DDoS-palvelunestohyökkäykset aiheuttavat jatkuvia haasteita internet-palveluille. Monet organisaatiot, kuten pankit ja finanssipalvelut, ovat toistuvasti joutuneet näiden hyökkäysten kohteeksi. Vaikka tietoturva-asiantuntijat ovat tehneet suuria investointeja suojautuakseen, nykyinen internet-reititys ei riitä pitämään DDoS-hyökkäyksiä tehokkaasti hallinnassa. Uusi, moderni SCION-reititysprotokolla kuitenkin parantaa digitaalisten palveluiden suojaa huomattavasti. Sveitsin finanssialan johtava rooli DDoS-hyökkäysten hallinnassa hyödyntämällä SCIONin tarjoamia ratkaisuja on hieno Eurooppalainen innovaatio.

SCION-protokollan kehitystyö alkoi ETH Zürichissä professori Adrian Perrigin johdolla. Tapasin Adrianin Helsingissä keväällä 2019 Next Generation Internet Forum -tapahtumassa, jossa hän piti esityksen nykyisen internetin (BGP-reititys) puutteista erityisesti tietoturvan, hallittavuuden ja palautumiskyvyn osalta. Hänen näkemyksensä tulevaisuuden reititysprotokollista olivat edelläkävijätasoa, vaikka osa yleisöstä ehkä koki aiheen monimutkaiseksi. Minulle se oli seminaarin mielenkiintoisin ja todella uuden sukupolven internetiin liittyvä esitys.

Mikä on SCION ja kuka sen omistaa?

SCION ei kuulu millekään yksittäiselle yritykselle tai valtiolliselle taholle, vaan sen hallinnointi tapahtuu SCION-yhdistyksen kautta. Tämä yhdistys koordinoi protokollan kehitystä, standardointia ja avoimen lähdekoodin käyttöä yhdessä akateemisten ja kaupallisten kumppaneiden kanssa. Yhdistyksen tehtävänä on tukea SCIONin laajentumista ja varmistaa sen turvallisuus- ja luotettavuusstandardit. SCION on myös edennyt standardoinnin piiriin IETF (Internet Engineering Task Force) kautta, mikä edistää sen hyväksyntää maailmanlaajuisena standardina.

Ketkä ovat merkittävimmät kaupalliset käyttäjät?

SCION-protokollan merkittäviä käyttäjiä ovat erityisesti Sveitsin finanssialan instituutiot sekä tutkimusorganisaatiot, joissa turvallisuus ja tietoliikenteen hallinta ovat keskeisiä vaatimuksia. Sveitsiläiset teleoperaattorit, kuten Swisscom ja Sunrise, ovat ottaneet SCION-teknologian käyttöönsä ja tarjoavat sen kautta erityisesti finanssialan asiakkaille palveluja, joissa on huomattava tietoturva- ja luotettavuustaso. Tämä auttaa vähentämään riskejä, kuten DDoS-hyökkäyksiä ja ei-toivottua liikenteen sieppausta.

SCION Association edistää SCIONin laajempaa käyttöönottoa eri toimialoilla ja tukee erityisesti yrityksiä ja tietoturvakriittisiä toimijoita maailmanlaajuisesti. SCION-verkko kasvaa jatkuvasti, ja yhdistys pyrkii tekemään protokollasta yhteensopivan perinteisten internet-arkkitehtuurien kanssa, jotta sen käyttöä voidaan laajentaa turvallisuustietoisten organisaatioiden tarpeisiin ilman merkittäviä muutoksia nykyisiin verkkojärjestelmiin.

Mitkä ovat arkkitehtuurilliset suurimmat erot?

SCION on uusi Internet-arkkitehtuuri, joka on suunniteltu parantamaan Internetin tietoturvaa ja hallittavuutta perinteiseen IP-pohjaiseen arkkitehtuuriin verrattuna. Tässä muutamia keskeisiä eroja SCION-arkkitehtuurin ja perinteisen Internet-arkkitehtuurin välillä hallinnan ja tietoturvan näkökulmasta:

Tietoturva

  • Perinteinen Internet: Nykyinen IP-pohjainen Internet-arkkitehtuuri käyttää BGP-protokollaa (Border Gateway Protocol), joka ei sisällä riittäviä sisäänrakennettuja turvatoimia. Tämä tekee sen alttiiksi tietoturvauhille, kuten reitityskaappauksille ja BGP-tunkeutumisille, joissa hyökkääjä voi manipuloida liikenteen reititystä. Lisäksi liikenne voidaan helpommin salakuunnella ja kaapata, koska verkon solmut eivät voi suoraan kontrolloida kulkureittejä.
  • SCION: SCIONin ydinajatus on tietoturvallisuus ja reitityksen luotettavuus. SCION tarjoaa salausta ja tiukkaa kontrollia verkon osapuolten välillä. Reititys perustuu kryptografisiin varmenteisiin, jotka estävät reitityskaappauksia ja tunkeutumisia. Lisäksi SCION mahdollistaa reitin valinnan sekä lähettäjälle että vastaanottajalle, mikä antaa käyttäjille enemmän kontrollia ja mahdollistaa liikenteen turvaamisen halutulla reitillä.

