Um projeto para melhorar a resiliência e a segurança do RPKI
30/07/2020
RIPE NCC concentrou esforços
para aumentar a resiliência, a segurança e a disponibilidade do RPKI, o sistema
de certificação de recursos da Internet. Para isso, deu andamento ao RPKI
Resiliency, um projeto que integra áreas de infraestrutura crítica, segurança, operatividade,
criptografia e marco legal, com o intuito de melhorar a infraestrutura do RPKI.
Nathalie Künneke-Trenaman, especialista e responsável
pela segurança do roteamento do RIPE NCC, destacou que a iniciativa busca
reforçar uma parte que é chave para as operações de Internet, após preocupações
surgidas sobre o estado atual da infraestrutura global do RPKI.
Em diálogo com o LACNIC News, Trenaman antecipou que
no último trimestre de 2020 apresentará à comunidade os achados e
aperfeiçoamentos encontrados através do RPKI Resiliency.
Do que trata o projeto?
RPKI Resiliency é um
projeto integral e de múltiplos estágios, que tem como objetivo aumentar a
resiliência da nossa infraestrutura RPKI através da evolução e do
aperfeiçoamento de cinco áreas diferentes:
Infraestrutura técnica: ter uma infraestrutura e
processos de desenvolvimento de software que tenham o objetivo de oferecer
serviços RPKI de alto nível. Exemplos das áreas que estão sendo avaliadas: alta
disponibilidade, escalabilidade, redundância, garantia da qualidade, DevOps, suporte 24/7.
Segurança:
assegurar
que o sistema esteja protegidocontra
os ataques digitais. Exemplos das áreas que estão sendo avaliadas: testes de
penetração e vulnerabilidade, bem como auditorias periódicas de segurança.
(Acesso livre, não requer assinatura)
Procedimentos operativos: garantir a integridade da âncora confiança do RPKI
ao contar com procedimentos operativos transparentes e confiáveis. A assinatura
e a rotação das senhas são exemplos destes procedimentos.
Criptografia: aumentar a confiança em nosso sistema ao solicitar
que um terceiro avalie nosso código, assim como verificar se estamos cumprindo
com as RFC do IETF correspondentes.
Marco legal: com uma maior
implementação do RPKI, as organizações que usam o sistema desejam compreender
claramente os aspectos relacionados com a responsabilidade. Portanto, é
importante ter um marco legal sólido. Áreas que estão sendo avaliadas: termos,
condições e declarações práticas de certificação (CPS).
Procedimentos operativos: garantir a integridade da âncora confiança do RPKI
ao contar com procedimentos operativos transparentes e confiáveis. A assinatura
e a rotação das senhas são exemplos destes procedimentos.
Criptografia: aumentar a confiança em nosso sistema ao solicitar
que um terceiro avalie nosso código, assim como verificar se estamos cumprindo
com as RFC do IETF correspondentes.
Marco legal: com uma maior
implementação do RPKI, as organizações que usam o sistema desejam compreender
claramente os aspectos relacionados com a responsabilidade. Portanto, é
importante ter um marco legal sólido. Áreas que estão sendo avaliadas: termos,
condições e declarações práticas de certificação (CPS).
Por que agora? Por que neste
momento?
Visto que o RPKI está passando
por um forte crescimento em sua implementação e se tornando chave das operações
de Internet, RIPE NCC está se concentrando em aumentar sua resiliência,
segurança e disponibilidade. Para consegui-lo, em agosto de 2019 iniciamos o projeto
RPKI Resiliency, cujo objetivo é conseguir uma autoridade de certificação e
âncora de confiança RPKI que seja segura, confiável, altamente disponível e que
tenha procedimentos operativos transparentes e confiáveis.
Alguns incidentes
recentes (https://labs.ripe.net/Members/nathalie_nathalie/lessons-learned-on-improving-rpki) geraram preocupação
sobre o estado atual da infraestrutura global do RPKI, dado que as operadoras
de rede dependem cada vez mais do sistema e do potencial impacto de sua falta
de disponibilidade ou de integridade. Levamos muito a sério estes incidentes e
desde então formamos uma equipe de trabalho interna com o propósito de reduzir
o risco de novas interrupções.
Quais os resultados obtidos
até este momento?
Até agora, começamos a avaliar
nossa implementação de DevOps para garantirmos que as operações e o software do
RPKI estejam perfeitamente otimizados. Inclusive estamos melhorando o
monitoramento de nosso softwaree
identificando as diferentes partes para que nos ajudem a avaliar a
infraestrutura e os procedimentos do RPKI. Nossa equipe legal está revisando a
Declaração de Práticas de Certificação, de maneira que nossa comunidade possa
revisá-la mais adiante, neste mesmo ano. A maior parte dos resultados de nossos
esforços estará pronta no último trimestre de 2020. Para esse momento,
apresentaremos à comunidade nossos achados e nossas melhorias.
Acha
que o serviço continuará funcionando corretamente após ter se propagado?
O RPKI tem muitos
elementos; por exemplo, o repositório, o núcleo do RPKI e a âncora de
confiança.
Estamos investindo muito em nossa infraestrutura
técnica e em nossos processos operativos de RPKI, a fim de estarmos certos de
que daremos conta do grande aumento de sua adoção.
