[解决方案] AWS 通过 RPKI 以及安全检查保护互联网路由

<!-- AI_TASK_START: AI标题翻译 --> [解决方案] AWS 通过 RPKI 以及安全检查保护互联网路由 <!-- AI_TASK_END: AI标题翻译 --> <!-- AI_TASK_START: AI竞争分析 --> # 解决方案分析 ## 解决方案概述 本文档详细阐述了AWS基于Resource Public Key Infrastructure（**RPKI**）的互联网路由安全解决方案，旨在解决BGP协议中的路由错误和安全风险。**RPKI**是一种专门的公钥基础设施框架，用于验证IP地址块的合法所有权，确保数据路由的准确性。背景在于互联网由众多自治系统（**Autonomous Systems**，简称AS）组成，BGP协议虽是基础，但缺乏内置验证机制，导致非法路由广告（如错误声明IP块）可能中断流量。该解决方案适用于全球网络运营商和云用户，针对行业需求如提升互联网整体安全性和可靠性，提供预防性措施。 ## 实施步骤 1. **下载并验证文档**：从公共**RPKI**文档仓库获取所有网络的授权文档（如**Resource Origin Authorization**，ROA），然后检查签名以确认授权合法性。该步骤确保数据完整性，通过公钥机制验证所有者的真实性。 - 逻辑衔接：这一步是基础，建立信任链，避免后续错误传播。 2. **进行安全检查**：对验证后的文档执行额外安全检查，例如预测潜在影响（如路由可达性损失）、分波次更新路由器配置，并监控健康指标。如果检测到问题，系统会回滚变更。该步骤体现了AWS的“信任但验证”原则，防范操作失误。 - 技术原理：结合健康指标监控（如使用内部工具），通过波次部署减少风险，实现渐进式更新。 3. **更新路由器配置**：将经过安全检查的授权信息发送到AWS网络设备中，用于决定是否接受其他网络的路由广告。该步骤包括冗余设计，如为IP块生成多层文档，确保高可用性。 - 理由：通过分层冗余和守卫机制，防止单一故障导致广泛影响，提升系统韧性。 ## 方案客户价值 - **提升路由安全性和可靠性**：通过**RPKI**验证，减少非法路由广告（如冒充IP块所有者）对用户流量的干扰，确保关键业务不受影响。该机制显著降低了因操作错误或恶意行为导致的连接中断风险。 - **保护用户工作负载**：AWS的用户（如运行互联网面向工作负载的企业）受益于该方案，避免了历史事件中出现的广域网络中断问题，从而维持业务连续性。相比传统BGP方案，该解决方案添加了安全检查，实现了更强的防护，但需注意操作失误仍可能引发局部影响。 - **推动行业采用**：文档显示**RPKI**覆盖率从2024年的50.1%上升至2025年5月的55.8%，这为用户带来了更安全的互联网环境，量化收益体现在减少路由错误频率上，帮助企业降低潜在经济损失。 ## 涉及的相关产品 - **AWS Networking Services**：作为核心组件，支持**BGP**协议和**RPKI**实施，用于路由管理和流量优化。该产品在解决方案中负责处理路由广告验证，确保用户流量正确路由。 - **AWS Cloud Computing Concepts Hub**：提供**BGP**相关参考资料，支持用户理解和应用该方案的网络原理。 ## 技术评估 该解决方案的技术先进性体现在**RPKI**的标准化框架上，通过签名验证和安全检查（如预测影响及波次部署）提升了BGP路由的可行性和安全性，适用于大规模互联网环境。优势包括：减少路由错误对全球网络的影响，并通过冗余机制增强可靠性；然而，可能的局限性在于操作失误（如文档创建错误）仍可导致局部流量中断，尽管AWS的安全检查已缓解此类风险。该方案在适用范围上适合高连接性网络，但在大规模动态环境中，可能面临管理复杂度上升的问题，如需持续监控和更新以适应新威胁。 <!-- AI_TASK_END: AI竞争分析 --> <!-- AI_TASK_START: AI全文翻译 --> # AWS 通过 RPKI 加上安全检查来保护互联网路由 **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/aws-secures-internet-routing-with-rpki-plus-security-checks/](https://aws.amazon.com/blogs/networking-and-content-delivery/aws-secures-internet-routing-with-rpki-plus-security-checks/) **发布时间:** 2025-05-02 **厂商:** AWS **类型:** BLOG --- 在我们的[上一篇文章](https://aws.amazon.com/blogs/networking-and-content-delivery/demystifying-aws-data-transfer-services-to-build-secure-and-reliable-applications/) 中，我们简要解释了 AWS 从基础设计上是如何成为用户在云中运行工作负载的最安全方式的。