正在阅读: IPv6规模化部署下互联网企业IPv6安全升级与实践

IPv6规模化部署下互联网企业IPv6安全升级与实践

2018-09-12 12:26来源:雷锋网

调查问题加载中,请稍候。
若长时间无响应,请刷新本页面

  雷锋网编者按:随着5G、IoT、云计算技术的不断成熟,万物互联时代即将到来,随之而来的是海量的终端设备接入需求,目前IPv4地址空间已不足以支撑未来发展要求,由于IPv4地址的枯竭,其交易价格也在不断攀升,各相关企业也有实际的IPv6升级需求。

  从政策方面来看,自去年11月国务院颁布针对互联网协议第六版(Internet Protocol Version 6,下称“IPv6”)的规模部署行动计划以来,如何围绕IPv6升级安全系统也成为各行业热议的话题。9月6日,在2018 ISC互联网安全大会上,阿里安全猎户座实验室高级专家东帆带来了《Pv6规模化部署下互联网企业IPv6安全升级与实践》的演讲,分享了阿里巴巴针对IPv6的改造及安全解决方案。

  以下演讲来自阿里安全猎户座实验室高级专家东帆,雷锋网编辑。

  当前运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等IPv6规模化部署均按照行动计划要求大力推进中,加速构建高速率、广普及、全覆盖、智能化的下一代互联网。

  按照部署计划,到2018年末,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%,到2020年末,IPv6活跃用户数超过5亿,在互联网用户中的占比超过50%,新增网络地址不再使用私有IPv4地址,到2025年末,我国IPv6网络规模、用户规模、流量规模位居世界第一位。

  我国整个网络环境将随网络、应用、终端全面支持IPv6以及IPv6网络规模、用户规模、流量规模的增长发生翻天覆地的变化, 新的网络环境以及新兴领域将同时面临新的安全挑战。

  当前IPv6规模化部署实际推行过程中面临众多问题与挑战,如网络设备升级、IPv6路由管理分配、IPv6编址规范及分配、双栈、过渡技术、应用与业务兼容适配等,与此同时IPv6安全解决方案及产品升级也遇到极大的挑战,而且IPv6规模化部署与安全升级互相促进互相影响。

  前文《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》,已从IPv6协议安全威胁结合互联网网络安全运营视角介绍了面临的新的安全威胁及加固建议,本文重点从互联网企业IPv6规模化部署实际推行过程中面临的问题、安全影响及IPv6安全方案视角进行分析,同时介绍互联网企业IPv6网络安全升级的相关实践。

  互联网企业IPv6规模部署改造升级

  IPv6改造涉及应用、云、管、端等整体改造,涵盖运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等,IPv6是网络,是IT infrastructure,更是整个生态能力的提升。

  互联网企业IPv6规模部署改造升级主要涉及网络设备、IPv6协议栈(含DNS/BGP/OSPF等协议栈)、网络管理(含海量自动化、监控工具开发等)、L4-L7网关(SLB/WAF/FW/LVS等)、IPv6地址/路由管理等、互联网质量监控和流量调度、全球质量探测系统、安全产品及防护(DDoS防护、流量清洗、网络隔离监控、业务风控等)等。

  自2012年全球IPv6网络正式启动以来,阿里巴巴就已开始着手IPv6的网络研发的设备选型及升级路线改造,阿里云已是目前国内唯一一家全面提供IPv6服务的云厂商。

  阿里巴巴 IPv4 到 IPv6 的演进以及 IPv6 规模化部分改造遵循先外部后内部,以双栈技术为过渡的原则。

  截止目前阿里云现已上线发布SLB、IPv6转换服务、云解析DNS、CDN、OSS、RDS六款产品,按照国家IPv6行动计划和统筹安排,阿里巴巴正在大力推进IPv6改造升级,2018年底前TOP50互联网企业应用(淘宝、天猫等)改造完成,可具备IPv6访问能力,同时阿里云产品会为客户提供端到端的IPv6解决方案,完成IPv4和IPv6双栈改造,50%云产品支持IPv6,包括VPC,ECS等。

  阿里安全在阿里巴巴IPv6升级改造过程中基于新一代网络架构演进、协议栈变化、中间件、应用及业务等升级改造提前识别新的安全威胁、攻击面及影响,结合互联网业务改造节奏确定IPv6安全解决方案,升级整体IPv6安全检测能力及安全产品,支撑各产品为客户提供安全可靠的服务。

