを作成しません。すべての時点で、親リソースと各カバーされるサブ範囲は、一貫した1つの保持者系統に解決されなければなりません。

運用ユーザー(ここでは委託先と呼びます)は制限付きの許可を受け取ります。それは、述べられた期間と目的のためにリソースの全部または一部を使用することができます。許可には、ルートのアナウンス、システムまたは顧客へのアドレス割当、連絡先の維持、リバース委任の要求、またはセキュリティサービスの運用が含まれます。各権限は「委託先」という言葉から推測されるのではなく、付与されなければなりません。

技術運用者は、リソースが使用されるネットワーク機器またはサービスを制御する組織です。それは委託先、クラウドホスト、管理ネットワーク会社、または保持者自身である可能性があります。障害やハイジャックの際にそれを識別することは重要ですが、技術的制御はそれ自体で保持者権利を確立しません。

登録サービスプロバイダは指示を認証し、承認された変更を提出します。それはどちらかの当事者にサービスを提供することにより、保持者または委託先にはなりません。RPKI 運用者は別の権限の下で暗号サービスを管理します。リバース DNS 運用者は委任を維持します。不正使用対応者は報告を受け取り、対応します。法的連絡先は関係に関する通知を処理します。

1つの組織が複数の役割を占めることができます。記録はそれでも役割を明確に保つべきです。権限の開始と終了が異なるためです。リース期限が切れると、委託先の使用は終了するかもしれませんが、以前の技術運用者は短いシャットダウン義務を継続するかもしれません。登録プロバイダは変わらないかもしれません。明確な役割エントリは、保持者履歴を書き換えることなくその移行を可能にします。

保持者の権利には明示的な保護コアが必要

より良い運用説明責任は、保持者が開示が没収になることを合理的に恐れる場合、政治的に失敗します。レジストリ運用者は、別の保持者変更決定なしに委託が変更できないコアを定義すべきです。これには、認識された保持者アイデンティティ、割当または移転履歴、リソースの安定した識別子、独立した通知を受け取る権利、サービスプロバイダを交換する権利、および有効な委託が終了したときに運用制御を回復する権利が含まれます。

保持者はまた、既存のポリシーと法律に従い、委託の外部範囲を設定する権限を保持します。正確な範囲、期間、および許可された使用を承認します。サブ委任、ルート発信元変更、リバース DNS 変更、またはホスト型 RPKI が許可されるかどうかを決定します。共通ルールに違反する行為を承認することはできませんが、レジストリ運用者は保持者の許可を超えて委託先の権限を拡大すべきではありません。

これらの保護は不在の保持者を免除しません。保持者は検証された連絡先を維持し、重要な使用を監視し、委託先が失敗したときに対応し、権限の証拠を保存しなければなりません。意図的に不透明な取り決めに対して責任を否定しながら家賃を徴収することはできません。危険な記録を修正する繰り返しの拒否は、比例的な制限または保持者のコンプライアンスレビューを正当化し得ます。

保護コアは、すべてのプライベート条項をレジストリを通じて執行可能にするわけでもありません。保持者は料金または損害の契約上の請求を持つかもしれませんが、レジストリ運用者は請求書が争われているという理由だけで運用使用を停止すべきではありません。レジストリの行動は定義された権限、セキュリティ、およびステータスルールに従います。プライベート救済は選択されたフォーラムで利用可能なままです。

最も強力な保護手段は決定の分離です。委託使用の終了は運用使用層を変更します。リソースの移転は保持者層を変更します。連絡先の修正は連絡先層を変更します。それらを1つの曖昧な「更新」に組み合わせると、偶発的または戦略的な権利喪失を招きます。

委託先は現実的で境界のある権限を必要とする

説明責任には、行動できないユーザーを指名する以上のものが必要です。稼働中のネットワークに責任を持つ委託先は、記録を正確に保ち、インシデントに対応し、契約に含まれる機能を管理する権限を必要とします。そうでなければ、緊急の修正はすべて遠くの保持者を通過しなければならず、パブリックエントリは装飾的になります。

委託は、委託先が直接提出できる指示を明記すべきです。低リスクの連絡先更新、ネットワーク運用詳細、および不正使用対応変更は、カバーされる範囲内で許可される場合があります。ルート発信元または RPKI 変更は、より強力な承認ルールを必要とする場合があります。保持者アイデンティティ、範囲拡大、プロバイダ交換、および移転は、別の委任が明示的かつ合法的にカバーしない限り、委託先の一方的な権限の範囲外にとどまるべきです。

承認は、高影響の行為に対して2者を要求することができます。たとえば、委託先が新しいルート発信元を提案し、保持者が独立したチャネルを通じて確認します。別の取り決めでは、長年のエンタープライズ委託先は、保持者が即時通知と緊急停止権を受け取る間、発信元を管理する境界のある権限を受け取る場合があります。正しいモデルはリスクに依存しますが、可視化されなければなりません。