在本文中，我们在此基础上，聚焦于 AWS 如何拥有最大的资源公钥基础设施 (RPKI) 实现¹。RPKI 是一种专门的公钥基础设施框架，用于提升互联网边界网关协议 (BGP) 路由基础设施的安全性。AWS 一直倡导 RPKI 的采用，作为与对等网络和上游网络的标准实践，以推进整体互联网安全。历史上，曾发生过涉及 RPKI 的操作事件，导致大型网络的互联网连接受到影响。在 AWS，我们拥有独特的 RPKI 实现，包括安全检查，以确保准确性，最终目标是保护用户的工作负载免受此类广泛影响的事件。在本文中，我们将解释此类事件如何发生，以及 AWS 如何确保用户不受影响。不过，在此之前，我们先从基础知识开始。 # 互联网路由和 BGP 的概述 互联网是一个由独立运营网络组成的去中心化网格。这些网络有数万个，它们使用 BGP 协议相互连接。BGP 是一种标准化协议，允许自治系统 (AS) 确定数据在互联网上传输的最佳路径。BGP 对于互联网的运行至关重要，它使网络能够相互通信、发送和接收信息。没有 BGP，用户甚至无法执行最基本的操作，比如浏览网页或发送电子邮件。您可以从[AWS 云计算概念中心](https://aws.amazon.com/what-is/?faq-hub-cards.sort-by=item.additionalFields.sortDate&faq-hub-cards.sort-order=desc&awsf.tech-category=*all) 了解更多关于 BGP 以及 AWS 如何实现 BGP 的信息。 我们用一个例子来说明 BGP 的工作原理。假设 Alice 是一名网络管理员，她从区域互联网注册机构 (RIR) 获得了一块 IP 地址块；她使用路由器向相邻网络通告自己是这块 IP 的注册用户。然后，Bob（相邻网络的网络管理员）将 Alice 共享的 IP 地址块“传播”给他的相邻网络。随后，Dan（Bob 的相邻网络的网络管理员）将 Alice 的 IP 地址块传播给他的相邻网络，以此类推。这就是 BGP 如何使信息在全球范围内从一个相邻网络跳跃到另一个相邻网络。  图 1: Alice 的路由器向 Bob 的路由器通告她的地址。  图 2: Bob 的路由器“传播”Alice 的地址。  图 3: 信息继续在全球传播。 # 问题 BGP 不仅推动了互联网的发展，还支持了许多内部网络中的影响性应用。然而，原始的 BGP 规范让各个网络的运营商负责制定自己的策略，来确定 IP 块的合法用户。例如，延续前面关于 Alice 的 IP 地址块的例子：如果有人（我们叫他 Dan）声称拥有与 Alice 相同的 IP 地址块，尽管他不是注册用户，该怎么办？Dan 可能意外或故意通告这块 IP 地址块。然而，直到最近，大部分构成互联网的相邻网络都没有很好的方法来确定 IP 块的合法用户，从而导致许多相邻网络接受该通告并将流量路由回 Dan。Dan 通告错误 IP 块的影响是 Alice 可能停止接收针对她 IP 块的部分或全部流量。在 2010 年代，这些类型的非法通告变得足够严重，以至于互联网工程任务组 (IETF) 决定制定策略来解决这个问题。最终，他们开发了 RPKI。  图 4: Dan 输入错误，在 RPKI 之前。 # 什么是 RPKI？ RPKI 是一种方式，让自治系统 (AS) 合法通告仅为其 IP 地址接收流量的网络。要深入了解 RPKI 的实际工作原理，请查看我们之前的文章，关于[AWS 如何帮助保护互联网路由](https://aws.amazon.com/blogs/networking-and-content-delivery/how-aws-is-helping-to-secure-internet-routing/)。简而言之，延续 Alice 网络的例子，Alice 可以“签名”一个名为资源起源授权 (ROA) 的文档，并将其发布到所有其他网络可以从几个由分配 IP 块的同一组织（RIRs）运营的证书机构 (CA) 链接查看的位置。世界各地的其他网络可以参考该文档，来决定是否相信 Dan 或另一个网络，当他通告相同的 IP 块时。这已经大大改善了互联网上流量路由的完整性。事故，比如 Dan 通告与 Alice 相同的 IP 块，随着越来越多的网络采用 RPKI，正迅速变得影响越来越小。  图 5: Dan 输入错误，在 RPKI 之后。Alice 创建一个文档并将其放入公共 RPKI 文档仓库。 RPKI 大大降低了任何单个网络对整个互联网造成的伤害，但仍存在意外或故意误用 RPKI 导致流量路由错误的情况。如果一个未经授权的参与者（我们叫她 Molly）获得 Alice 的 RIR 凭证，那么 Molly 可以创建一个文档，授权她的网络，但用 Alice 的签名签名。