Cloudflareが新興インターネットルーティングセキュリティ標準ASPAのサポートを開始
Cloudflareは、インターネットルーティングの安全性を向上させる新たな暗号化標準ASPA(Autonomous System Provider Authorization)のサポートを開始した。
キーポイント
ASPA標準の導入
Cloudflareが新たな暗号化標準ASPAのサポートを発表し、インターネットルーティングの安全性向上に取り組んでいる。
ルーティング経路の検証
ASPAはデータがネットワーク間を移動する経路を検証し、信頼性の低いネットワークを経由するトラフィックを防止する。
セキュリティ向上の目的
この標準はインターネット全体のルーティングセキュリティを強化し、より安全なデータ転送を実現することを目指している。
影響分析・編集コメントを表示
影響分析
この発表は、インターネット基盤のセキュリティ強化に向けた実践的な一歩を示している。ASPAの導入により、BGPハイジャックなどのルーティング攻撃への耐性が向上し、クラウドサービスや企業ネットワークの信頼性向上に寄与する可能性がある。
編集コメント
技術的な詳細が限られているが、インターネット基盤セキュリティの重要な進展として注目に値する。実装の具体性や他社の対応状況についての情報があればより深い分析が可能だった。
Cloudflare は最近、ASPA(Autonomous System Provider Authorization)のサポートを発表しました。この新しい暗号化標準は、データがネットワーク間を移動して目的地に到達する経路を検証し、信頼できないまたは信頼されていないネットワークを経由するトラフィックを防ぐことで、インターネットルーティングの安全性を高めます。
ASPA は、RPKI ベースのセキュリティメカニズムであり、ルート公告が通過するネットワークの連鎖である AS_PATH(Autonomous System Path)を検証することで、インターネットルーティング(BGP: Border Gateway Protocol)をより安全にするように設計されています。これにより、ルートの漏洩や特定の種類のハイジャックを削減します。この新興標準の目的は、インターネットの信頼性を向上させ、偶発的または悪意のあるトラフィックの迂回を減らすことです。
Cloudflare のシニアシステムエンジニアである Mingwei Zhang と、同社のシニアネットワークエンジニアである Bryton Herdes は次のように説明しています。
データがインターネット上を移動する際、通過したすべてのネットワークのログが随時記録されます (...) ASPA により、各ネットワークは RPKI システム内で公式に承認された上位プロバイダーの一覧を公開できるようになります。これにより、受信側のネットワークは AS_PATH を確認し、関連する ASPA レコードを検証して、トラフィックが承認されたネットワークの連鎖のみを経由したことを確認できます。
ボーダーゲートウェイプロトコル(BGP)はインターネット上のトラフィック経路制御に不可欠ですが、ネイティブなパス検証機能を欠いており、ルートリークや乗っ取りに対して脆弱です。RPKI やルートオリジン認証(ROA)はルートオリジンの検証を強化しますが、エンドツーエンドのパスを検証するものではありません。ASPA はネットワーク運用者に、自社の許可されたプロバイダーを宣言するための暗号化手法を提供し、受信側ネットワークが AS パスが期待される構造に合致していることを確認できるようにします。
ASPA はインターネットルーティングの期待される階層構造を検証することで、ルートの迂回を検出します。通常の「バレーフリー」トポロジーでは、トラフィックは顧客から 1 つ以上の上位プロバイダーへ上昇し、最上層で単一のピアリンクを横断した後、プロバイダーを経由して宛先顧客へと下降します。この顧客からプロバイダーへの昇格、オプションのピアリング通過、そしてプロバイダーから顧客への降下が、ポリシー準拠の標準的なパスを形成します。
出典:Cloudflare ブログ
昨年、NIST は ASPA 仕様のルーター実装の評価を含む、新たな BGP セキュリティおよびレジリエンスメカニズムのテストと実験を促進するため、オープンソースのテストツールとデータセットを公開しました。
また Cloudflare は、ASPA の普及状況を追跡できるよう Cloudflare Radar にツールを追加し、ネットワーク運用者が誰が ASPA を使用しているか、パスがどのように検証されているかを確認できるようにしました。Zhang と Herdes は警告しています:
ASPA がついに現実のものとなったことで、インターネット経路検証のための暗号化アップグレードが実現しました。しかし、ルートオリジン検証における RPKI の開始当初から関わってきた方々ならご存知の通り、実際にインターネット上で大きな価値を提供するには長い道のりとなります。ASPA オブジェクトを実際に使用し、それらを用いて経路を検証するためには、RPKI リレーイングパーティ (RP) パッケージ、署名者実装、RTR (RPKI からルーターへのプロトコル) ソフトウェア、および BGP 実装における変更が必要です。
出典:Cloudflare ブログ
最近のベネズエラにおける BGP ルートリーク事案において、Cloudflare は、ASPA が観測された AS パスが期待されるプロバイダー承認関係と一致しているかを確認することで、異常な経路公告を検知して拒否するのをネットワークが支援したと指摘しています。これはオリジン検証だけでは実現できないことです。
Cloudflare だけが新しい暗号化標準へのコミットメントを持っているわけではありません。昨年公開された「AWS secures internet routing with RPKI plus security checks」という記事において、AWS のチームは次のように述べています。
ASPA はまだ標準化の過程にありますが、私たちはこれを使用し、利用可能なすべてのツールを活用して、インターネットをすべての人にとって安全で信頼できる場所とし続けることにコミットしています。
特定の IETF 標準がドラフト段階にある一方で、Cloudflare は ARIN と RIPE NCC がすでに ASPA オブジェクトの作成をサポートしており、OpenBGPD や BIRD などのルーティングソフトウェアには ASPA 検証機能が含まれていると指摘しています。
著者について
Renato Losio
Renato はクラウドアーキテクト、技術リーダー、およびクラウドサービススペシャリストとして豊富な経験を持っています。現在、彼はベルリンに住み、リモートでシニアクラウドアーキテクトとして勤務しています。彼の主な関心領域はクラウドサービスとリレーショナルデータベースです。彼は InfoQ の編集者であり、認定された AWS Data Hero です。LinkedIn で彼に連絡することができます。
もっと見る 表示しない
原文を表示
Cloudflare recently announced support for ASPA (Autonomous System Provider Authorization). The new cryptographic standard helps make Internet routing safer by verifying the path data takes across networks to reach its destination and preventing traffic from traversing unreliable or untrusted networks.
ASPA is an RPKI-based security mechanism designed to make Internet routing (BGP) more secure by validating the AS_PATH (the chain of networks a route announcement traverses), thereby reducing route leaks and some classes of hijacks. The goal of the emerging standard is to improve Internet reliability and reduce accidental or malicious traffic detours. Mingwei Zhang, principal systems engineer at Cloudflare, and Bryton Herdes, principal network engineer at Cloudflare, explain:
When data travels across the Internet, it keeps a running log of every network it passes through (...) ASPA provides networks with a way to officially publish a list of their authorized upstream providers within the RPKI system. This allows any receiving network to look at the AS_PATH, check the associated ASPA records, and verify that the traffic only traveled through an approved chain of networks.
The Border Gateway Protocol (BGP) is essential for routing traffic across the Internet but lacks native path validation, leaving it susceptible to route leaks and hijacks. Although RPKI and Route Origin Authorizations (ROAs) strengthen route origin validation, they do not verify the end-to-end path. ASPA provides network operators with a cryptographic method to declare their authorized providers, allowing receiving networks to verify that an AS path conforms to this expected structure.
ASPA detects route detours by validating the expected hierarchical structure of Internet routing. In a normal, "valley-free" topology, traffic moves up from a customer to one or more upstream providers, may traverse a single peer link at the top tier, and then moves down through providers to the destination customer. This customer-to-provider ascent, optional peer crossing, and provider-to-customer descent form the standard policy-compliant path.
Source: Cloudflare blog
Last year, NIST released open-source test tools and datasets to facilitate testing and experimentation with emerging BGP security and resilience mechanisms, including the ability to evaluate router implementations of ASPA specifications.
Cloudflare also added tools to Cloudflare Radar to track how widely ASPA is being adopted, so network operators can see who’s using it and how paths are validated. Zhang and Herdes warn:
With ASPA finally becoming a reality, we have our cryptographic upgrade for Internet path validation. However, those who have been around since the start of RPKI for route origin validation know this will be a long road to actually providing significant value on the Internet. Changes are needed to RPKI Relaying Party (RP) packages, signer implementations, RTR (RPKI-to-Router protocol) software, and BGP implementations to actually use ASPA objects and validate paths with them.
Source: Cloudflare blog
In the recent Venezuela BGP route leak incident, Cloudflare notes that ASPA would have helped networks detect and reject the abnormal path announcements by verifying whether the observed AS path matched the expected provider-authorization relationships, something that origin validation alone could not do.
Cloudflare is not the only provider committed to the new cryptographic standard. In the "AWS secures internet routing with RPKI plus security checks" article published last year, the team at AWS writes:
Although ASPA is still being standardized, we are committed to using it and all tools at our disposal to continue to make the internet a safe and reliable place for everyone.
While the specific IETF standard remains in draft, Cloudflare notes that ARIN and RIPE NCC already support ASPA object creation, and routing software such as OpenBGPD and BIRD includes ASPA validation.
About the Author
Renato Losio
Renato has extensive experience as a cloud architect, tech lead, and cloud services specialist. Currently, he lives in Berlin and works remotely as a principal cloud architect. His primary areas of interest include cloud services and relational databases. He is an editor at InfoQ and a recognized AWS Data Hero. You can connect with him on LinkedIn.
Show moreShow less
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み