委託先には義務もあります。最新の運用および不正使用連絡先を維持し、重要な変更を報告し、無許可の再委託を防止し、インシデント対応に協力し、秩序ある返却を準備します。自らを保持者として表現したり、リソースを自己のものとして担保に入れたり、下流顧客から終了日を隠したりしてはなりません。

通知とレビューの権利は委託先も保護します。保持者は、契約と共通ルールが通知を要求する場合、争われた申し立てに基づいて重要なネットワークを即座に終了できるべきではありません。狭い緊急停止は差し迫った害に対処し、迅速な独立レビューが続きます。境界のある権限は、黙示的に所有権に成熟することなく、正当な運用をサポートするのに十分信頼できるものであるべきです。

範囲は範囲、役割、依存関係まで正確でなければならない

委託エントリは、カバーされるリソースから始まります。アドレスの場合、正確なプレフィックスまたはプレフィックスのセットを識別します。より大きなブロックが分割される場合、各サブ範囲は親に収まり、別のアクティブな委託と重複してはなりません。自律システム番号の場合、エントリは番号と付与された特定の運用権限を識別します。

範囲にはサービスも含まれます。ネットワーク内でアドレスを割り当てる許可は、自動的に任意のネットワークを通じてカバーするプレフィックスを発信する許可ではありません。ルートを発信する許可は、自動的にルート認可を作成したり、公開連絡先を変更したり、リバース DNS を委任したりする許可ではありません。各依存関係は明示的な選択を受け取ります。

目的は、リスクや説明責任を変える場合に重要になります。保持者は、エンタープライズネットワーク、クラウドサービス、接続顧客、研究プロジェクト、または移行プールのために範囲を委託する場合があります。説明は、マーケティングコピーやエンドユーザーの監視になることなく、有用であるべきです。幅広いラベル(「一般的なネットワーク運用」など)は、明確な役割と連絡先と組み合わせることで十分な場合があります。

記録には開始時刻、予想されるアクティブ化時刻、終了時刻が必要です。契約署名と実際の運用制御を区別します。アクティブ化がルートとセキュリティチェックに依存する場合、それらが完了するまでエントリは保留中のままにできます。期限切れ時には、権限は気付かれない日付フィールドではなく、定義されたシーケンスを通じて終了します。

地理は運用上関連する場合に記録されるかもしれませんが、アドレス自体から推測されてはなりません。委託は複数の国またはエニーキャストサービスにサービスを提供できます。場所は、リソースに誤った領土的アイデンティティを作成するのではなく、適切なレベルでネットワークまたは法的コンテキストを記述するべきです。

正確な範囲により部分的な修正が可能になります。1つのサブ範囲または依存関係が争われた場合、レジストリ運用者はそれを分離し、影響を受けていない使用をそのままにしておくことができます。曖昧なポートフォリオ全体のエントリは、すべての問題をオールオアナッシングの紛争に変えます。

条件は時間と終了を観察可能にするべき

アクティブな期間は、委託と移転の最も重要な違いの1つです。記録は、権限がいつ開始されたか、いつ終了すると予想されるか、更新に新しい確認が必要かどうかを示すべきです。終了もレビューも対応する保持者もないエントリは、隠れた永久的な処分になる可能性があります。

長い取り決めは正当かもしれません。それらには、保持者と委託先の連絡先、運用範囲、および依存関係制御の定期的な再確認を含めるべきです。再確認は、リソースを没収したり、プライベート価格を再交渉したりする機会ではありません。それは、記録された関係がまだ存在するという証拠です。

更新ルールは偶発的な停止を避けるべきです。レジストリ運用者は、独立して検証された連絡先に事前通知を送信できます。両当事者が確認した場合、古い期間が終了する前に次の期間が記録されます。保持者が確認したが委託先が沈黙している場合、使用は無期限に継続すべきではありません。委託先が確認したが保持者に連絡が取れない場合、短い保護期間とレビューが、保持者のコアを維持しながら即時の害を防ぐ可能性があります。

早期終了には根拠と発効時間が必要です。相互終了は簡単です。保持者による終了は、委託で約束された権限と通知に従います。委託先の終了は安全な返却を可能にするべきです。重大なセキュリティ害のための終了は加速されるかもしれませんが、緊急行動には証拠、狭い範囲、および迅速なレビューが必要です。

プライベートな商業条件は一般的に保護されたままです。一般は、権限が存在すること、その大まかな範囲、およびいつ期限切れになるかを知る必要があります;通常、価格、サービス credit、または機密の顧客コミットメントを必要としません。レビュアーは、権限を決定する条項への保護されたアクセスを必要とする場合があります。公開ステータスと保護された証拠を分離することで、契約全体を公開することなく説明責任が可能になります。

連絡先記録は、単なる組織ではなく機能に従うべき

組織名はインシデント対応チャネルではありません。記録は、ネットワーク運用、ルーティングセキュリティ、不正使用、登録権限、法的通知、および継続性のための機能的な連絡先を識別するべきです。一部の機能は連絡先を共有できますが、責任はラベル付けされ、テスト可能なままです。

