Buzz
Vào mùa xuân này, các dịch vụ từ những tên tuổi lớn như Google và Facebook dường như gặp sự cố hoặc không thể truy cập được trên toàn cầu trong hơn một giờ. Nhưng đó không phải là một cuộc tấn công, hoặc thậm chí là một sự cố tại bất kỳ tổ chức nào. Đó là sự cố gần đây nhất xuất phát từ nhược điểm thiết kế trong "Giao thức Cổng Biên Giới," hệ thống định tuyến cơ bản và phổ quát của Internet. Bây giờ, sau nhiều năm tiến triển chậm rãi trong việc thực hiện cải tiến và biện pháp bảo vệ, một liên minh của các đối tác cơ sở hạ tầng Internet cuối cùng cũng đang thay đổi trong cuộc chiến để làm cho BGP an toàn hơn.
Hôm nay, nhóm được biết đến với tên gọi Norms for Routing Security được thống nhất thông báo về một nhóm nhiệm vụ chuyên biệt dành để giúp "mạng phân phối nội dung" và các dịch vụ đám mây khác áp dụng các bộ lọc và kiểm tra mã hóa cần thiết để làm cho BGP trở nên chặt chẽ hơn. Một số cách, bước tiến này là tích cực, vì MANRS đã tạo ra các nhóm nhiệm vụ cho các nhà khai thác mạng và những gì được biết đến là "điểm trao đổi Internet," cơ sở hạ tầng phần cứng vật lý nơi các nhà cung cấp dịch vụ Internet và CDNs trao đổi dữ liệu với nhau. Nhưng quá trình này chuyển đến đám mây đại diện cho tiến triển rõ ràng mà cho đến nay đã khó có thể đạt được.
"Với gần 600 người tham gia tổng cộng trong MANRS cho đến nay, chúng tôi tin rằng sự nhiệt huyết và công việc chăm chỉ của các nhà cung cấp CDN và đám mây sẽ khuyến khích các nhà khai thác mạng khác trên khắp thế giới cải thiện an ninh định tuyến cho tất cả chúng ta," nói Aftab Siddiqui, người đứng đầu dự án MANRS và là một quản lý cấp cao về công nghệ Internet tại Tổ chức Internet.
BGP thường được ví như một dịch vụ định vị GPS cho Internet, giúp những người chơi cơ sở hạ tầng nhanh chóng và tự động xác định các tuyến đường để gửi và nhận dữ liệu trên địa hình số phức tạp. Và giống như công cụ bản đồ GPS yêu thích của bạn, BGP có những đặc điểm và lỗi mà thường không gây vấn đề, nhưng đôi khi có thể đưa bạn vào tình trạng kẹt cầu nghiêm trọng. Điều này xảy ra khi các đơn vị như nhà cung cấp dịch vụ Internet "quảng cáo một tuyến đường xấu," gửi dữ liệu trên một hành trình vô cùng ngẫu nhiên và khuyến khích qua Internet và thường là vào quên lãng. Đó là lúc dịch vụ web bắt đầu trở nên như là chúng đang gặp sự cố. Và rủi ro từ sự không an toàn của BGP này không chỉ kết thúc ở việc làm gián đoạn dịch vụ—nhược điểm còn có thể bị khai thác một cách chủ định bởi các bên xấu để chuyển hướng dữ liệu qua các mạng họ kiểm soát để chặn giữ. Thực hành này được biết đến là "BGP hijacking" và đã được sử dụng bởi hacker trên khắp thế giới, bao gồm cả Trung Quốc, để thực hiện gián điệp và trộm dữ liệu.
Một số CDN nổi tiếng đã công khai về việc triển khai các best practices và biện pháp bảo vệ BGP trong hệ thống của họ và khuyến khích người khác làm tương tự. Ví dụ, sau sự cố rò rỉ tuyến đường vào tháng 4, Cloudflare đã tung ra một công cụ mang tên "Is BGP Safe Yet?" để cung cấp thông tin cho người dùng web thông thường về việc nhà cung cấp dịch vụ Internet của họ có triển khai kiểm tra tuyến đường và bộ lọc mã hóa hay không. Và vào thứ Tư, Google đã công bố thông tin cập nhật về nỗ lực của họ với MANRS để cải thiện hạ tầng BGP của chính họ và thuyết phục các đối tác ngành làm tương tự.
Các tổ chức như Google và Cloudflare ngày càng có động lực để ủng hộ sự thay đổi này vì sức khỏe tổng thể của Internet, nhưng cũng bởi vì sự rò rỉ tuyến đường BGP dẫn đến tình trạng gián đoạn ảnh hưởng xấu đến họ dù vấn đề xuất phát từ đâu. Những tổ chức lớn như vậy là chìa khóa quan trọng để thúc đẩy việc áp dụng những thay đổi kỹ thuật tự nguyện và hợp tác này, bởi vì họ có mối quan hệ với các nhà cung cấp cơ sở hạ tầng trên khắp thế giới.
"Tôi đã dành 20 năm trong lĩnh vực dịch vụ tài chính thực hiện an ninh mạng cho các ngân hàng lớn, nhưng hơn hai năm trước tôi đã gia nhập Google, bởi vì bạn bắt đầu nhận thấy rằng sự phụ thuộc của xã hội vào cơ sở hạ tầng này quá lớn," nói Royal Hansen, phó chủ tịch kỹ thuật an ninh cho Google Cloud. "Sức ảnh hưởng của tôi sẽ lớn hơn nhiều tại Google so với bất kỳ doanh nghiệp nào khác."
