Um projeto para melhorar a resiliência e a segurança do RPKI
30/07/2020
RIPE NCC concentrou esforços para aumentar a resiliência, a segurança e a disponibilidade do RPKI, o sistema de certificação de recursos da Internet. Para isso, deu andamento ao RPKI Resiliency, um projeto que integra áreas de infraestrutura crítica, segurança, operatividade, criptografia e marco legal, com o intuito de melhorar a infraestrutura do RPKI.
Nathalie Künneke-Trenaman, especialista e responsável pela segurança do roteamento do RIPE NCC, destacou que a iniciativa busca reforçar uma parte que é chave para as operações de Internet, após preocupações surgidas sobre o estado atual da infraestrutura global do RPKI.
Em diálogo com o LACNIC News, Trenaman antecipou que no último trimestre de 2020 apresentará à comunidade os achados e aperfeiçoamentos encontrados através do RPKI Resiliency.
Do que trata o projeto?
RPKI Resiliency é um projeto integral e de múltiplos estágios, que tem como objetivo aumentar a resiliência da nossa infraestrutura RPKI através da evolução e do aperfeiçoamento de cinco áreas diferentes:
Infraestrutura técnica: ter uma infraestrutura e processos de desenvolvimento de software que tenham o objetivo de oferecer serviços RPKI de alto nível. Exemplos das áreas que estão sendo avaliadas: alta disponibilidade, escalabilidade, redundância, garantia da qualidade, DevOps, suporte 24/7.
Segurança: assegurar que o sistema esteja protegidocontra os ataques digitais. Exemplos das áreas que estão sendo avaliadas: testes de penetração e vulnerabilidade, bem como auditorias periódicas de segurança.
Procedimentos operativos: garantir a integridade da âncora confiança do RPKI ao contar com procedimentos operativos transparentes e confiáveis. A assinatura e a rotação das senhas são exemplos destes procedimentos.
Criptografia: aumentar a confiança em nosso sistema ao solicitar que um terceiro avalie nosso código, assim como verificar se estamos cumprindo com as RFC do IETF correspondentes.
Marco legal: com uma maior implementação do RPKI, as organizações que usam o sistema desejam compreender claramente os aspectos relacionados com a responsabilidade. Portanto, é importante ter um marco legal sólido. Áreas que estão sendo avaliadas: termos, condições e declarações práticas de certificação (CPS).
Por que agora? Por que neste momento?
Visto que o RPKI está passando por um forte crescimento em sua implementação e se tornando chave das operações de Internet, RIPE NCC está se concentrando em aumentar sua resiliência, segurança e disponibilidade. Para consegui-lo, em agosto de 2019 iniciamos o projeto RPKI Resiliency, cujo objetivo é conseguir uma autoridade de certificação e âncora de confiança RPKI que seja segura, confiável, altamente disponível e que tenha procedimentos operativos transparentes e confiáveis.
Alguns incidentes recentes (https://labs.ripe.net/Members/nathalie_nathalie/lessons-learned-on-improving-rpki) geraram preocupação sobre o estado atual da infraestrutura global do RPKI, dado que as operadoras de rede dependem cada vez mais do sistema e do potencial impacto de sua falta de disponibilidade ou de integridade. Levamos muito a sério estes incidentes e desde então formamos uma equipe de trabalho interna com o propósito de reduzir o risco de novas interrupções.
Quais os resultados obtidos até este momento?
Até agora, começamos a avaliar nossa implementação de DevOps para garantirmos que as operações e o software do RPKI estejam perfeitamente otimizados. Inclusive estamos melhorando o monitoramento de nosso softwaree identificando as diferentes partes para que nos ajudem a avaliar a infraestrutura e os procedimentos do RPKI. Nossa equipe legal está revisando a Declaração de Práticas de Certificação, de maneira que nossa comunidade possa revisá-la mais adiante, neste mesmo ano. A maior parte dos resultados de nossos esforços estará pronta no último trimestre de 2020. Para esse momento, apresentaremos à comunidade nossos achados e nossas melhorias.
Acha que o serviço continuará funcionando corretamente após ter se propagado?
O RPKI tem muitos
elementos; por exemplo, o repositório, o núcleo do RPKI e a âncora de
confiança.
Estamos investindo muito em nossa infraestrutura técnica e em nossos processos operativos de RPKI, a fim de estarmos certos de que daremos conta do grande aumento de sua adoção.
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.