連絡先には保証レベルが必要です。公開の不正使用メールボックスは発見可能で使いやすいものにできます。ルート発信元変更を承認できる資格情報は、より強力な認証を必要とし、公開すべきではありません。緊急復旧連絡先は保護された形式で保持され、定期的にテストされる場合があります。すべての連絡先を同じように扱うと、センシティブなアクセスを露出するか、通常のレポートにアクセスできなくなります。

保持者と委託先はそれぞれ、高影響の変更に対して独立した通知を受け取るべきです。侵害された委託先アカウントは、保持者の警告をリダイレクトできないようにするべきです。侵害された保持者アカウントは、運用者に到達することなくアクティブなネットワークをサイレントに無効化できないようにするべきです。別々のチャネルは、共謀をより困難にし、エラーを検出しやすくします。

応答期待値は機能ごとに公開されるべきです。不正使用報告は定義された期間内に確認を必要とする場合がありますが、アクティブなルートハイジャックは即時のエスカレーションを必要とします。レジストリ運用者は、単にメールアドレスが存在するかどうかではなく、到達可能性と行動を測定するべきです。

個人データは最小限にすべきです。ロールアカウントは、監視され、背後に保護された指名されたエスカレーション連絡先がある場合に推奨されます。公的エントリは、自宅住所、身分証明書、またはプライベート電話番号を開示する必要はありません。個人事業主が責任運用者である場合、レジストリ運用者はプライバシーを保護する連絡先転送と検証された保護詳細を提供するべきです。

古い連絡先はステータス障害です。繰り返しのバウンス、未回答の確認、または責任スタッフの退職は、修正通知をトリガーし、リスクが持続する場合は高影響の変更に対する制限をトリガーするべきです。それは自動的に保持者権利を消去したり、正当な使用を終了したりすべきではありません。

公開ビューと保護ビューは異なる説明責任のニーズに役立つ

公開ビューは、実用的な質問に答えるべきです:どのリソースが関与しているか、開示ルールが許す範囲で認識された保持者は誰か、委託使用がアクティブかどうか、誰が運用しているか、誰が不正使用を処理しているか、どの登録プロバイダがサービスを提供しているか、いつ委託がレビューまたは期限切れになるか。セキュリティ資格情報を明らかにすることなく、信頼に実質的に影響するステータスを公開するべきです。

保護ビューは、権限証拠、検証された代表者、完全な契約参照、認証結果、プライベートエスカレーション連絡先、紛争資料、および詳細な法的通知を保持できます。アクセスは役割と目的に従うべきです。すべてのアクセスと開示の決定には、耐久性のある記録とレビュー経路が必要です。

この分割は2つの極端を拒否します。完全な秘密は、ネットワークと被害者が責任運用者を見つけることを不可能にします。完全な公開は、個人、商業条件、および攻撃対象を露出します。階層化された開示は、レジストリを公開の顧客名簿に変えることなく、質問を導くことができます。

異なる要求者は、異なる合法的な詳細を受け取る場合があります。通常のユーザーは公開の運用連絡先を見ます。アクティブなインシデントに対応するネットワークは、検証されたエスカレーションパスを受け取る場合があります。独立したレビュアーは保護された権限証拠を検査できます。裁判所は該当する法的経路を通じて開示を求めることができます。レジストリ運用者はカテゴリと決定基準を公開するべきです。

公開ステータスは理解可能でなければなりません。「委託使用アクティブ」「返却保留中」「セキュリティホールド」「レビュー中」は定義された効果を持つべきです。ステータスは、紛争が存在するという理由だけで不正行為を暗示すべきではありません。過去のエントリは、委託が終了したことを示しつつ、古い個人データを制限できます。

開示の質は正当性の一部です。保持者と委託先は、何が公開されているかを見て、事実誤認を修正し、不釣り合いな露出に異議を唱えることができるべきです。不正使用報告者は、リストされたチャネルが失敗したときを示すことができるべきです。両方の利害は説明責任設計に属します。

RDAP は役割を崩壊させずに表現すべき

Registration Data Access Protocol は、番号登録情報を提示する構造化された方法を提供します。RFC 9083は RDAP の JSON 応答を定義し、RFC 7480は HTTP を介したその使用を説明します。階層化されたレジストリ記録は、構造化されていない1つの備考に商業的な物語を置くのではなく、明確なエンティティ、役割、ステータス、イベント、およびリンクを使用するべきです。

応答はリソースオブジェクトを安定に保つべきです。保持者は保持者役割を通じて関連付けられます。委託先、技術運用者、不正使用連絡先、登録プロバイダ、およびセキュリティ運用者は個別の関連付けを受け取ります。イベントは委託開始、最終確認、計画された期限切れ、および終了を識別できます。リンクは許可されたユーザーをプロバイダサービスまたは保護されたリクエストチャネルに導くことができます。

役割語彙は文書化され、相互運用可能でなければなりません。1つのプロバイダが「借り手」を使用し、別のプロバイダが「顧客」を使用し、別のプロバイダが実質的に異なる権限のために「運用者」を使用する場合、ユーザーは記録を比較できません。制御されたコアは拡張を許可しつつ、各拡張がその効果を述べ、可能な場合には共通の責任にマップすることを要求できます。

紹介と発見は依然として1つの権威ある答えに導く必要があります。RFC 9224は権威ある RDAP サービスの発見に対処します。プロバイダ固有の詳細は分散されるかもしれませんが、ユーザーはどのエンドポイントが答えるかに応じて互換性のない保持者または委託状態に遭遇すべきではありません。

編集は、誤った不在を避けるために十分に明示的であるべきです。応答は、保護された連絡先が存在することを述べ、詳細を露出せずに説明責任のあるリレーを提供できます。責任者はいないと暗示すべきではありません。RFC 7481で説明されているアクセス制御は差別化されたサービスをサポートしますが、ガバナンスは誰が資格があり、拒否がどのようにレビューされるかを定義しなければなりません。

機械可読性は、エントリが最新である場合にのみインシデント対応に役立ちます。プロバイダは自動化された期限切れチェック、連絡先検証、および競合検出をサポートしつつ、重要な変更は許可された人間または組織に帰属するままにすべきです。

RPKI 権限は使用に関連するが同一ではない

RFC 6480で説明されている RPKI アーキテクチャは、インターネット番号リソースに関連付けられた検証可能なステートメントをサポートします。委託は委託先のネットワークにルートを発信することを要求するかもしれませんが、この実用的なニーズは、誰が認証局を運用するか、誰がルート認可を作成できるか、期限切れ時に何が起こるかという質問に答えません。

記録は、すべてのアクティブな委託範囲の RPKI 取り決めを識別するべきです。保持者は制御を保持し、承認された発信元を認可するかもしれません。ホスト型サービスは共同指示に基づいて行動するかもしれません。委託先は委任された取り決めを通じて境界のある権限を受け取るかもしれません。各モデルは異なる復旧と終了の結果を持ちます。

ルート権限は必要以上に広くすべきではありません。委託先が識別された自律システムから特定のプレフィックスを発信する場合、認可はその範囲を反映できます。1つのサービスを運用する許可は、無関係な発信元またはより具体的でないカバー範囲を認可する許可になるべきではありません。変更は独立した通知を通じて保持者と委託先の両方に届くべきです。

期限切れ計画は、依拠当事者の観察とルート継続性を考慮しなければなりません。認可を早期に取り消すと、正当なルートが無効になる可能性があります。無期限にアクティブのままにすると、委託先の制御が終了した後もリスクが保存される可能性があります。返却計画は、アクティブ化が開始される前に、シーケンス、観察、および緊急ロールバック境界を述べます。

侵害は迅速な行動を要求します。無許可の発信元を観察する当事者は、調整する権限を持つセキュリティ連絡先に到達するべきです。一時的なホールドは、既存の安全なサービスが続く間、さらなる変更を防ぐことができます。復旧は、侵害されたイベントを消去するのではなく、新しい記録された決定を使用します。

RPKI 証拠は説明責任を強化しますが、すべてのプライベート権利を証明するわけではありません。有効な暗号オブジェクトは、定義された権限が認識された取り決めを通じて行使されたことを示します。それ自体ではリース紛争を決定したり、発信元保持者を作成したりしません。法的および運用層は接続されたままでありながらも明確です。

ルーティング運用、登録、およびリバース DNS は別々のスイッチを必要とする

ルーティングは、パスを選択して伝播するネットワークによって実行されます。登録記録は権限と連絡先を識別するのに役立ちますが、すべてのルーターに命令するわけではありません。したがって、階層化されたレジストリ記録は、誰が委託範囲を発信することが期待され、例外がどのように処理されるかを述べるべきであり、レジストリが到達可能性を制御すると主張するべきではありません。

観察された発信元は記録された権限と比較できます。新しい説明のない発信元は、自動没収ではなく調査をトリガーするべきです。マルチ発信元運用、エニーキャスト、トラフィックエンジニアリング、および移行はすべて正当であり得ます。関連する質問は、保持者と委託先が記録された条件の下で運用を許可したかどうかです。

リバース DNS は別の明確な機能です。保持者は管理をユーザーに委任したり、保持したり、専門家を使用したりできます。運用使用エントリは責任運用者と返却計画を識別します。リースを終了せずにリバース委任を復元しないと、名前が古くなったり、以前のユーザーに残留制御を与えたりする可能性があります。

登録サービス権限も独立しています。委託先は、保持者のプロバイダを通じて運用連絡先を更新できますが、そのプロバイダを交換する権限は得られません。あるいは、当事者は別の資格情報と権限を持つ両方にサービスを提供するプロバイダを選択できます。プロバイダは、各変更を承認したのが誰の指示かを示さなければなりません。

これらの分離はカスケードリスクを低減します。請求に関する紛争は、自動的にルート権限、リバース DNS、およびすべての連絡先を一度に撤回すべきではありません。確認された資格情報の侵害は、ルーティングが安定している間、1つの変更チャネルの停止を正当化するかもしれません。各コントロールサーフェスは、それに適した狭い応答を受け取ります。

