AWS Study Group

AWS Bảo Mật Định Tuyến Internet Với RPKI và Các Kiểm Tra An Toàn Tiên Tiến

Tác giả: Camden Forgia và Jon Phillibert
Ngày: 02 tháng 5 năm 2025

Giới thiệu

Trong chuỗi bài viết giải thích về các dịch vụ truyền tải dữ liệu của AWS, chúng tôi đã trình bày cách xây dựng nền tảng đám mây nhằm trở thành môi trường an toàn nhất để khách hàng vận hành các khối lượng công việc của họ. Bài viết này sẽ tiếp tục đào sâu vào một triển khai quan trọng nhất của AWS: Cơ sở hạ tầng Khóa công khai tài nguyên (RPKI) – một giải pháp nâng cao bảo mật dành cho hệ thống định tuyến BGP trên Internet.

RPKI là một khung khóa công khai chuyên dụng giúp tăng cường tính toàn vẹn và xác thực cho cơ sở hạ tầng định tuyến internet BGP. AWS hỗ trợ việc áp dụng RPKI như một tiêu chuẩn chung, hợp tác mạnh mẽ với các mạng ngang hàng và nhà cung cấp cấp thượng nguồn (upstream providers), nhằm nâng cao an toàn cho toàn bộ hệ sinh thái Internet.

Đã từng diễn ra các sự kiện vận hành liên quan đến RPKI gây ảnh hưởng lớn tới kết nối Internet của nhiều mạng quan trọng. Tại AWS, chúng tôi phát triển mô hình triển khai RPKI riêng biệt, bao gồm các cơ chế kiểm tra an toàn nghiêm ngặt để đảm bảo độ chính xác và bảo vệ toàn diện, từ đó giữ an toàn cho các khối lượng công việc của khách hàng trước những rủi ro ảnh hưởng quy mô lớn.

Bài viết này sẽ giải thích cách những sự kiện trên xảy ra và cách AWS chủ động đảm bảo khách hàng không bị tác động, đồng thời cung cấp các kiến thức cơ bản về định tuyến Internet và RPKI.

Tổng quan về định tuyến Internet và giao thức BGP

Internet là một mạng lưới phi tập trung gồm hàng chục nghìn hệ thống mạng tự trị (Autonomous Systems – AS) hoạt động độc lập, kết nối với nhau qua giao thức định tuyến BGP (Border Gateway Protocol). BGP là giao thức chuẩn giúp các AS trao đổi thông tin để xác định tuyến đường tối ưu nhất cho dữ liệu di chuyển qua Internet.

BGP đảm bảo các mạng có thể tương tác và trao đổi thông tin định tuyến, là thành phần thiết yếu giúp người dùng thực hiện các chức năng cơ bản như duyệt web hay gửi email. Nếu không có BGP, Internet sẽ không thể vận hành như ngày nay.

Ví dụ minh họa cách BGP vận hành

Giả sử Alice là quản lý mạng được cấp một khối địa chỉ IP từ cơ quan đăng ký Internet khu vực (RIR). Cô ấy cấu hình bộ định tuyến để thông báo với các mạng liền kề rằng cô sở hữu khối địa chỉ IP này. Sau đó, Bob, quản lý mạng của một mạng liền kề, nhận thông tin từ Alice và tiếp tục “tán gẫu” (hay truyền) thông tin này đến các mạng lân cận khác. Tiếp theo, Dan là quản lý mạng của mạng kế tiếp cũng tiếp tục truyền dẫn thông tin đó cho các mạng kế tiếp nữa. Chu trình này giúp thông tin BGP được truyền đi trên quy mô toàn cầu.

Vấn đề khi không có RPKI

Khi Dan nhập sai thông tin khối địa chỉ IP (ví dụ đánh máy sai), trước khi có RPKI, lỗi này có thể lan truyền rộng, dẫn đến các kết nối Internet bị gián đoạn hoặc định tuyến sai lệch. Hiện tượng này gây ra rủi ro lớn cho các mạng và khối lượng công việc của người dùng.

Vai trò của RPKI trong bảo mật định tuyến

RPKI cho phép chủ sở hữu khối IP (như Alice) tạo ra các chứng thực số xác thực quyền sở hữu đối với khối địa chỉ IP, sau đó lưu trữ trong kho chứng thực công cộng. Nhờ đó, các bên trung gian như Bob và Dan có thể kiểm tra tính xác thực của thông tin trước khi truyền dẫn trong mạng. Nếu Dan “gõ nhầm” sau khi tồn tại RPKI, thông tin sai sẽ bị từ chối vì không có chứng thực hợp lệ, tránh được rủi ro lan truyền lỗi.

Triển khai RPKI của AWS: Các kiểm tra an toàn chủ chốt

AWS đã phát triển một triển khai RPKI riêng biệt, bao gồm các lớp kiểm tra an toàn cao cấp nhằm đảm bảo tính chính xác và ổn định cho định tuyến, đặc biệt là:

  • Xác thực chéo dữ liệu RPKI với thông tin đăng ký chính thức của các RIR
  • Phát hiện và cảnh báo sớm các bất thường về chứng thực và dữ liệu định tuyến
  • Các cơ chế phục hồi nhanh cho phép giảm thiểu tối đa tác động nếu có sự cố

Tầm nhìn về tương lai

Chúng tôi tin rằng RPKI và các tiêu chuẩn kiến trúc bảo mật định tuyến sẽ ngày càng phát triển và đóng vai trò chiến lược trong việc bảo vệ Internet và môi trường đám mây. AWS sẽ tiếp tục:

  • Cải tiến các công nghệ, kiểm tra bảo mật để triển khai RPKI hiệu quả hơn
  • Hợp tác với cộng đồng mạng để thúc đẩy áp dụng RPKI rộng rãi
  • Đảm bảo khách hàng của mình có môi trường vận hành an toàn trước những thách thức bảo mật định tuyến trong tương lai

Kết luận

Việc AWS triển khai RPKI với các kiểm tra bảo mật tiên tiến góp phần xây dựng nên nền tảng đám mây an toàn và tin cậy cho khách hàng. Không chỉ vậy, chúng tôi còn đóng góp vào nâng cao bảo mật tổng thể của Internet bằng cách thúc đẩy áp dụng các tiêu chuẩn bảo mật định tuyến quan trọng này.

Nếu bạn quan tâm và muốn tìm hiểu thêm về BGP, RPKI và cách AWS bảo vệ định tuyến Internet, hãy đón đọc các bài viết tiếp theo trong chuỗi bài viết về bảo mật mạng và hạ tầng đám mây của AWS.

Leave a comment