<!-- AI_TASK_START: AI标题翻译 -->
[解决方案] AWS 通过 RPKI 以及安全检查保护互联网路由
<!-- AI_TASK_END: AI标题翻译 -->
<!-- AI_TASK_START: AI竞争分析 -->
# 解决方案分析
## 解决方案概述
本文档详细阐述了AWS基于Resource Public Key Infrastructure(**RPKI**)的互联网路由安全解决方案,旨在解决BGP协议中的路由错误和安全风险。**RPKI**是一种专门的公钥基础设施框架,用于验证IP地址块的合法所有权,确保数据路由的准确性。背景在于互联网由众多自治系统(**Autonomous Systems**,简称AS)组成,BGP协议虽是基础,但缺乏内置验证机制,导致非法路由广告(如错误声明IP块)可能中断流量。该解决方案适用于全球网络运营商和云用户,针对行业需求如提升互联网整体安全性和可靠性,提供预防性措施。
## 实施步骤
1. **下载并验证文档**:从公共**RPKI**文档仓库获取所有网络的授权文档(如**Resource Origin Authorization**,ROA),然后检查签名以确认授权合法性。该步骤确保数据完整性,通过公钥机制验证所有者的真实性。
- 逻辑衔接:这一步是基础,建立信任链,避免后续错误传播。
2. **进行安全检查**:对验证后的文档执行额外安全检查,例如预测潜在影响(如路由可达性损失)、分波次更新路由器配置,并监控健康指标。如果检测到问题,系统会回滚变更。该步骤体现了AWS的“信任但验证”原则,防范操作失误。
- 技术原理:结合健康指标监控(如使用内部工具),通过波次部署减少风险,实现渐进式更新。
3. **更新路由器配置**:将经过安全检查的授权信息发送到AWS网络设备中,用于决定是否接受其他网络的路由广告。该步骤包括冗余设计,如为IP块生成多层文档,确保高可用性。
- 理由:通过分层冗余和守卫机制,防止单一故障导致广泛影响,提升系统韧性。
## 方案客户价值
- **提升路由安全性和可靠性**:通过**RPKI**验证,减少非法路由广告(如冒充IP块所有者)对用户流量的干扰,确保关键业务不受影响。该机制显著降低了因操作错误或恶意行为导致的连接中断风险。
- **保护用户工作负载**:AWS的用户(如运行互联网面向工作负载的企业)受益于该方案,避免了历史事件中出现的广域网络中断问题,从而维持业务连续性。相比传统BGP方案,该解决方案添加了安全检查,实现了更强的防护,但需注意操作失误仍可能引发局部影响。
- **推动行业采用**:文档显示**RPKI**覆盖率从2024年的50.1%上升至2025年5月的55.8%,这为用户带来了更安全的互联网环境,量化收益体现在减少路由错误频率上,帮助企业降低潜在经济损失。
## 涉及的相关产品
- **AWS Networking Services**:作为核心组件,支持**BGP**协议和**RPKI**实施,用于路由管理和流量优化。该产品在解决方案中负责处理路由广告验证,确保用户流量正确路由。
- **AWS Cloud Computing Concepts Hub**:提供**BGP**相关参考资料,支持用户理解和应用该方案的网络原理。
## 技术评估
该解决方案的技术先进性体现在**RPKI**的标准化框架上,通过签名验证和安全检查(如预测影响及波次部署)提升了BGP路由的可行性和安全性,适用于大规模互联网环境。优势包括:减少路由错误对全球网络的影响,并通过冗余机制增强可靠性;然而,可能的局限性在于操作失误(如文档创建错误)仍可导致局部流量中断,尽管AWS的安全检查已缓解此类风险。该方案在适用范围上适合高连接性网络,但在大规模动态环境中,可能面临管理复杂度上升的问题,如需持续监控和更新以适应新威胁。
<!-- AI_TASK_END: AI竞争分析 -->
<!-- AI_TASK_START: AI全文翻译 -->
# AWS 通过 RPKI 加上安全检查来保护互联网路由
**原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/aws-secures-internet-routing-with-rpki-plus-security-checks/](https://aws.amazon.com/blogs/networking-and-content-delivery/aws-secures-internet-routing-with-rpki-plus-security-checks/)
**发布时间:** 2025-05-02
**厂商:** AWS
**类型:** BLOG
---
在我们的[上一篇文章](https://aws.amazon.com/blogs/networking-and-content-delivery/demystifying-aws-data-transfer-services-to-build-secure-and-reliable-applications/) 中,我们简要解释了 AWS 从基础设计上是如何成为用户在云中运行工作负载的最安全方式的。在本文中,我们在此基础上,聚焦于 AWS 如何拥有最大的资源公钥基础设施 (RPKI) 实现¹。RPKI 是一种专门的公钥基础设施框架,用于提升互联网边界网关协议 (BGP) 路由基础设施的安全性。AWS 一直倡导 RPKI 的采用,作为与对等网络和上游网络的标准实践,以推进整体互联网安全。历史上,曾发生过涉及 RPKI 的操作事件,导致大型网络的互联网连接受到影响。在 AWS,我们拥有独特的 RPKI 实现,包括安全检查,以确保准确性,最终目标是保护用户的工作负载免受此类广泛影响的事件。在本文中,我们将解释此类事件如何发生,以及 AWS 如何确保用户不受影响。不过,在此之前,我们先从基础知识开始。
# 互联网路由和 BGP 的概述
互联网是一个由独立运营网络组成的去中心化网格。这些网络有数万个,它们使用 BGP 协议相互连接。BGP 是一种标准化协议,允许自治系统 (AS) 确定数据在互联网上传输的最佳路径。BGP 对于互联网的运行至关重要,它使网络能够相互通信、发送和接收信息。没有 BGP,用户甚至无法执行最基本的操作,比如浏览网页或发送电子邮件。您可以从[AWS 云计算概念中心](https://aws.amazon.com/what-is/?faq-hub-cards.sort-by=item.additionalFields.sortDate&faq-hub-cards.sort-order=desc&awsf.tech-category=*all) 了解更多关于 BGP 以及 AWS 如何实现 BGP 的信息。
我们用一个例子来说明 BGP 的工作原理。假设 Alice 是一名网络管理员,她从区域互联网注册机构 (RIR) 获得了一块 IP 地址块;她使用路由器向相邻网络通告自己是这块 IP 的注册用户。然后,Bob(相邻网络的网络管理员)将 Alice 共享的 IP 地址块“传播”给他的相邻网络。随后,Dan(Bob 的相邻网络的网络管理员)将 Alice 的 IP 地址块传播给他的相邻网络,以此类推。这就是 BGP 如何使信息在全球范围内从一个相邻网络跳跃到另一个相邻网络。

