正在阅读: IPv6规模化部署下互联网企业IPv6安全升级与实践

IPv6规模化部署下互联网企业IPv6安全升级与实践

2018-09-12 12:26来源:雷锋网

调查问题加载中,请稍候。
若长时间无响应,请刷新本页面

  雷锋网编者按:随着5G、IoT、云计算技术的不断成熟,万物互联时代即将到来,随之而来的是海量的终端设备接入需求,目前IPv4地址空间已不足以支撑未来发展要求,由于IPv4地址的枯竭,其交易价格也在不断攀升,各相关企业也有实际的IPv6升级需求。

  从政策方面来看,自去年11月国务院颁布针对互联网协议第六版(Internet Protocol Version 6,下称“IPv6”)的规模部署行动计划以来,如何围绕IPv6升级安全系统也成为各行业热议的话题。9月6日,在2018 ISC互联网安全大会上,阿里安全猎户座实验室高级专家东帆带来了《Pv6规模化部署下互联网企业IPv6安全升级与实践》的演讲,分享了阿里巴巴针对IPv6的改造及安全解决方案。

  以下演讲来自阿里安全猎户座实验室高级专家东帆,雷锋网编辑。

  当前运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等IPv6规模化部署均按照行动计划要求大力推进中,加速构建高速率、广普及、全覆盖、智能化的下一代互联网。

  按照部署计划,到2018年末,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%,到2020年末,IPv6活跃用户数超过5亿,在互联网用户中的占比超过50%,新增网络地址不再使用私有IPv4地址,到2025年末,我国IPv6网络规模、用户规模、流量规模位居世界第一位。

  我国整个网络环境将随网络、应用、终端全面支持IPv6以及IPv6网络规模、用户规模、流量规模的增长发生翻天覆地的变化, 新的网络环境以及新兴领域将同时面临新的安全挑战。

  当前IPv6规模化部署实际推行过程中面临众多问题与挑战,如网络设备升级、IPv6路由管理分配、IPv6编址规范及分配、双栈、过渡技术、应用与业务兼容适配等,与此同时IPv6安全解决方案及产品升级也遇到极大的挑战,而且IPv6规模化部署与安全升级互相促进互相影响。

  前文《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》,已从IPv6协议安全威胁结合互联网网络安全运营视角介绍了面临的新的安全威胁及加固建议,本文重点从互联网企业IPv6规模化部署实际推行过程中面临的问题、安全影响及IPv6安全方案视角进行分析,同时介绍互联网企业IPv6网络安全升级的相关实践。

  互联网企业IPv6规模部署改造升级

  IPv6改造涉及应用、云、管、端等整体改造,涵盖运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等,IPv6是网络,是IT infrastructure,更是整个生态能力的提升。

  互联网企业IPv6规模部署改造升级主要涉及网络设备、IPv6协议栈(含DNS/BGP/OSPF等协议栈)、网络管理(含海量自动化、监控工具开发等)、L4-L7网关(SLB/WAF/FW/LVS等)、IPv6地址/路由管理等、互联网质量监控和流量调度、全球质量探测系统、安全产品及防护(DDoS防护、流量清洗、网络隔离监控、业务风控等)等。

  自2012年全球IPv6网络正式启动以来,阿里巴巴就已开始着手IPv6的网络研发的设备选型及升级路线改造,阿里云已是目前国内唯一一家全面提供IPv6服务的云厂商。

  阿里巴巴 IPv4 到 IPv6 的演进以及 IPv6 规模化部分改造遵循先外部后内部,以双栈技术为过渡的原则。

  截止目前阿里云现已上线发布SLB、IPv6转换服务、云解析DNS、CDN、OSS、RDS六款产品,按照国家IPv6行动计划和统筹安排,阿里巴巴正在大力推进IPv6改造升级,2018年底前TOP50互联网企业应用(淘宝、天猫等)改造完成,可具备IPv6访问能力,同时阿里云产品会为客户提供端到端的IPv6解决方案,完成IPv4和IPv6双栈改造,50%云产品支持IPv6,包括VPC,ECS等。

  阿里安全在阿里巴巴IPv6升级改造过程中基于新一代网络架构演进、协议栈变化、中间件、应用及业务等升级改造提前识别新的安全威胁、攻击面及影响,结合互联网业务改造节奏确定IPv6安全解决方案,升级整体IPv6安全检测能力及安全产品,支撑各产品为客户提供安全可靠的服务。

  企业IPv6规模部署下的八大安全挑战

  1、 IPv6协议栈安全

  新的协议栈开始规模化部署,会带来新的攻击方式和攻击面,例如分片攻击、扩展头攻击、NDP攻击等,需要提前做好服务器以及网络设备等协议栈安全配置及加固,可以参考《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》。