運用使用記録は、依存関係計画を通じてサーフェスを結び付けます。それはそれらを崩壊させません。それが、レビュアーが何が失敗し、何が安全であり、どの当事者が行動する権限を持っていたかを説明できる方法です。

不正使用説明責任には到達可能な運用者と回答可能な保持者が必要

委託リソースは、正式な保持者が苦情を吸収し、即時ユーザーは隠れたままになることを期待する行為者にとって魅力的な場合があります。信頼できる記録はその戦略をより困難にします。それは到達可能な運用不正使用連絡先を提供し、委託先が繰り返し失敗した場合に行動する保持者の義務を維持します。

不正使用連絡先は、報告を確認し、有用な証拠を要求し、述べられた時間内に処分を伝達するべきです。自動ハラスメントおよびサポートされていない大量の苦情から保護されるべきです。報告の質と応答の質の両方を測定する必要があります。

保持者は、委託先によって送信されたすべてのパケットに対して自動的に責任を負うわけではありません。それは、関係の選択と監視、正確な記録の維持、および重大な違反が確立された場合の留保された権限の行使に対して責任があります。委託先は、その制御内のネットワークと顧客に対して責任があります。技術運用者は、実際に実行できる行動に対して責任があります。

エスカレーションは段階的であるべきです。応答がない場合は連絡先の確認につながります。繰り返し解決されない報告は強化されたレビューにつながります。調整された悪意のある使用の証拠は、さらなるサブ委任または高リスク変更の制限を正当化する可能性があります。差し迫った害は狭い緊急行動をサポートできます。すべての使用の終了は、権限とレビューを必要とする深刻な救済策です。

透明性レポートは、被害者を指名したり、証明されていない告発を公開したりすることなく、量、応答時間、修正率、および結果を示すことができます。持続的に不透明なチェーンまたは到達不能な運用者を持つプロバイダは、資格の結果に直面するべきです。

目的は応答制御であり、リース自体が悪質であるという仮定ではありません。多くの委託取り決めは、正当なホスティング、エンタープライズネットワーク、およびサービス継続性をサポートします。正確な役割は、証拠がこれらの使用を意図的な隠蔽から区別することを可能にします。

サブ委任は、迷路ではなく可視のチェーンのままであるべき

委託先は下流顧客にサービスを提供する必要があるかもしれません。すべてのサブ委任を禁止すると、正当なビジネスが不可能になる可能性があります。無制限の隠れたチェーンを許可すると、責任を追跡できなくなる可能性があります。保持者の条件は、サブ委任が許可されるかどうか、どの深さまで、どの報告義務の下で述べるべきです。

各重要なサブ委任は、カバーされる範囲、即時の委任者、下流ユーザー、技術運用者、連絡先、および期間を識別します。チェーンは親範囲内に収まり、親権限より後に終了してはなりません。下流当事者は、親委託先が欠けている権限を受け取ることはできません。

公開詳細は釣り合いが取れています。小さなエンドカスタマー割当は、完全な商業チェーンの公開ではなく、運用連絡先を必要とする場合があります。独立したルーティングと別の不正使用処理を持つ大きなサブ範囲は、より明確な識別を必要とします。しきい値は単にアドレス数ではなく、制御と影響に従うべきです。

保持者はチェーンのルートで可視のままです。即時の委託先は、ルールが直接義務を割り当てない限り、下流コンプライアンスに対して回答可能なままです。プロバイダは、すべての顧客を公開することなく、観察されたアドレスから責任ある現在の運用者までトレースできるべきです。

終了は秩序ある方法で伝播します。親は自身の期間を超える下流期間を約束できません。事前通知は影響を受ける運用者に届くべきです。返却計画は、ルート、認可、リバース DNS、および顧客移行を考慮します。緊急行動は、すべての下流顧客を無効にする代わりに、1つの有害なサブ範囲を分離できます。

チェーンの深さと変動はリスク信号です。急速に変化するユーザー、繰り返し到達不能な連絡先、または説明のない再割り当ては、より強力な保証を必要とするかもしれません。それらは自動的に不正行為の証明ではありません。証拠、理由、およびレビューは引き続き必要です。

終了は、停止を人為的に作り出すことなく権限を返却しなければならない

委託使用の終了は、権利と継続性が衝突する場所です。保持者は制御が戻ることを期待します。委託先は、警告なしに消えることができないサービスと顧客を運用する場合があります。レジストリ運用者はプライベートな商業紛争を決定すべきではありませんが、一貫したリソース状態と安全な移行を維持しなければなりません。

返却計画はアクティブ化時に合意されます。それは通知期間、最終連絡先更新、ルート変更、RPKI 行動、リバース DNS ハンドオフ、データエクスポート、証拠保持、および各許可の効果的な終了を指定します。当事者は商業詳細を変更できますが、共通の最小要件は記録と第三者を保護します。

通常の期限切れ時には、事前通知が両側と技術運用者に送られます。委託先はシャットダウンまたは移行準備を確認します。保持者は次の運用状態を確認します。両方が準備できれば、依存機能が順番に変更され、運用使用ステータスは領収書で閉じられます。

