Uzmanlar, kesintinin internet hizmetlerinin çok merkezi olduğunu ve esneklikten yoksun olduğunu gösterdiğini söylüyor.
Güvenlik uzmanları, dünyanın en büyük web kesintilerinden birinin, internet altyapısının tehlikeli bir şekilde aşırı merkezileştiği ve esneklikten yoksun olduğu konusunda bir "uyandırma çağrısı" olarak hareket etmesi gerektiği konusunda uyardı.
Dünyanın internet trafiğinin %10'unu yöneten Fastly adlı tek bir altyapı sağlayıcısında açıklanamayan bir yapılandırma hatası, büyük web sitelerini ve hizmetleri Salı sabahı neredeyse bir saat çalışamaz hale getirmeye yetti.
Reddit, Amazon, Twitch, Spotify ve Hulu gibi çevrimiçi işletmeler, Guardian'ın web sitesi, BBC, New York Times ve CNN gibi çevrimdışı hale getirildi. Ulusal hükümetler de yakalandı: gov.uk kullanılamıyordu, Beyaz Saray'ın web sitesi gibi Covid aşıları rezervasyon sitesi de dahil olmak üzere bir dizi hükümet hizmetine erişilemez hale geldi.
Etkilenen sitelerin tümü Fastly'yi, yoğun trafikli web siteleri için daha fazla güvenilirlik ve performans sağlamayı amaçlayan bir içerik dağıtım ağı (CDN) olarak kullandı.
CDN, bir kullanıcının yaşadığı her yerde hızlı bir bağlantı için en az bir sunucunun yeterince yakın olacağı şekilde yerleştirilmiş küresel bir sunucu ağıdır.
Guardian gibi müşteriler, ziyaretçileri kendi sunucuları yerine CDN'ye göndererek içeriği daha hızlı sağlar ve trafikte bir artış olması durumunda web sitesini aşırı yüklenmekten korur.
Ancak bir CDN aynı zamanda tek bir başarısızlık noktası olarak da hizmet edebilir: ağ çökerse, koruduğu web sitelerine giden tüm trafiği de engelleyebilir. CDN'ler ne kadar büyükse o kadar verimlidir ve piyasada bir güç yoğunluğu yaratır.
Fastly, Cloudflare veya Amazon
İnternet trafiğinin büyük çoğunluğu üç CDN'den biri üzerinden yönlendirilir: Fastly, Cloudflare veya Amazon'un CloudFront'u. Siber güvenlik şirketi F5 Labs'den David Warburton, merkezileşmenin internet tarihinde nispeten yeni olduğunu ve muhtemelen sorunlara neden olmaya devam edeceğini söyledi.
“Web bir bütün olarak merkezsizleştirilmeyi amaçlamıştı” dedi. “Herhangi bir merkezi sisteme güvenmemek, birçok farklı bileşenin başarısız olabileceği ve internet trafiğinin gitmesi gereken yere ulaşmanın bir yolunu bulabileceği anlamına geliyordu. Ancak son on yılda gördüğümüz şey, altyapı satıcıları ve CDN'ler gibi büyük bulut çözümü sağlayıcıları aracılığıyla birçok temel hizmetin kasıtsız olarak merkezileştirilmesidir."
2014-2018 yılları arasında istihbarat güvenliği ve dayanıklılıktan sorumlu ulusal güvenlik danışman yardımcısı olan Paddy McGuinness, saldırının “uyandırma çağrısı” olarak görülmesi gerektiğini ve teknoloji yeni hizmetler getirdiği için politikacıların mevcut güvenlik odaklı yaklaşımı genişletmesi gerektiğini söyledi.
İki başbakan David Cameron ve Theresa May'in altında çalışan eski Whitehall içeriden biri, “Özellikle vatandaşlara hizmet sunmak için inşa ettiğimiz yeni ağlarda, açık bir politika hedefi olarak dayanıklılığa ihtiyacımız var” dedi. "'Tasarım ve varsayılan olarak güvenli' bir mantra memnuniyetle karşılanır, ancak bu kendi başına yeterli değildir."
