RPKI: Resiliencia y confianza
17/05/2022
Todos los usuarios del sistema de RPKI -ya sean del lado de la firma, del lado de la validación o de ambos- merecen confiar en nuestros sistemas y en la precisión y accesibilidad de los datos que publicamos.
En el sistema global de RPKI, los cinco Registros Regionales de Internet sirven como ancla de confianza. Esto significa que cada uno de los RIR tiene un certificado raíz autofirmado. Por debajo del certificado raíz, hay múltiples capas de certificados hijos, por ejemplo, los de nuestros miembros. Estos certificados y todos los demás objetos RPKI son visibles en un repositorio. Esto conlleva una gran responsabilidad para los RIR. Los usuarios deben poder confiar en que nuestros sistemas son seguros, resistentes y precisos.
En RIPE NCC, estamos dedicando una gran cantidad de recursos para garantizar esta confianza y resistencia. Al fin y al cabo, cada vez más operadores confían en el sistema de RPKI para el enrutamiento en Internet.
En el año 2019 iniciamos nuestro proyecto de “resiliencia de RPKI” a través de diversas evaluaciones de seguridad, la implementación de una exhaustiva monitorización interna y externa, así como el escalamiento de nuestros repositorios para mejorar la disponibilidad.
Transparencia
En este proceso aprendimos que la confianza se construye si somos transparentes y fiables. En este sentido, hemos empezado a publicar en nuestro sitio web todos nuestros informes de seguridad y cumplimiento: https://www.ripe.net/manage-ips-and-asns/resource-management/rpki/security-and-compliance. Esto nos permite mostrar a nuestros usuarios el tipo de evaluaciones que realizamos, quién las ha llevado a cabo y qué medidas hemos tomado para mitigar los problemas encontrados.
Una de las lecciones que aprendimos es que era necesario mejorar nuestras pruebas unitarias y de integración. Esto dio lugar a la incorporación de un ingeniero de control de calidad en el equipo de RPKI.
También creemos en el código abierto. Cuando los usuarios pueden consultar el código base y ver cómo funciona el sistema, esto permite una mejor comprensión y mejora la confianza. Diferentes elementos de nuestro sistema de RPKI se han publicado como código abierto durante muchos años. El año pasado añadimos nuestro núcleo de RPKI y el software de ancla de confianza a GitHub. https://github.com/RIPE-NCC
Hemos recibido comentarios muy positivos de la comunidad y presentaremos este proceso durante la reunión de RIPE en mayo.
Con el fin de mantener a la comunidad de RPKI informada sobre nuestras prioridades, publicamos una hoja de ruta trimestral. Esta hoja de ruta está abierta a los comentarios y tenemos en cuenta cualquier solicitud de funciones que recibamos. De este modo, esperamos ofrecer más claridad sobre los plazos de nuestros proyectos.
Cómo llevar el cumplimiento de las normas al siguiente nivel
Una de las cosas que tenemos que preguntarnos continuamente es: ¿Estamos haciéndolo de manera correcta? ¿Nuestra autoridad de certificación y ancla de confianza es segura? ¿Qué hay que mejorar y en qué medida?
Existen cientos de marcos de auditoría, pero ninguno de ellos se ajusta exactamente al sistema de RPKI. Necesitábamos un marco de auditoría ampliamente reconocido que abarcara todos los elementos importantes de la seguridad informática y que pudiera adaptarse a los principios de diseño y los RFC de RPKI. Para ello, hemos optado por asociarnos con The British Standards Institution para desarrollar un marco de auditoría RPKI que potencialmente también puede ser utilizado por otras anclas de confianza.
Se trata de un marco de auditoría ISAE3000/SOC 2 Tipo II. En el año 2021 identificamos los controles y BSI realizó un análisis de deficiencias. Ahora estamos reuniendo pruebas para nuestra auditoría. En 2022, empezaremos con una evaluación de la normativa a cargo de un tercero.
Dado que las normas ISAE3000/SOC 2 de tipo II son libres por naturaleza, queremos asegurarnos de contar con los controles y las pruebas adecuadas.
Por supuesto, mantendremos a la comunidad informada sobre el proceso y el resultado de esta evaluación.
La importancia de la clave
La “K” en RPKI significa “clave”. En nuestro servicio alojado de RPKI, almacenamos las claves públicas y privadas de nuestros miembros en nuestra plataforma. Además, debemos asegurarnos de que nuestra propia clave privada se mantenga privada. En cuanto a las claves, utilizamos varios módulos de seguridad de hardware. Estos módulos de seguridad de hardware deben tener la máxima calidad y estándares. El año pasado, sustituimos nuestros módulos de seguridad de hardware que almacenan la clave privada del ancla de confianza. Pronto publicaremos un artículo de RIPE Labs sobre cómo hemos gestionado esa migración. A finales de este año, sustituiremos nuestros módulos de seguridad de hardware en línea. Esta será una migración aún más complicada, ya que afecta a todas las claves de nuestros miembros que utilizan nuestra plataforma de RPKI alojada.
El servicio de publicación de RPKI
Cuando los usuarios prefieren alojar su propia entidad certificadora (CA), actualmente también son responsables de publicar de forma automática sus propios objetos RPKI. Este es el modelo actual de “RPKI delegada”. Sin embargo, en la práctica muchas veces vemos que estos usuarios no tienen la capacidad de facilitar puntos de publicación de alta disponibilidad. El año pasado, APNIC y ARIN ya lanzaron su servicio de publicación para los usuarios que quieren operar su propia CA. Este año, RIPE NCC también pondrá a disposición este servicio a través de nuestro tablero de RPKI.
Y hay más…
En 2022, continuamos con el objetivo de la resistencia y seguridad del sistema de RPKI. Realizaremos otra prueba de penetración en nuestro software y también hemos firmado un acuerdo con un tercero para que se realice una pruebas de equipo rojo (Red Team Testing).
Continuamos trabajando en mejorar nuestra infraestructura de publicación de RRDP y rsync, así como nuestra monitorización y alertas. Estas cosas nunca se detienen. Además, queremos mejorar nuestro tablero de RPKI en el futuro, añadiendo otros objetos RPKI que se estandaricen en el IETF y la funcionalidad route/ruta6.
Junto con los demás RIR, nos comprometemos a mantener un ancla de confianza de RPKI segura y resistente.