意見が一致しない場合、急激な変更が深刻な害を生み出す場合、最後の争いのない状態が短い制限された期間続くかもしれません。その継続はリースを更新したり、リソースをユーザーに授与したりしません。それは、権限のある決定が狭い紛争に対処する間、安全を維持します。料金と損害は適切なフォーラムに残ります。

緊急終了は異なります。確認されたハイジャック、危険な資格情報の侵害、または意図的な悪意のある使用は即時の制限を必要とするかもしれません。行動は影響を受ける範囲または機能をターゲットにし、証拠を保存し、できるだけ早く当事者に通知し、迅速な独立レビューを受けるべきです。

返却後、以前の委託先の資格情報は取り消され、公開連絡先が変更され、残っている認可がチェックされます。過去のエントリは運用責任の期間を示します。保護された証拠は、後のインシデントを解決するのに十分な期間残ります。クリーンな返却は、測定されたプロバイダおよび保持者の義務であり、非公式な好意ではありません。

倒産と消失には継続ルールが必要

どちらの当事者も失敗する可能性があります。保持者は解散したり、倒産したり、唯一の権限のある代表者を失ったりする可能性があります。委託先はサービスを放棄する可能性があります。プロバイダは到達不能になる可能性があります。階層化された記録は、すべての他の役割が失敗したと仮定せずに、失敗した役割に対応することを可能にします。

委託先が姿を消した場合、保持者は、連絡失敗の証拠と制限された待機期間の後、合意された返却をアクティブ化できます。技術運用者と下流ユーザーは可能な限り通知を受け取ります。既存のルートと認可は制御されたシーケンスで引退されます。イベントは保持者移転にはなりません。

保持者が倒産した場合、委託先は自動的に保持者にはなりません。認識された公職者または権限のある決定が、該当するルールに従って保持者の権利を制御する場合があります。運用使用は、価値と公共サービスを維持するために承認された場合、一時的に継続できます。記録は根拠とレビュー日を識別します。

重要なサービスがアクティブなまま両当事者に連絡が取れない場合、レジストリ運用者は所有権よりも狭い継続権限を必要とします。それは最後の安全な状態を保存し、高影響の変更を凍結し、資格のある代表者を探すことができます。管理的便宜を通じてリソースを永続的に授与することはできません。

プロバイダの障害は最も破壊的でないべきです。ポータブルな記録と独立した連絡先により、別の資格のあるプロバイダが保持者や委託先を変更せずにサービスを引き継ぐことができます。共通の権限記録は置換を記録し、依存関係をテストします。

すべての継続介入は期限切れになるか、確認を受けます。例外的な状態は忘れられた恒久的な取り決めになるべきではありません。公開ステータスは保護された倒産詳細を露出させずに不確実性を伝え、独立したレビュアーはレジストリ運用者がその限られた役割を超えたかどうかを調べることができます。

紛争は争われた層を分離すべき

保持者は、委託先が範囲を超えたと主張するかもしれません。委託先は早期終了を主張するかもしれません。第三者は以前の移転を主張するかもしれません。不正使用報告者は連絡先の正確性に異議を唱えるかもしれません。これらの紛争は異なる層に関係し、すべて同じ凍結を生み出すべきではありません。

最初のステップは、争われた主張を特定することです:保持者アイデンティティ、委託権限、運用行為、連絡先の正確性、ルーティング権限、セキュリティサービス、または支払い。レジストリ運用者は関連証拠を保存し、影響を受けるフィールドまたは権限のみをマークします。争いのないサービスは、実証されたリスクがそれらをリンクしない限り継続します。

暫定行動はリスクに従います。争われた請求書がルート撤回を正当化することはほとんどありません。無許可の保持者変更の証拠はより強いホールドを正当化します。古い不正使用連絡先は修正を必要とします。アクティブに侵害された RPKI 資格情報は即時のセキュリティ行動を必要とします。理由と期間が記録されます。

決定者は、行為が挑戦されたプロバイダまたはスタッフから独立していなければなりません。当事者は事件の実体、回答の機会、および理由のある結果を受け取ります。ただし、情報源と資格情報の合法的な保護に従います。緊急行動は、後のレビューがタイムリーで効果的である場合にのみ審理に先行できます。

救済策は正しい層を復元するべきです。連絡先を修正したり、委託を狭めたり、資格情報を取り消したり、返却を命じたり、遅延を補償したり、別の権限を通じて保持者変更を認識したりするかもしれません。それらは歴史を黙示的に書き換えるべきではありません。後続のイベントは、何が間違っていて、何が現在支配しているかを説明します。

紛争統計は、当事者を保護しながら繰り返しの弱点を露出できます。多くのケースが曖昧な範囲、到達不能な保持者、またはバンドルされた RPKI から生じる場合、レジストリ運用者は各紛争を孤立した不幸として扱うのではなく、共通の条件を改善できます。

会員説明責任は耐久性のある利害と現在の義務に従うべき

階層化された使用はガバナンスの質問を提起します:誰がレジストリ運用者のガバナンスに参加するか?保持者は認識において耐久性のある利害を持ちます。委託先は現在の運用義務を負います。プロバイダは共通のサービスを実行します。1つのクラスのみを正当と扱うと、ポリシーを歪める可能性があります。