现在，Alice 自己合法对她地址块的声称被拒绝，那些地址不再接收流量！  图 6: Molly 获得 Alice 的 RIR 凭证。 常规的操作员错误也可能导致类似结果。例如，如果 Alice 在创建文档时输入错误，她可能授权错误的网络接收针对她 IP 块的流量。Alice 还可能为她拥有的 IP 块创建授权，但这些授权不精确匹配她的通告。所有这些错误都会导致合法声称被拒绝，尽管网络参与 RPKI 并按预期消费和处理这些文档。 AWS，作为全球范围内连接性最好的网络之一，看到了 RPKI 的巨大好处，但也认为需要采用“信任但验证”的方法。当这些类型的事件过去发生时，AWS 用户仍然可以与受影响的网络交换流量，因为 AWS 继续遵循受影响网络的真实意图。那么，我们是如何做到的呢？ # AWS 实施 RPKI 的审慎方法 AWS 对 RPKI 的实施采用审慎方法。正如任何其他 RPKI 实施一样，我们首先从公共 RPKI 文档仓库下载所有网络的文档。然后，我们检查所有签名，以确定谁被授权接收针对所有文档化 IP 块的目的地流量。完成此操作后，我们将这些授权发送到我们网络中的设备，这些设备决定接受或拒绝其他网络的通告。但这不是全部的故事。正如我们前面所述，RPKI 是一个强大的工具，可能对互联网连接产生重大影响。在构建 RPKI 部署管道时，我们预见了这些意外后果，并添加了安全检查到我们的实施中。  图 7: AWS 的网络经过一个四步过程。首先，它从公共 RPKI 文档仓库获取所有文档。其次，它检查文档的签名。第三，它执行安全检查。第四，它将文档发送到 AWS 的路由器。 以下是我们融入 RPKI 实施中的一些最具影响力的安全检查列表： 1. 我们预测推出新文档时可能发生的意外影响，例如导致一个网络后方的大部分 IP 块失去可达性。 2. 我们分波次向路由器发送更改。在波次之间暂停，同时观察各种健康指标，如果发现问题则回滚。 3. 我们保护我们自己授权的创建和发布，以确保从更广泛互联网连接到我们的用户能够保持连接。我们为此管道设置了广泛的防护措施。我们总是双重检查在发布文档前，确保它不与我们在互联网上做的任何活跃声称冲突。我们定期检查 RPKI 消费者软件是否精确反映我们的预期授权。我们验证刷新授权的工作流程是否正常运行，通过检查授权的到期时间。这些只是几个例子。我们在这一领域投入了大量资源，并将继续这样做。 4. 我们还在系统中构建了冗余，以处理我们的文档如何被其他网络消费。通告大型重叠 IP 地址块并为每个块生成文档，创建了多层冗余，这些冗余必须全部失败才会产生影响。 # 保护用户的面向互联网的工作负载 自 2019 年首次采用 RPKI 以来，它一直是 AWS 努力保护用户面向互联网工作负载的基石。而且，随着其使用不断增长，我们认为它将变得越来越重要。在 2024 年，首次超过 50% 的互联网被 RPKI ROA (文档) 覆盖，这是所有互联网参与者的一个激动人心的里程碑。截至 2025 年 5 月，根据[美国国家标准与技术研究所](https://www.nist.gov/) (NIST) 的数据，这一指标现在超过了 55.8%，从 2024 年 5 月的 50.1% 上升。我们期待看到这一趋势在 2025 年及以后继续，随着越来越多的互联网流量被 RPKI 保护。 # 展望未来 展望未来，我们也对加强 RPKI 实施的方式感到兴奋，例如通过[自治系统提供者授权](https://www.ietf.org/archive/id/draft-ietf-sidrops-aspa-profile-17.html) (ASPA) 的标准化和实施。ASPA 将通过限制哪些网络可以声称一个 IP 块以及哪些网络可以传播它，来提供路径保护级别。这将有助于防止流量通过可能不可靠或不可信的网络。 尽管 ASPA 仍在标准化中，我们致力于使用它以及我们掌握的所有工具，继续让互联网成为每个人安全可靠的地方。AWS 对 RPKI 的实施只是众多功能和服务中的一个例子，这些功能和服务（内部和外部）展示了我们如何优先考虑用户的安全。 # 结论 在本文中，我们解释了边界网关协议 (BGP) 和 RPKI 的基础知识。我们展示了我们独特的 RPKI 实施方法及其对用户的好处。如果您对本文有疑问，请在[AWS re:Post](https://repost.aws/) 上启动一个新线程，或联系[AWS 支持](https://aws.amazon.com/contact-us/)。 * * * **参考资料:** 1. 通过边界网关协议 (BGP) 前缀验证的数量衡量 ([NIST](https://www.nist.gov/)) ## 作者介绍  ### Jonathan Phillibert Jonathan 是 AWS 的首席网络开发工程师。  ### Camden Forgia Camden 是 AWS 网络服务的首席产品经理。 <!-- AI_TASK_END: AI全文翻译 -->