图 1: Alice 的路由器向 Bob 的路由器通告她的地址。

图 2: Bob 的路由器“传播”Alice 的地址。

图 3: 信息继续在全球传播。
# 问题
BGP 不仅推动了互联网的发展,还支持了许多内部网络中的影响性应用。然而,原始的 BGP 规范让各个网络的运营商负责制定自己的策略,来确定 IP 块的合法用户。例如,延续前面关于 Alice 的 IP 地址块的例子:如果有人(我们叫他 Dan)声称拥有与 Alice 相同的 IP 地址块,尽管他不是注册用户,该怎么办?Dan 可能意外或故意通告这块 IP 地址块。然而,直到最近,大部分构成互联网的相邻网络都没有很好的方法来确定 IP 块的合法用户,从而导致许多相邻网络接受该通告并将流量路由回 Dan。Dan 通告错误 IP 块的影响是 Alice 可能停止接收针对她 IP 块的部分或全部流量。在 2010 年代,这些类型的非法通告变得足够严重,以至于互联网工程任务组 (IETF) 决定制定策略来解决这个问题。最终,他们开发了 RPKI。

图 4: Dan 输入错误,在 RPKI 之前。
# 什么是 RPKI?
RPKI 是一种方式,让自治系统 (AS) 合法通告仅为其 IP 地址接收流量的网络。要深入了解 RPKI 的实际工作原理,请查看我们之前的文章,关于[AWS 如何帮助保护互联网路由](https://aws.amazon.com/blogs/networking-and-content-delivery/how-aws-is-helping-to-secure-internet-routing/)。简而言之,延续 Alice 网络的例子,Alice 可以“签名”一个名为资源起源授权 (ROA) 的文档,并将其发布到所有其他网络可以从几个由分配 IP 块的同一组织(RIRs)运营的证书机构 (CA) 链接查看的位置。世界各地的其他网络可以参考该文档,来决定是否相信 Dan 或另一个网络,当他通告相同的 IP 块时。这已经大大改善了互联网上流量路由的完整性。事故,比如 Dan 通告与 Alice 相同的 IP 块,随着越来越多的网络采用 RPKI,正迅速变得影响越来越小。

图 5: Dan 输入错误,在 RPKI 之后。Alice 创建一个文档并将其放入公共 RPKI 文档仓库。
RPKI 大大降低了任何单个网络对整个互联网造成的伤害,但仍存在意外或故意误用 RPKI 导致流量路由错误的情况。如果一个未经授权的参与者(我们叫她 Molly)获得 Alice 的 RIR 凭证,那么 Molly 可以创建一个文档,授权她的网络,但用 Alice 的签名签名。现在,Alice 自己合法对她地址块的声称被拒绝,那些地址不再接收流量!