保持者は、リースするか、直接運用するか、プロバイダを変更するかにかかわらず、会員資格を保持するべきです。委託はデフォルトで彼らの投票を移転してはなりません。そうでなければ、商業ユーザーが一時的にのみ使用するリソースに対してガバナンス権力を蓄積し、プロバイダが契約に政治的制御をバンドルする可能性があります。

委託先は、その義務を管理する運用ルールに関する組織化された発言権を必要とします。彼らは別個の構成員または検証された運用会員資格を通じて参加できます。安全装置は、1つの委託範囲がネストされた顧客を通じて無制限の投票を生成するのを防ぐべきです。代表は、保持者タイトルと同一視することなく、実際の責任を反映するべきです。

プロバイダと技術運用者も発言権を必要としますが、自己の資格と懲戒に対する制御権は必要ありません。競合ルール、バランスの取れた会議、またはスーパーマジョリティ要件は、サービス産業が永続的な利点を書くのを防ぐことができます。公共利益およびセキュリティの専門知識は、被害者と依拠ネットワークに影響を与える決定に情報を提供するべきです。

記録は、プライベート契約を公開することなく会員資格の証拠を提供します。それは、ある人物が指定された日付に現在の保持者または重要な委託先を代表することを確認できます。役割が終了すると、関連する地位は公開されたルールに従って変化します。過去の参加は機関の記憶の一部として残ります。

料金も役割に従うべきです。保持者は共通の認識に対して支払い、委託先は運用エントリに対して、プロバイダは資格に対して支払う可能性があります。コストの配分は、1つの商業関係における不払いが別の当事者の権利に対する未公開の制御に変わってはなりません。透明な資金調達は透明な説明責任をサポートします。

データ品質は運用上の真実として測定されるべき

記録品質は、何らかの値を含むフィールドの割合ではありません。それは、正しい当事者に連絡できるか、その権限が最新か、範囲が観察された使用と一致するか、依存関係を安全に変更できるかです。完璧にフォーマットされた古い委託は依然として危険です。

レジストリ運用者は、連絡先の到達可能性、期間確認、範囲重複、親子一貫性、プロバイダ資格、および依存関係ステータスをテストするべきです。観察されたルート発信元は説明できない変更を浮き彫りにできます。RPKI 公開は不一致を明らかにできます。これらの信号は検証をトリガーします;それらは人間または組織の証拠に取って代わりません。

有用な尺度には、期限切れだがアクティブな委託、到達不能な不正使用連絡先、説明のない発信元、期限切れの返却、未解決の依存関係不一致、無許可のサブ委任、修正時間、および緊急行動レビュー時間が含まれます。結果は保持者、委託先、およびプロバイダの責任を区別するべきです。

誤ったインセンティブは避けなければなりません。プロバイダが単にエラーを報告したために罰せられる場合、彼らは隠すでしょう。尺度は検出、タイムリーな修正、および透明な学習を報いるべきです。独立したサンプリングは、報告されたパフォーマンスが現実と一致するかどうかをテストできます。

保持者と委託先は簡単な修正チャネルを必要とします。事実上の連絡先変更は法的紛争を必要とすべきではありません。争われた権限変更はより強いレビューを必要とします。リスクベースの手順は、ルーチンの正確性作業を迅速にしつつ、コア権利を保護します。

歴史的品質も重要です。インシデントを調査するユーザーは、関連時点で誰が運用責任を持っていたかを識別できるべきです。保存は、役割とイベント証拠を維持しつつ、古い個人データを最小限に抑えるべきです。正確な過去は、現在の公正な説明責任をサポートします。

委託されたホスティングシナリオが運用中のモデルを示す

定義された IPv4 プレフィックスを地域のホスティング会社に3年間利用可能にする保持者を考えます。ホスティング会社は2つのネットワーク運用者を通じてビジネス顧客にサービスを提供します。保持者はその登録プロバイダを保持し、専門のホスト型 RPKI サービスを使用します。リバース DNS はホスティング会社に委任されます。

レジストリ記録は保持者と割当履歴を変更せずに保ちます。ホスティング会社を委託先として、2つの期待されるルート発信元、技術運用者、RPKI サービス運用者、リバース DNS 責任、公開不正使用チャネル、保護されたセキュリティ連絡先、開始日、期限、および顧客割当を超えるサブ委任なしの条件を追加します。

ホスティング会社は通常の運用連絡先を更新できます。ルート発信元変更はその要求と独立した保持者確認を必要とします。保持者移転、範囲拡大、および登録プロバイダ交換は利用できません。両当事者は高影響の通知を受け取ります。

2年目に、1つの運用者が変更されます。会社は証拠を提出し、保持者は新しい発信元を確認し、RPKI 運用者は調整されたウィンドウで認可を更新し、古い発信元は引退します。保持者はプレフィックスを再取得または再発行していません;運用層が変更されました。