Hallinta ja Reititys

  • Perinteinen Internet: Reititys perustuu hajautettuun BGP-protokollaan, jossa jokainen autonominen järjestelmä (AS) reitittää liikenteen osin itsenäisesti ja avoimen yhteistyön pohjalta. Tämä hajautettu rakenne tekee muutosten tekemisestä hidasta ja vaikeaa, ja palveluiden laatua on vaikea taata, sillä reittien valinta on osittain satunnaista.
  • SCION: SCION käyttää eristettyjä alueita (Isolation Domains, ISDs), jotka mahdollistavat hallitumman reitityksen ja verkon toiminnan seurannan. ISD-alueilla on omat reitityksen hallinta- ja validointitoimintonsa, mikä mahdollistaa alueellisen hallinnan ja paremman suorituskyvyn. Tämä hajautettu hallintamalli tekee SCIONista joustavamman, sillä verkon solmut voivat käyttää preferoituja reittejä, ja liikenteen kulkua voidaan hallita tehokkaammin.

Reitin ja kulkutien kontrolli

  • Perinteinen Internet: Käyttäjillä ei ole juurikaan kontrollia valittaviin reitteihin; liikenteen kulkureitti määräytyy pääosin AS-solmujen määrittämien sääntöjen mukaan, eikä käyttäjä voi valita liikenteelle parasta reittiä.
  • SCION: SCION tarjoaa käyttäjille mahdollisuuden valita reitit, mikä tuo lisähallittavuutta erityisesti organisaatioille, joilla on tiukkoja vaatimuksia tietoturvan ja suorituskyvyn suhteen. Käyttäjä voi valita nopeimman, turvallisimman tai kustannustehokkaimman reitin.

Tietoturvavalvonta ja -analytiikka

  • Perinteinen Internet: Nykyisessä arkkitehtuurissa tietoturvavalvonta on rajoitettua ja edellyttää monenlaisten lisätyökalujen käyttämistä. Esimerkiksi reitityskaappausten havaitseminen voi olla hidasta, ja lokitiedot ovat hajallaan.
  • SCION: SCIONin eristettyjen alueiden malli antaa mahdollisuuden tarkempaan valvontaan. ISD-alueiden väliset selkeät rajat ja reititysprosessin kryptografinen varmistus parantavat liikenteen valvontaa ja analysointia. Lisäksi SCION mahdollistaa reititystapahtumien jäljittämisen ja nopean uhkien tunnistamisen.

Luottamus ja Varmennejärjestelmät

  • Perinteinen Internet: Nykyinen Internet luottaa useisiin eri varmennepalveluihin ja hajautettuihin luottamusverkostoihin. Tähän liittyy haavoittuvuuksia, koska yksittäisen varmenteen tai solmun kompromettointi voi vaikuttaa suureen osaan verkkoa.
  • SCION: SCION käyttää hierarkkista varmenneinfrastruktuuria ja tiukkaa identiteettien hallintaa. Tämä estää kolmansien osapuolten välityksellä tapahtuvan tunkeutumisen ja varmistaa, että vain luotetut solmut voivat kommunikoida keskenään. Tällä tavalla SCION parantaa tiedon eheyden ja luotettavuuden hallintaa.

SCION tuo siis huomattavasti parannuksia tietoturvaan ja hallittavuuteen verrattuna perinteiseen Internet-arkkitehtuuriin. Erityisesti se parantaa verkon turvallisuutta, reitityksen luotettavuutta ja käyttäjän mahdollisuuksia kontrolloida liikenteen reittejä.

Miksi SCION ei ole laajalle levinnyt?

SCION ei ole vielä laajalle levinnyt, ja siihen on useita syitä, joista tärkeimpiä ovat seuraavat:

Yhteensopivuus ja siirtymän haasteet

Legacy-järjestelmät: Internet on rakennettu pitkälti olemassa olevan IP-protokollan ja BGP-reititysprotokollan varaan, joita on haastavaa muuttaa ilman merkittäviä riskejä häiriöistä. Nykyisen arkkitehtuurin muutos SCION-yhteensopivaksi vaatisi päivityksiä ja investointeja palveluntarjoajilta, datakeskuksilta, verkkolaitteilta ja käyttäjäorganisaatioilta. Vaatii siis ponnisteluja ja on helpompaa olla tekemättä mitään?