图 6: Molly 获得 Alice 的 RIR 凭证。
常规的操作员错误也可能导致类似结果。例如,如果 Alice 在创建文档时输入错误,她可能授权错误的网络接收针对她 IP 块的流量。Alice 还可能为她拥有的 IP 块创建授权,但这些授权不精确匹配她的通告。所有这些错误都会导致合法声称被拒绝,尽管网络参与 RPKI 并按预期消费和处理这些文档。
AWS,作为全球范围内连接性最好的网络之一,看到了 RPKI 的巨大好处,但也认为需要采用“信任但验证”的方法。当这些类型的事件过去发生时,AWS 用户仍然可以与受影响的网络交换流量,因为 AWS 继续遵循受影响网络的真实意图。那么,我们是如何做到的呢?
# AWS 实施 RPKI 的审慎方法
AWS 对 RPKI 的实施采用审慎方法。正如任何其他 RPKI 实施一样,我们首先从公共 RPKI 文档仓库下载所有网络的文档。然后,我们检查所有签名,以确定谁被授权接收针对所有文档化 IP 块的目的地流量。完成此操作后,我们将这些授权发送到我们网络中的设备,这些设备决定接受或拒绝其他网络的通告。但这不是全部的故事。正如我们前面所述,RPKI 是一个强大的工具,可能对互联网连接产生重大影响。在构建 RPKI 部署管道时,我们预见了这些意外后果,并添加了安全检查到我们的实施中。

图 7: AWS 的网络经过一个四步过程。首先,它从公共 RPKI 文档仓库获取所有文档。其次,它检查文档的签名。第三,它执行安全检查。第四,它将文档发送到 AWS 的路由器。
以下是我们融入 RPKI 实施中的一些最具影响力的安全检查列表:
1. 我们预测推出新文档时可能发生的意外影响,例如导致一个网络后方的大部分 IP 块失去可达性。
2. 我们分波次向路由器发送更改。在波次之间暂停,同时观察各种健康指标,如果发现问题则回滚。
3. 我们保护我们自己授权的创建和发布,以确保从更广泛互联网连接到我们的用户能够保持连接。我们为此管道设置了广泛的防护措施。我们总是双重检查在发布文档前,确保它不与我们在互联网上做的任何活跃声称冲突。我们定期检查 RPKI 消费者软件是否精确反映我们的预期授权。我们验证刷新授权的工作流程是否正常运行,通过检查授权的到期时间。这些只是几个例子。我们在这一领域投入了大量资源,并将继续这样做。
4. 我们还在系统中构建了冗余,以处理我们的文档如何被其他网络消费。通告大型重叠 IP 地址块并为每个块生成文档,创建了多层冗余,这些冗余必须全部失败才会产生影响。
# 保护用户的面向互联网的工作负载
自 2019 年首次采用 RPKI 以来,它一直是 AWS 努力保护用户面向互联网工作负载的基石。而且,随着其使用不断增长,我们认为它将变得越来越重要。在 2024 年,首次超过 50% 的互联网被 RPKI ROA (文档) 覆盖,这是所有互联网参与者的一个激动人心的里程碑。截至 2025 年 5 月,根据[美国国家标准与技术研究所](https://www.nist.gov/) (NIST) 的数据,这一指标现在超过了 55.8%,从 2024 年 5 月的 50.1% 上升。我们期待看到这一趋势在 2025 年及以后继续,随着越来越多的互联网流量被 RPKI 保护。
# 展望未来
展望未来,我们也对加强 RPKI 实施的方式感到兴奋,例如通过[自治系统提供者授权](https://www.ietf.org/archive/id/draft-ietf-sidrops-aspa-profile-17.html) (ASPA) 的标准化和实施。ASPA 将通过限制哪些网络可以声称一个 IP 块以及哪些网络可以传播它,来提供路径保护级别。这将有助于防止流量通过可能不可靠或不可信的网络。
尽管 ASPA 仍在标准化中,我们致力于使用它以及我们掌握的所有工具,继续让互联网成为每个人安全可靠的地方。AWS 对 RPKI 的实施只是众多功能和服务中的一个例子,这些功能和服务(内部和外部)展示了我们如何优先考虑用户的安全。
# 结论
在本文中,我们解释了边界网关协议 (BGP) 和 RPKI 的基础知识。我们展示了我们独特的 RPKI 实施方法及其对用户的好处。如果您对本文有疑问,请在[AWS re:Post](https://repost.aws/) 上启动一个新线程,或联系[AWS 支持](https://aws.amazon.com/contact-us/)。
* * *
**参考资料:**
1. 通过边界网关协议 (BGP) 前缀验证的数量衡量 ([NIST](https://www.nist.gov/))
## 作者介绍

### Jonathan Phillibert
Jonathan 是 AWS 的首席网络开发工程师。

### Camden Forgia
Camden 是 AWS 网络服务的首席产品经理。
<!-- AI_TASK_END: AI全文翻译 -->