  企业IPv6规模部署下的八大安全挑战

  1、 IPv6协议栈安全

  新的协议栈开始规模化部署,会带来新的攻击方式和攻击面,例如分片攻击、扩展头攻击、NDP攻击等,需要提前做好服务器以及网络设备等协议栈安全配置及加固,可以参考《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》。

  2、 IPv6安全检测及扫描

  IPv6 128位地址空间解决了网络地址资源数量的问题,也为物联网的发展提供了基础,同时地址空间变大使得攻击方实施IPv6扫描非常困难,但对于安全防护人员进行网络安全检测扫描也带来了新的挑战。

  3、 IPv6 DNS安全

  IPv6网络扫描困难难以实施的情况下攻击方可能会寻找新的攻击方式,公共节点例如DNS等可能会成为优先的攻击目标,需要提前考虑应对。

  4、 IPv6 DDoS防护及黑洞

  DDoS防护涉及用户IPv6编址规范、运营商IPv6黑洞路由支持以及互联网企业安全产品改造并对接,需要多部门及各厂商共同改造并协同配合,挑战很大。

  5、 IPv6 业务风控

  IPv6地址是业务风控策略中关键的一环,如何更快更智能化地升级安全防控能力,并精确快速区分恶意用户及精确溯源,涉及网络、业务、应用等,需要更全面更系统地梳理应对。

  6、 IPv6 安全产品改造

  安全产品(WAF/FW/IDS/IPS等)IPv6升级后与IPv6地址相关的策略及逻辑均要改造涉及,涉及面大,改造成本高。

  7、 IPv6 网络安全

  IPv6地址空间大,需要做好规划及地址分配策略,同时网络访问控制及隔离、扫描都要配套升级。

  8、 IPv6过渡技术安全

  IPv6各种过渡技术(例如隧道技术、翻译技术、IPv6/IPv4双栈技术等)安全控制措施默认情况下并不完善,需要结合认证、加密、完整性、访问控制等其他方案综合控制风险。

  互联网企业IPv6安全升级及实践

  从互联网企业安全架构来看,IPv6安全升级主要改造在系统层、网络层、存储层、应用业务层以及安全管理。

  系统层:主要涉及端(PC、移动端以及IoT等)、服务器、网络设备相关系统改造,安全升级主要包括:IPv6协议栈安全配置加固、IPv6服务端口最小化开放、安全补丁、IPv6协议扫描及漏洞检测等。

  网络层:安全升级主要包括网络设备IPv6安全配置加固、IPv6网络地址/路由规划、IPv6访问控制及隔离、IPv6网络路由安全策略、IPv6黑洞路由防DDoS、DNS/SLB/LVS/FW/IDS IPv6、定向IPv6网络扫描等。

  存储层:安全升级主要包括IPv6地址库数据、黑灰产恶意IPv6数据、规则算法模型等。

  应用业务层:安全升级主要包括应用漏洞扫描、WAF、CC防御、反爬虫、反欺诈/作弊及其他业务风控策略等升级改造,特别是基于IP的访问控制、基于IP的地址位置、基于IP的关系网等方面。

  安全管理:安全升级主要包括IPv6相关的认证、鉴权、审计以及SIEM安全信息和事件管理。

  另外,互联网企业IPv6规模部署和安全升级过程中,涉及到“云、管、端”,除了移动终端等厂商外,运营商是非常重要的,云和端的设备占到中国网民99%以上的规模,像中国联通、中国移动、中国电信以及教育网也是IPv6推动里面最强的一股力量,也是最核心的一部分,特别是用户IPv6地址编址及分配规范、精确溯源以及防DDoS等方面,在IPv6安全升级落地终端、运营商以及互联网企业IPv6安全需要统筹同步建设,各方协同配合才能更好地共建更安全更高效的新一代IPv6网络。

   互联网IPv6安全未来展望

  随着新一代互联网络的规模化部署和发展,IPv6网络规模、用户规模、流量规模快速增长,对于互联网IPv6安全未来发展有几点自己的看法,希望对大家做好IPv6安全防护有所帮助。

  1、建立自主可控完备高效的IPv6安全防护网络需要从标准、应用、端、管、云及各行各业的共同努力,特别是IPv6编址、精确溯源等方面需要政府主导规范、行业间共建共享。

  2、IPv6协议栈稳定会有一个过程,随着支持IPv6应用逐步上线,用户流量上一定规模,会有新一轮新形式的IPv6攻防对抗,特别是在业务风控、防DDoS、IPv6协议漏洞挖掘等方面。

  3、IPv6随着政策牵引以及5G、IoT、云计算等对于IP地址需求大的业务不断成熟,会迎来一个快速发展期, IPv6安全产品及检测防护升级需要重点投入并提前READY,确保新一代IPv6网络安全风险可控。

[责编:战钊]

阅读剩余全文(

相关阅读

您此时的心情

新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 习近平在省部级领导干部专题研讨班开班式上讲话

  • 2019年春运:温暖回家路

独家策划

推荐阅读
据统计,2018年“宝贝报天气”活动共征集到视频作品3100余篇,直接参与人数超6000人,有155名小朋友获得“优秀气象小能手”称号。
2019-01-22 13:19
结果发现,人脑中神经元处理信息的效率更高,但猴脑中神经元的同步性和稳定性更好。
2019-01-22 10:03
张双南,中国科学院高能物理研究所研究员,他说,“科学精神可以总结为六个字:唯一、独立、质疑”——他是写诗的天文学家。
2019-01-22 10:03
澳大利亚弗林德斯大学日前宣布,该校研究人员研发出一种新型抗生素,动物实验表明它可有效抑制一种具有耐药性的肠道“超级细菌”。
2019-01-22 10:03
超低温状态下的双原子分子已经被世界上多个实验室制备出来,但多原子分子体系复杂程度大大增加,而且理论无法计算,10余年来观测超冷分子的碰撞共振一直是该研究领域在实验上的重大挑战。
2019-01-22 10:02
对贫金属星的研究有助于解开一系列关于围绕早期宇宙、元素起源、第一代恒星和银河系演化的科学问题。
2019-01-22 10:02
1月21日13时42分,我国在酒泉卫星发射中心用长征十一号运载火箭,成功将“吉林一号”光谱01/02星和搭载的灵鹊—1A星、潇湘一号03星发射升空,卫星均进入预定轨道。
2019-01-22 10:02
而探月团队的艰苦攻关,为“嫦娥奔月”铺就了坦途。在手把手传递之间,中国航天人追梦的脚步永不停息,也将激励着每一个人逐梦奔跑。
2019-01-22 10:02
据悉,北京世园会将整合各种会展、旅游、服务等各类资源,让游客能“一部手机游世园”,游览更加方便。
2019-01-22 10:02
新年伊始,经过约38万公里26天的飞行,嫦娥四号探测器成功在月背着陆。随后,嫦娥四号着陆器与巡视器互拍图像经“鹊桥”中继星传回,两面五星红旗在月球背面交相辉映。
2019-01-22 10:01
两颗卫星将与此前的“吉林一号”卫星组网,至此,由长光卫星技术有限公司自主研发的“吉林一号”卫星星座已有12颗卫星在轨运行。
2019-01-22 10:01
人类可能真的是孤独了太久,迫切地想要在宇宙间寻找自己的同类,所以时不时就会捕风捉影寻找一些外星人存在的证据。
2019-01-22 10:01
资料显示,装载DNA的容器是拥有知识产权的特别研制的太空基因容器,容器具有隔绝空间辐射等功能,可以实现生物基因的永久在轨保存。
2019-01-22 10:01
图为第35次南极考察任务期间,中国极地固定翼飞机“雪鹰601”降落南极冰盖之巅。在第34次南极考察期间,科考队员搭乘“雪龙”号,成功完成了我国首次南极阿蒙森海综合调查。
2019-01-22 10:00
他们利用被称为“基因剪刀”的基因编辑技术,开发出一个新系统,可以确定某种特定抗生素能靶向作用于致病菌的哪些基因。
2019-01-22 10:00
 NASA与中国国家航天局(CNSA)上月探讨了使用LRO上的仪器,对中国的嫦娥四号着陆器触及月背时的尘埃进行观测的可能性。
2019-01-22 10:00
据英国《每日电讯报》网站近日报道,与会太空专家警告说,行星间的时差和宇航员性格不合可能是移民火星的最大“拦路虎”。
2019-01-22 10:00
据美国每日科学网站近日报道,瑞士洛桑联邦理工学院(EPFL)和苏黎世联邦理工学院的科学家,携手开发出一种微型柔性机器人,可根据周围环境而改变形状。
2019-01-22 10:00
为期40天的2019年春运即将于1月21日拉开大幕。
2019-01-22 09:33
20强将进入4月21日-25日在大连理工大学举行的总决赛。
2019-01-21 19:02
加载更多