McGuinness, istihbarat teşkilatları GCHQ ve onun siber güvenlik kolu olan NCSC'nin (Ulusal Siber Güvenlik Merkezi) tek başına çalışmasının "kesintileri önleyemeyeceğini" savundu, çünkü kısmen görevlerinin önemli bir kısmı düşmanca devlet ve hacker saldırılarını tespit etmek ve önlemekti.
Frank BAJAK and Matt O’BRIEN: İnternet ne kadar savunmasız? https://t.co/inY8fgjYQ5 @fbajak @ObsoleteDogma #Fastly #InternetShutdown #internet
— Habere Güven (@HabereGuven) June 9, 2021
The New York Times, Shopify, the Guardian, Ticketmaster, Pinterest, Etsy, Wayfair and Stripe
Tüm kayıpları kapsamayacak
Böyle bir kesintinin maliyeti çok büyük olabilir. Nottingham Hukuk Fakültesi'nden Prof Rebecca Parry, 2015 yılında, internet ekonomisinin ölçeğinin günümüzün küçük bir parçası olduğu zamanlarda, bulut hizmeti kesintilerinin maliyetinin yılda yaklaşık 300 milyon dolar (yaklaşık 210 milyon £) olarak tahmin edildiğini söylüyor. Parry, "Hizmet kaybı sorumluluğu muhtemelen ücretli bulut hizmetlerinin müşterileriyle yapılan 'hizmet seviyesi anlaşması' kapsamında olacaktır," dedi, "ancak anlaşmalar genellikle devam eden tüm kayıpları kapsamayacaktır."
Sungard Availability Services'den Chris Huggett, tipik bir Fastly müşterisinin, gerçek maliyetleri yüzlerce kat daha fazla olsa bile, kesinti için 1.000 dolardan fazla iade ücreti alma olasılığının düşük olduğunu söyledi. "Artık saatte 250.000 ABD Doları tutarındaki ortalama kesinti maliyetiyle, her dakika önemlidir."
Hizmetteki çöküş
Kasım 2020'de, Amazon'un bulut barındırma kolu olan AWS, ABD batı kıyısının öğleden sonra ortasında birkaç saatlik bir kesinti yaşadı. Tüm internetin yaklaşık %40'ı ile etkileşime giren hizmetteki çöküş, 1Password, Flickr, iRobot ve Washington Post gibi siteleri ve hizmetleri ortadan kaldırdı.
Aylar önce, Fastly gibi başka bir CDN olan Cloudflare'deki bir başarısızlık, web'in çoğunu çalışamaz hale getirmişti. Bu, Newark ve Chicago'daki veri merkezleri arasındaki fiziksel bağlantıdaki tek bir hatanın izini sürdü ve tam olarak düzeltilmesi neredeyse iki saat süren bir kesintiye dönüştü.
Warburton, Salı günü Fastly kesintisinin ardından şunları söyledi: “Geleneksel bir internet uygulaması dağıtım modelinde, bir sunucunun kesintisi veya yanlış yapılandırılmış bir uygulama tek bir web sitesini devre dışı bırakabilir. Bugün gördüğümüz gibi, bir bulut çözüm sağlayıcısıyla ilgili benzer sorunlar, tüm müşterilerini ortadan kaldırabilir ve bu da tek bir web sitesinin değil, yüzlerce veya binlerce web sitesinin çevrimdışına alınmasına neden olabilir. Etki, kuruluşların dijital deneyimlerini, gelirlerini ve itibarlarını etkileyebilir.
“İnternetin bu bulut çözümleri aracılığıyla 'yeniden merkezileştirilmesi', artık internetin orijinal tasarımının yedeklilik yoluyla kaçınmayı amaçladığı sorunlara neden oluyor. Bizi tek başarısızlık noktalarından uzaklaştıran bir yaklaşım düşünmemiz önemlidir, aksi takdirde bugün yaptığımız gibi daha fazla sorun göreceğiz."
