リソースパブリックキーインフラストラクチャ(RPKI)
RPKIは、インターネットのルーティング・インフラストラクチャ、特にBGP(Border Gateway Protocol)を保護するために設計された公開鍵基盤フレームワークです。RPKIは、インターネット番号リソース(IPアドレスなど)に関する情報をトラストアンカーに接続する方法を提供します。RPKIを使用することで、番号リソースの正当な所有者は、インターネットルーティングプロトコルの動作を制御し、ルートハイジャックやその他の攻撃リスクを防ぐことができます。詳細については、RPKI - BGPルーティングに必要な暗号アップグレードを参照してください。
Internet Exchange における RPKI
Equinix Internet Exchange Multi-Lateral Peering Exchange (MLPE)のルートサーバーは、RPKIを使用して、顧客から広告されたすべてのBGPプレフィックスを地域インターネットレジストリ(RIR)の権限記録と照合します。インターネットエクスチェンジ(IX)のメトロごとに冗長キャッシュサーバーを運用してキーの検証を容易にし、各地域で冗長バリデータサーバーを運用しています。このインフラストラクチャ・モデルにより、経路の迅速な検証を可能にし、RIRデータベースが利用できなくなった場合でもサービスを維持できる堅牢な回復力を提供します。
顧客の可視化
IXポータルのルート分析ツールであるLooking Glassは、エクイニクスのルートサーバーにアドバタイズされるIPプレフィックスが有効かどうかを検証できます。またエクイニクスは、個々のプレフィックスが有効であるかどうかを示すBGPコミュニティを顧客にアドバタイズします。
バイラテラルピアリングセッションに関するRPKI
また、二者間ピアリングセッションでもRPKIを使用できますが、エクイニクスはこれらのプロセスの検証を行いません。2つのIX参加者は、RPKIを使用してピアリングセッションを保護することに合意できます。
MLPE Prefix Validation Process(MLPEプレフィックス検証プロセス
この図は、エクイニクスIXがIRRとRPKIのMLPEプレフィックス検証のプロセスフローをどのように処理しているかを示しています。
-
プレフィックスが MLPE の内部ポリシーを通過 - プレフィックス長、Bogon、無効な ASN、ネクストホップなど、複数の内部チェックを通過しています。
-
IRRDB - インターネットルーティングレジストリ(IRR)は、地域インターネットレジストリ(RIR)が管理するグローバルに分散されたデータベース(DB)の集合体です。多くのIRRは、お互いのデータベースをミラーリングしています。IRRには、自律システム番号、IP番号プレフィックス、所有権などを記述するインターネットルーティングオブジェクトリソースが含まれています。これらのリソースは、ルーティングポリシーを定義するために多くのエンティティによって使用されます。
エクイニクスは、パブリックIPプレフィックスに関連する情報をいずれかのIRRで公開するようお客様に求めています。エクイニクスは最低1つのIRRを照会し、他のすべての主要IRRを可視化します。
-
RTBH - RTBH(Remotely Triggered Black Hole)フィルタリングは、不要なトラフィックがIX保護ネットワークに侵入する前にブロックする自己管理機能です。RTBHは、分散型サービス拒否(DDoS)攻撃から保護します。
-
ROAの存在 - ルート・オリジン・オーソライゼーション(ROA)は、プレフィックス、プレフィックス長、最大プレフィックス長、発信元ASN、および有効期限で構成される暗号署名されたステートメントです。
お知らせのROAがない場合、ステータスはUnknown/NotFoundとなります。
-
ROA Valid - ROAとルートアナウンスが一致します。
-
ROA無効 - ROAには一致するプレフィックスがありますが、ROA内のすべてのパラメータがアナウンスと一致しません。例えば、発信ASN、プレフィックス長、プレフィックス最大長が一致しません。