IaaS-провайдеры поборются с атаками на BGP-протокол

    Несколько крупных организаций присоединились к MANRS. Это — инициатива, участники которой стараются предотвращать распространение некорректных данных о маршрутах в сетях провайдеров.

    Ошибки маршрутизации могут приводить к сбоям. Избежать их особенно важно сейчас, когда многие сидят по домам, и нагрузка на инфраструктуру продолжает увеличиваться.


    Фото — Ma Joseph — Unsplash

    Что влияет на работу облака


    В последние месяцы больше народа стало сидеть дома и работать удаленно. Этот факт привел к значительному увеличению нагрузки на сервисы IaaS-провайдеров. Один из западных облачных вендоров отметил восьмикратный рост числа пользователей в Италии, где введены строгие меры самоизоляции. Отчасти эффект вызван ростом числа бизнесов, желающих закупить инфраструктуру для настройки удаленных рабочих мест.

    По данным Европола, вместе с нагрузкой на ИТ-инфраструктуру возросло и число киберпреступлений. Похожим образом ситуация развивается и в США. Мошенники часто упоминают коронавирус в рассылках фишинговых писем. О росте подобных атак предупредили даже в Министерстве внутренней безопасности США (Department of Homeland Security).

    Также эксперты фиксируют рост числа атак, направленных на протокол динамической маршрутизации BGP. Наряду с DNS, он выступает одним из ключевых компонентов интернета. С помощью протокола маршрутизаторы провайдеров передают друг другу данные о доступности сетей. Еще в 1998 году участник хакерской группировки L0pht говорил, что продуманная атака на BGP способна «отключить» мировой интернет за полчаса.

    В таких условиях важно защитить инфраструктуру, на которой построены сети облачных и интернет-провайдеров. Поэтому в конце марта несколько крупных IaaS-вендоров и ИТ-компаний — в их числе Google, Facebook, Microsoft и Netflix — подключились к проекту MANRS (Mutually Agreed Norms for Routing Security).

    Чем занимается MANRS


    Проект был основан в 2014 году при поддержке международной организации «Общество интернета», финансирующей деятельность Инженерного совета интернета (IETF) и Совета по архитектуре интернета (IAB). Его участники — сегодня их более 300 — работают над сводом лучших практик для повышения безопасности маршрутизации.

    В марте в рамках инициативы запустили новую программу, специально для облачных провайдеров и компаний, отвечающих за работу сетей доставки контента (CDN). Именно к ней подключились Google, Facebook и другие операторы.

    Они помогут с внедрением механизмов фильтрации и антиспуфинга, чтобы бороться с кражами префиксов (route hijacking) и подделками IP-адресов.

    Также корпорации будут популяризовать механизм RPKI (Resource Public Key Infrastructure) — иерархической системы открытых ключей для обеспечения безопасности глобальной маршрутизации. Пока что её использует всего 10% участников MANRS. Еще ИТ-компании будут разрабатывать инструменты для сетевого мониторинга.

    Перспективы


    Андрей Робачевский (Andrei Robachevsky), руководитель проектов «Общества интернета», убежден, что крупные игроки, подобные Google и Microsoft, помогут сократить число хакерских атак на BGP. За последние несколько лет MANRS уже удалось достигнуть определенных успехов.

    Как пишет The Register, в 2017 году аналитики зафиксировали 14 тыс. инцидентов, связанных с вмешательством в работу протокола. Годом позднее, благодаря деятельности организации, общее число инцидентов сократилось до 12 тыс.


    Фото — Chris Dickens — Unsplash

    Также есть мнение, что крупные компании послужат примером и привлекут в MANRS другие фирмы. Уже есть первые результаты — недавно к инициативе присоединился оператор China Telecom. Его критиковали за частые ошибки с маршрутизацией. Буквально в прошлом году компания случайно направила через свои сети трафик нескольких европейских операторов связи. По словам Андрея Робачевского, China Telecom сами обратились к сообществу с просьбой помочь им предотвратить подобные инциденты в будущем.

    Есть основания полагать, что это не последний раз, когда крупная компания присоединяется к MANRS.

    Отметим, что это не единственный проект, к которому подключаются облачные провайдеры. В конце марта более 80 новых компаний стали членами фонда CNCF (Cloud Native Computing Foundation), сформированного при поддержке The Linux Foundation и крупных западных IaaS-провайдеров. Организации направят ресурсы на развитие открытых облачных сервисов и инструментов для обеспечения информационной безопасности.

    Свежие материалы из нашего корпоративного блога:

    Чем поможет облако на удаленной работе
    Как новые возможности панели 1cloud помогают клиенту: опыт компании «Комплекс-ойл»
    «Почти анархия»: краткая история Fidonet — проекта, которому «нет дела» до победы над интернетом
    1cloud.ru
    IaaS, VPS, VDS, Частное и публичное облако, SSL

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое