Un proyecto para mejorar la resiliencia y seguridad de RPKI
30/07/2020
RIPE NCC ha concentrado esfuerzos en aumentar la resiliencia, seguridad y disponibilidad de RPKI, el sistema de certificación de recursos de Internet. Para ello ha puesto en marcha RPKI Resiliency, un proyecto que integra áreas de infraestructura crítica, seguridad, operatividad, criptografía y marco legal con el fin de mejorar la infraestructura de RPKI.
Nathalie Künneke-Trenaman, experta y responsable de la seguridad del enrutamiento de RIPE NCC, destacó que la iniciativa busca reforzar una parte clave de las operaciones de Internet, tras preocupaciones surgidas sobre el estado actual de la infraestructura global de RPKI.
En diálogo con LACNIC News, Trenaman anticipó que en el último trimestre de 2020 presentará a la comunidad los hallazgos y mejoras encontrados con RPKI Resiliency.
¿De qué se trata el proyecto?
RPKI Resiliency es un proyecto integral y de múltiples fases que tiene como objetivo aumentar la resiliencia de nuestra infraestructura RPKI mediante la evaluación y mejora de cinco áreas diferentes:
Infraestructura técnica: tener una infraestructura y procesos de desarrollo de software que tengan como objetivo ofrecer servicios RPKI de primer nivel. Ejemplos de las áreas que se están evaluando: alta disponibilidad, escalabilidad, redundancia, aseguramiento de la calidad, DevOps, soporte 24/7.
Seguridad: asegurar que el sistema esté protegido contra los ataques digitales. Ejemplos de las áreas que se están evaluando: pruebas de penetración y vulnerabilidad, auditorías periódicas de la seguridad.
Procedimientos operativos: asegurar la integridad del ancla de confianza de RPKI al contar con procedimientos operativos transparentes y confiables. La firma y la rotación de claves son ejemplos de estos procedimientos.
Criptografía: Aumentar la confianza en nuestro sistema al solicitar que un tercero evalúe nuestro código y verificar que estamos cumpliendo con las RFC del IETF correspondientes.
Marco legal: con un mayor despliegue de RPKI, las organizaciones que usan el sistema desean comprender claramente los aspectos relacionados con la responsabilidad. Por lo tanto, es importante tener un marco legal sólido. Áreas que se están evaluando: términos y condiciones y declaraciones de prácticas de certificación (CPS).
¿Por qué ahora? ¿Por qué en este momento?
Dado que RPKI está experimentando un fuerte crecimiento en su implementación y se está convirtiendo en una parte clave de las operaciones de Internet, RIPE NCC se está concentrando en aumentar su resiliencia, seguridad y disponibilidad. Para lograrlo, en agosto de 2019 iniciamos el proyecto RPKI Resiliency, cuyo objetivo es lograr una autoridad de certificación y ancla de confianza RPKI que sea segura, confiable y altamente disponible y que tenga procedimientos operativos transparentes y confiables.
Algunos incidentes recientes han generado preocupación sobre el estado actual de la infraestructura global de RPKI, dado que los operadores de red dependen cada vez más del sistema y el potencial impacto de su falta de disponibilidad o de integridad. Tomamos muy en serio estos incidentes y desde entonces formamos un grupo de trabajo interno con el propósito de reducir el riesgo de nuevas interrupciones.
¿Qué resultados han logrado hasta el momento?
Hasta el momento, hemos comenzado a evaluar nuestra implementación de DevOps para asegurarnos de que las operaciones y el software de RPKI estén perfectamente optimizados. También estamos mejorando el monitoreo de nuestro software e identificando diferentes partes para que ayuden a evaluar nuestra infraestructura y procedimientos de RPKI. Nuestro equipo legal está revisando la Declaración de Prácticas de Certificación de manera que nuestra comunidad pueda revisarla más adelante este mismo año. La mayor parte de los resultados de nuestros esfuerzos estará lista en el último trimestre de 2020. Para entonces presentaremos a la comunidad nuestros hallazgos y mejoras.
Ahora que el uso del servicio se está generalizando, ¿cree que seguirá funcionando correctamente?
RPKI tiene muchos elementos. Por ejemplo, el repositorio, el núcleo de RPKI y el ancla de confianza. Estamos realizando importantes inversiones en nuestra infraestructura técnica y nuestros procedimientos operativos para RPKI de manera de asegurarnos de poder hacer frente a un fuerte aumento de su utilización.