Infrastruktuurin kustannukset: SCION-verkko vaatii omia reitittimiä ja verkon osia sekä mahdollisesti uusia reitityssääntöjä ja laitteistoja. Tämän vuoksi siirtymä SCION-verkkoon olisi kallis, ja nykyinen Internet-infrastruktuuri on jo erittäin suuri ja monimutkainen.

Ekosysteemin ja käytön rajoitteet

  • Vähäinen kysyntä ja käyttökohteet: Vaikka SCION tarjoaa etuja turvallisuuden ja hallinnan suhteen, monet nykyiset verkon käyttäjät ja organisaatiot eivät vielä koe sitä riittävän kriittiseksi tarpeeksi. Ainoastaan tietyt toimialat, kuten finanssi- ja viranomaistoiminta, joissa turvallisuus ja hallinta ovat erityisen tärkeitä, ovat toistaiseksi kokeilleet SCION-arkkitehtuuria.  Yritykset sietävät näitä hyökkäyksiä.
  • Laajan tuen puute: SCIONin kehityksen yhteydessä ei ole vielä muodostunut laajaa ekosysteemiä, joka kattaisi kaikki tarvittavat teknologiat ja työkalut eri tarpeisiin. Ekosysteemin puutteet rajoittavat SCIONin hyödyntämistä suuremmassa mittakaavassa.

Rajallinen tietotaito ja tuntemus

  • Uutuus ja tekninen tietotaito: SCION on melko uusi arkkitehtuuri, eikä siitä ole vielä paljon kokemusta verrattuna perinteisiin Internet-verkkoihin. Useimmilla verkkohallinnan ja tietoturvan ammattilaisilla ei ole syvällistä osaamista SCIONista, ja uuteen teknologiaan siirtyminen vaatisi myös koulutusta ja uuden tietotaidon hankkimista.
  • Tietoturva- ja hallintaratkaisujen soveltaminen: Monet nykyiset tietoturva- ja verkkohallinnan työkalut eivät ole suoraan yhteensopivia SCION-arkkitehtuurin kanssa, mikä vaikeuttaa uuden arkkitehtuurin laajamittaista käyttöönottoa.

Hitaat standardointiprosessit ja kaupalliset intressit

  • Internet-arkkitehtuurin standardointi: Internet-arkkitehtuurin muutokset käyvät läpi kansainvälisiä standardointiprosesseja, jotka voivat kestää vuosia. SCIONin hyväksyminen laajaksi standardiksi vaatii monien osapuolten, kuten Internet-palveluntarjoajien, valtiollisten elinten ja laitevalmistajien, yhteistyötä.
  • Kaupalliset intressit ja olemassa olevat sijoitukset: Monet suuryritykset ja operaattorit ovat tehneet merkittäviä investointeja nykyiseen arkkitehtuuriin, eikä siirtymä uuteen arkkitehtuuriin ole taloudellisesti kannattavaa, ellei sen tarve ole erittäin kriittinen. Näin ollen kaupalliset intressit saattavat hidastaa SCIONin käyttöönottoa.

Kilpailu muiden ratkaisujen kanssa

  • Kilpailevat teknologiat: Useita uusia ratkaisuja, kuten IPv6, SD-WAN ja Zero Trust -arkkitehtuurit, on kehitetty parantamaan nykyisen Internetin hallintaa ja tietoturvaa ilman SCIONin vaatimia radikaaleja muutoksia. Monet organisaatiot suosivat näitä asteittaisia parannuksia, koska ne voivat tuoda parempia tuloksia nopeammin ja vähemmillä infrastruktuurimuutoksilla. DDoS hyökkäyksiin niiden vaikutus on tosin rajallinen.

Näistä syistä SCION on toistaiseksi jäänyt erikoisratkaisuksi, vaikka sen potentiaali tietoturvan ja hallinnan parantamisessa on suuri. Tulevaisuudessa, jos tietoturvauhat kasvavat entisestään ja verkon hallinnan vaatimukset tiukentuvat, SCIONin kaltaiset arkkitehtuurit voivat tulla suositummiksi ja saada laajempaa tukea. Sveitsin finanssialan johtava rooli DDoS-hyökkäysten hallinnassa on loistava esimerkki aktiivisesta yhteistyöstä ratkaisun löytämiseksi. Siihen asti täytyy virittää vanhaa arkkitehtuuria ja testata paljonko hyökkäyksiä palvelut kestävät?

 

Hannu Rokka, Senior Advisor
5Feet Networks Oy