期限近くに、当事者は更新しないことに決定します。通知は顧客と運用者に届きます。リバース DNS は戻り、ルート認可が変更され、会社はインシデント記録をエクスポートし、その資格情報は期限切れになります。公開ステータスは発効日に閉じられますが、歴史的責任は可視のままです。

請求紛争は裁判所で続きますが、2人の保持者を生み出したり、会社がグローバル記録を人質に取ったりすることはありません。保持者は記録された条件の下で運用制御を回復します。会社は金銭の請求を保持し、返却が合意された権限から逸脱した場合にレビューを受け取ります。階層化された記録は技術的継続性と法的救済が互いに消費し合うのを防ぎます。

基準は隠蔽を拒否しながら有用な委託を禁止すべきではない

健全なレジストリ運用者の立場は「すべてのリースは正当」でも「すべてのリースは悪用」でもありません。それは、取り決めが一意の保持者認識を維持し、説明責任のある運用制御を露出し、ポリシーを尊重し、セキュリティを保護し、安全な返却を提供するかどうかを尋ねます。証拠が答えを決定します。

特定の兆候は強化された精査を正当化します:連絡可能な代表者のいない名目上の保持者、迅速な連続委託、未開示のサブ委任、繰り返される悪意のある使用、不一致のルート発信元、保持者の権限を超える条件、または説明責任からの匿名性を販売するプロバイダ。精査とは検証と比例的な対応であり、自動的な没収ではありません。

他の兆候は自信をサポートします:独立して確認された当事者、正確な範囲、現在の連絡先、制限された期間、明確な依存関係制御、テストされた返却、タイムリーなインシデント対応、および一貫したルート証拠。レジストリ運用者はこれらのプラクティスを隠蔽よりも簡単かつ安価にするべきです。

ルールはラベルではなく実質に適用されるべきです。取引を「ホスティング」「スポンサーシップ」「管理」または「一時的移転」と呼ぶことは、その取扱いを決定すべきではありません。関連する事実は、誰が使用を制御するか、どのくらいの期間、どの権限の下で、保持者に戻る経路は何かです。

プロバイダのインセンティブは重要です。エントリごとに支払われる登録プロバイダは、低品質のチェーンを許容する可能性があります。資格と監査は、役割を検証し、古い記録を修正するかどうかをテストするべきです。使用に対して支払われる保持者は不正使用を無視するかもしれません。留保された義務と執行可能な通知はそれを関与させ続けます。安定性を求める委託先は所有権を誇張するかもしれません。公開役割ラベルと別個の保持者履歴はそのドリフトを防ぎます。

モデルは、正当な委託が隠蔽から区別しやすくなるときに成功します。正確性は、各当事者が持つ権限と委任できない義務を知っているため、商業と執行の両方をサポートします。

階層化された説明責任は、制御を正直に命名することで権利を維持する

中心的な選択は、保持者権利と運用透明性の間ではありません。正確な記録は両方を保護できます。それは1つの耐久性のある保持者を維持しつつ、攻撃を停止したり、ルートを修正したり、不正使用報告に答えたり、今日範囲を返却したりできる当事者を識別します。それは期間と権限を可視にし、一時的な使用をタイトルに変えません。

この設計には規律が必要です。役割は定義された権限を持たなければなりません。期間は期限切れになるか再確認されなければなりません。連絡先は到達可能でなければなりません。公開開示は有用であるが比例しなければなりません。RPKI、ルーティング、リバース DNS、および登録は、混乱することなく調整されなければなりません。紛争は実際に関係する層内に留まらなければなりません。

レジストリ運用者はこれらの義務をグローバルな一意性の一部として扱うべきです。重複割当だけが矛盾の種類ではありません。1人の保持者を指名する記録が、誰もが未公開の当事者がリソースを制御していることを知っている場合も矛盾しています。現在のユーザーを、歴史と基礎的権利が消えたかのように指名する記録も同様です。

階層化は正直な中間を提供します。保持者は保持者のままです。委託先は現実の境界のある権限を受け取ります。運用者と連絡先はその機能に対して責任があります。プロバイダは1つの現在の権威ある状態に服従しながらサービスで競争します。独立レビューは、契約権限も技術的占有もすべてを決定することを許さずに誤りを修正します。

リースおよび委託された使用は、ネットワークが柔軟性を必要とし、IPv4 の希少性が休眠容量をサービスに入れる強いインセンティブを生み出すため、継続します。ガバナンスは否定に依存すべきではありません。それは取り決めを読みやすく、安全で、元に戻せるようにするべきです。明確な役割、条件、および連絡先が、秩序ある返却を可能にする権利を剥奪することなく説明責任を改善する方法です。

実践的なテストは、実装が要求される場合でも述べるのは簡単です:情報に通じた部外者は、耐久性のある保持者を識別し、責任ある現在の運用者を見つけ、運用権限の制限と期間を理解し、安全な制御がどのように戻るかを判断できるべきです。これらの答えのいずれかが欠けている場合、他のネットワークが依存するリソースに対して記録はまだ十分ではありません。

NRS と BTW の役割ソース