  2、 IPv6安全检测及扫描

  IPv6 128位地址空间解决了网络地址资源数量的问题,也为物联网的发展提供了基础,同时地址空间变大使得攻击方实施IPv6扫描非常困难,但对于安全防护人员进行网络安全检测扫描也带来了新的挑战。

  3、 IPv6 DNS安全

  IPv6网络扫描困难难以实施的情况下攻击方可能会寻找新的攻击方式,公共节点例如DNS等可能会成为优先的攻击目标,需要提前考虑应对。

  4、 IPv6 DDoS防护及黑洞

  DDoS防护涉及用户IPv6编址规范、运营商IPv6黑洞路由支持以及互联网企业安全产品改造并对接,需要多部门及各厂商共同改造并协同配合,挑战很大。

  5、 IPv6 业务风控

  IPv6地址是业务风控策略中关键的一环,如何更快更智能化地升级安全防控能力,并精确快速区分恶意用户及精确溯源,涉及网络、业务、应用等,需要更全面更系统地梳理应对。

  6、 IPv6 安全产品改造

  安全产品(WAF/FW/IDS/IPS等)IPv6升级后与IPv6地址相关的策略及逻辑均要改造涉及,涉及面大,改造成本高。

  7、 IPv6 网络安全

  IPv6地址空间大,需要做好规划及地址分配策略,同时网络访问控制及隔离、扫描都要配套升级。

  8、 IPv6过渡技术安全

  IPv6各种过渡技术(例如隧道技术、翻译技术、IPv6/IPv4双栈技术等)安全控制措施默认情况下并不完善,需要结合认证、加密、完整性、访问控制等其他方案综合控制风险。

  互联网企业IPv6安全升级及实践

  从互联网企业安全架构来看,IPv6安全升级主要改造在系统层、网络层、存储层、应用业务层以及安全管理。

  系统层:主要涉及端(PC、移动端以及IoT等)、服务器、网络设备相关系统改造,安全升级主要包括:IPv6协议栈安全配置加固、IPv6服务端口最小化开放、安全补丁、IPv6协议扫描及漏洞检测等。

  网络层:安全升级主要包括网络设备IPv6安全配置加固、IPv6网络地址/路由规划、IPv6访问控制及隔离、IPv6网络路由安全策略、IPv6黑洞路由防DDoS、DNS/SLB/LVS/FW/IDS IPv6、定向IPv6网络扫描等。

  存储层:安全升级主要包括IPv6地址库数据、黑灰产恶意IPv6数据、规则算法模型等。

  应用业务层:安全升级主要包括应用漏洞扫描、WAF、CC防御、反爬虫、反欺诈/作弊及其他业务风控策略等升级改造,特别是基于IP的访问控制、基于IP的地址位置、基于IP的关系网等方面。

  安全管理:安全升级主要包括IPv6相关的认证、鉴权、审计以及SIEM安全信息和事件管理。

  另外,互联网企业IPv6规模部署和安全升级过程中,涉及到“云、管、端”,除了移动终端等厂商外,运营商是非常重要的,云和端的设备占到中国网民99%以上的规模,像中国联通、中国移动、中国电信以及教育网也是IPv6推动里面最强的一股力量,也是最核心的一部分,特别是用户IPv6地址编址及分配规范、精确溯源以及防DDoS等方面,在IPv6安全升级落地终端、运营商以及互联网企业IPv6安全需要统筹同步建设,各方协同配合才能更好地共建更安全更高效的新一代IPv6网络。

   互联网IPv6安全未来展望

  随着新一代互联网络的规模化部署和发展,IPv6网络规模、用户规模、流量规模快速增长,对于互联网IPv6安全未来发展有几点自己的看法,希望对大家做好IPv6安全防护有所帮助。

  1、建立自主可控完备高效的IPv6安全防护网络需要从标准、应用、端、管、云及各行各业的共同努力,特别是IPv6编址、精确溯源等方面需要政府主导规范、行业间共建共享。

  2、IPv6协议栈稳定会有一个过程,随着支持IPv6应用逐步上线,用户流量上一定规模,会有新一轮新形式的IPv6攻防对抗,特别是在业务风控、防DDoS、IPv6协议漏洞挖掘等方面。

  3、IPv6随着政策牵引以及5G、IoT、云计算等对于IP地址需求大的业务不断成熟,会迎来一个快速发展期, IPv6安全产品及检测防护升级需要重点投入并提前READY,确保新一代IPv6网络安全风险可控。

[责编:战钊]

阅读剩余全文(

相关阅读

您此时的心情

新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 2018年中国航展闭幕

  • “快递小哥”的“双十一”

独家策划

推荐阅读
技术进步还体现在支付环节的跃升。 “通过技术升级,我们将用户的支付时间缩短至1秒。”蚂蚁金服副CTO胡喜介绍说。
2018-11-12 08:58
天量包裹高效送达的背后,是中国快递物流业数字化、智能化的全面升级,也和数百万辛苦的快递小哥密不可分。
2018-11-12 08:56
“能交水电话费,能查询市场信息,还能订购种子化肥,销售农产品……”日前,在江苏省镇江市丹徒区宜城街道张巷村益农信息社里,信息员小倪正为村民讲解信息平台的功能。
2018-11-12 08:54
空军副司令员徐安详中将称,这代表了歼-20战机已经具备初步的作战能力,挂载新型中远程和近距空空导弹的能力。
2018-11-12 08:52
在小山坡上,记者看到了马路对面的瀛海镇南宫村建筑垃圾固定处理站,经过细化分类后的建筑垃圾,投入机器后,将按照电脑设定被破碎成不同直径的骨料,这些骨料有的可以直接使用。
2018-11-12 08:50
以发光和激光领域为例,申德振介绍,第三代半导体在高性能的紫外、深紫外发光和激光在生化探测、杀菌消毒、精密光刻、高精密激光加工等领域有重大应用价值。
2018-11-12 08:49
比如,有人神化人工智能,认为它已强大无比;有人担忧人工智能将威胁人类,进而抵触它;还有人认为目前的人工智能并非真正的人工智能,不值一提。
2018-11-12 08:49
胡清华教授团队近日在人工智能深度学习领域取得重要进展,首次提出“广义多视图学习框架”理论,有望改良“机器深度学习”局限性,创造真正实现“早期融合、分析思考”的“智能大脑”。
2018-11-12 08:49
相对经典计算机而言,基于量子力学的量子计算机,越来越成为科学家关注的热点。截至目前,量子计算的实现方案有多种,包括量子线路、绝热量子计算、量子随机行走、拓扑量子计算等模型。
2018-11-12 08:48
历时138天,航程近30000公里,自然资源部中国地质调查局广州海洋地质调查局“海洋六号”船圆满完成深海地质调查第6航次和中国大洋第51航次科考任务。
2018-11-12 08:48
这些“最后一公里问题”,应当成“最先一公里”问题去解决,让未来汽车能自主应对驾驶过程中常常遇到的、偶发的各种各样的不确定性。
2018-11-12 08:48
汽车发动机不“喝油”了,建筑取暖不烧天然气了,重工业热力来源告别黑煤球了……未来,替代这些传统能源的有可能就是氢能和燃料电池。
2018-11-12 08:47
第12届中国航空航天国际博览会11日下午闭幕,航展上签订了逾569个项目价值超过212亿美元的各种合同、协议及合作意向,成交了239架各种型号的飞机。
2018-11-12 08:47
国家发改委官网介绍,《备忘录》旨在“加强科研诚信体系建设,建立健全科研领域失信联合惩戒机制,构筑诚实守信的科技创新环境”。
2018-11-12 08:47
拿出手机买东西、交水电费、定外卖……这些普通人看来随手可得的日常对于视障人士来说却遥不可及。
2018-11-12 08:47
队员们在“雪龙”号停机坪站成南极图案的队形,身穿红色上衣的5人标示出中国在南极的5个考察站,合影留念后,大家放飞心愿气球并举行了拔河比赛,以这种方式告别北半球,继续向南极挺进。
2018-11-12 08:46
南、北金牛座流星雨的活跃期很长,从9月下旬一直持续到11月下旬,由于辐射点赤纬较高,北半球的观测条件较好,因此它们也被称为贯穿北半球秋天的流星雨。
2018-11-12 08:46
在此次珠海航展期间,中国航空学会还举办了“创新杯”第八届未来飞行器设计大赛颁奖仪式,发布了第七届国际无人飞行器创新大奖赛,举行了《大国航空-从百年奋发到世纪辉煌》首发式等多项活动。
2018-11-09 18:38
9日,在教育部、中国科学技术协会、内蒙古自治区人民政府共同指导下,由上海交通大学、中国航天系统科学与工程研究院、中国科技馆联合主办,上海交通大学钱学森图书馆、内蒙古阿拉善盟行政公署承办的“爱国知识分子的杰出典范——钱学森生平事迹展”在中国科技馆正式揭幕。
2018-11-09 18:36
9日, 记者从中国航天科工集团三院获悉,全国首届“天鹰杯”无人飞行器创意设计大赛已于近日面向全国征集参赛项目。目前,“天鹰杯”得到了清华大学、北京航空航天大学、哈尔滨工业大学、西北工业大学、南京航空航天大学等诸多国内知名院校的大力支持,已有数百名业内人士和高校师生报名参赛。
2018-11-09 18:32
加载更多