Một trong những biện pháp bảo vệ BGP chính mà MANRS đề xuất là RPKI, hoặc "Cơ sở hạ tầng Khóa công khai định tuyến," một cơ sở dữ liệu công khai về các tuyến đường đã được ký mã hóa như một bằng chứng về tính hợp lệ của chúng. Người áp dụng RPKI công bố các tuyến đường họ cung cấp và kiểm tra cơ sở dữ liệu để xác nhận tính hợp lệ của các tuyến đường khác, nhưng hệ thống chỉ có thể loại bỏ rò rỉ tuyến và gián đoạn thông qua sự áp dụng toàn cầu. Nếu nhiều ISP hoặc tổ chức khác không sử dụng nó, nhà cung cấp vẫn sẽ cần chấp nhận các tuyến đường không ký, có nghĩa là chưa được xác nhận.
Tuy nhiên, trong hai năm qua, RPKI đã đạt được đà tăng tốc độ thực sự và hiện đang được sử dụng bởi các ISP như AT&T, Telia, NTT và Cogent. Vào thứ Hai, nhà cung cấp dịch vụ mạng châu Âu RETN thông báo rằng họ đã triển khai RPKI. Và vào tháng 11, Google hoàn tất việc đăng ký RPKI cho hơn 99% các tuyến đường của mình.
"Có khá nhiều công việc liên quan đến việc triển khai tất cả điều này," nói Bikash Koley, phó chủ tịch mạng toàn cầu tại Google Cloud. "Và khi bạn có tất cả thông tin đó, bạn phải tạo cách sử dụng nó để áp dụng vào chính sách BGP của mình dưới dạng bộ lọc và v.v. Điều này đòi hỏi công việc kỹ thuật đáng kể và nếu bạn làm sai thì thực sự có thể ảnh hưởng đến người dùng một cách đáng kể. Vì vậy, với MANRS, chúng tôi đang cố gắng làm cho điều này dễ dàng nhất có thể đối với các tổ chức."
Ngoài việc áp dụng và khuyến khích việc sử dụng bộ lọc tuyến đường và RPKI, Koley nói rằng Google cũng tăng cường nhận thức về tầm quan trọng của an ninh BGP thông qua "cổng peering" của mình. Peering là sự kết nối giữa hai mạng để cho phép lưu lượng web chảy một cách hiệu quả và ổn định hơn, bao gồm cả việc trao đổi thông tin định tuyến BGP. Vì Google có mối quan hệ peering toàn cầu rộng lớn, cổng của nó là cơ hội để công ty cơ bản có thể đưa ra một cú nhấn nhá cho đối tác của mình về cách họ thực hiện các thực hành tốt nhất của BGP. Nếu họ không áp dụng bộ lọc và các biện pháp bảo vệ khác cho các tuyến đường họ thông báo cho Google, công ty sẽ đánh dấu điều đó. Và đầu năm tới, cổng cũng sẽ hiển thị trạng thái RPKI của đối tác. Ngoài ra, vào đầu năm 2020, Google đã bắt đầu liên lạc với các đối tác về thông tin định tuyến có thể không hợp lệ. Và công ty đã hợp tác với MANRS để công bố thông tin về cách Google thực hiện việc lọc tuyến để làm cho nó dễ dàng hơn cho các tổ chức nhỏ kết nối với công ty để áp dụng một phương pháp đã được thiết lập thay vì phải bắt đầu từ đầu.
Mặc dù sự đẩy mạnh để áp dụng toàn cầu các biện pháp bảo vệ BGP chưa chấm dứt, động lực gần đây đưa ra bằng chứng rõ ràng rằng sẽ có khả năng loại bỏ hoặc ít nhất giảm đáng kể rủi ro gián đoạn và chiếm đoạt dữ liệu.
"Tôi cảm thấy rằng có sự nhận thức chung và sự cần thiết đang hình thành trên Internet," Koley nói. "Và chúng tôi đang chuyển động rất nhanh về điều này, bởi vì chúng ta cần phải làm điều đó."
Những câu chuyện tuyệt vời khác từ Mytour
- 📩 Muốn cập nhật những thông tin mới nhất về công nghệ, khoa học, và nhiều hơn nữa? Đăng ký nhận bản tin của chúng tôi ngay!
- Chết chóc, tình yêu, và sự an ủi từ một triệu bộ phận xe máy
- Kẻ lừa đảo muốn cứu vớt đất nước của mình
- Far Cry 5 giúp tôi thoát khỏi cuộc sống thực, cho đến khi nó không còn
- Viết một bản tin về Covid đã chỉ cho tôi thấy điều gì về nước Mỹ
- Để cứu mạng, đại dịch này phải được nhìn nhận đúng cách
- 🎮 Mytour Games: Nhận những mẹo, đánh giá, và nhiều hơn nữa
- ✨ Tối ưu hóa cuộc sống tại nhà với những lựa chọn tốt nhất từ đội ngũ Gear của chúng tôi, từ robot hút bụi đến đệm giá rẻ đến loa thông minh
