正在阅读: IPv6规模化部署下互联网企业IPv6安全升级与实践

IPv6规模化部署下互联网企业IPv6安全升级与实践

2018-09-12 12:26来源:雷锋网

调查问题加载中,请稍候。
若长时间无响应,请刷新本页面

  雷锋网编者按:随着5G、IoT、云计算技术的不断成熟,万物互联时代即将到来,随之而来的是海量的终端设备接入需求,目前IPv4地址空间已不足以支撑未来发展要求,由于IPv4地址的枯竭,其交易价格也在不断攀升,各相关企业也有实际的IPv6升级需求。

  从政策方面来看,自去年11月国务院颁布针对互联网协议第六版(Internet Protocol Version 6,下称“IPv6”)的规模部署行动计划以来,如何围绕IPv6升级安全系统也成为各行业热议的话题。9月6日,在2018 ISC互联网安全大会上,阿里安全猎户座实验室高级专家东帆带来了《Pv6规模化部署下互联网企业IPv6安全升级与实践》的演讲,分享了阿里巴巴针对IPv6的改造及安全解决方案。

  以下演讲来自阿里安全猎户座实验室高级专家东帆,雷锋网编辑。

  当前运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等IPv6规模化部署均按照行动计划要求大力推进中,加速构建高速率、广普及、全覆盖、智能化的下一代互联网。

  按照部署计划,到2018年末,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%,到2020年末,IPv6活跃用户数超过5亿,在互联网用户中的占比超过50%,新增网络地址不再使用私有IPv4地址,到2025年末,我国IPv6网络规模、用户规模、流量规模位居世界第一位。

  我国整个网络环境将随网络、应用、终端全面支持IPv6以及IPv6网络规模、用户规模、流量规模的增长发生翻天覆地的变化, 新的网络环境以及新兴领域将同时面临新的安全挑战。

  当前IPv6规模化部署实际推行过程中面临众多问题与挑战,如网络设备升级、IPv6路由管理分配、IPv6编址规范及分配、双栈、过渡技术、应用与业务兼容适配等,与此同时IPv6安全解决方案及产品升级也遇到极大的挑战,而且IPv6规模化部署与安全升级互相促进互相影响。

  前文《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》,已从IPv6协议安全威胁结合互联网网络安全运营视角介绍了面临的新的安全威胁及加固建议,本文重点从互联网企业IPv6规模化部署实际推行过程中面临的问题、安全影响及IPv6安全方案视角进行分析,同时介绍互联网企业IPv6网络安全升级的相关实践。

  互联网企业IPv6规模部署改造升级

  IPv6改造涉及应用、云、管、端等整体改造,涵盖运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等,IPv6是网络,是IT infrastructure,更是整个生态能力的提升。

  互联网企业IPv6规模部署改造升级主要涉及网络设备、IPv6协议栈(含DNS/BGP/OSPF等协议栈)、网络管理(含海量自动化、监控工具开发等)、L4-L7网关(SLB/WAF/FW/LVS等)、IPv6地址/路由管理等、互联网质量监控和流量调度、全球质量探测系统、安全产品及防护(DDoS防护、流量清洗、网络隔离监控、业务风控等)等。

  自2012年全球IPv6网络正式启动以来,阿里巴巴就已开始着手IPv6的网络研发的设备选型及升级路线改造,阿里云已是目前国内唯一一家全面提供IPv6服务的云厂商。

  阿里巴巴 IPv4 到 IPv6 的演进以及 IPv6 规模化部分改造遵循先外部后内部,以双栈技术为过渡的原则。

  截止目前阿里云现已上线发布SLB、IPv6转换服务、云解析DNS、CDN、OSS、RDS六款产品,按照国家IPv6行动计划和统筹安排,阿里巴巴正在大力推进IPv6改造升级,2018年底前TOP50互联网企业应用(淘宝、天猫等)改造完成,可具备IPv6访问能力,同时阿里云产品会为客户提供端到端的IPv6解决方案,完成IPv4和IPv6双栈改造,50%云产品支持IPv6,包括VPC,ECS等。

  阿里安全在阿里巴巴IPv6升级改造过程中基于新一代网络架构演进、协议栈变化、中间件、应用及业务等升级改造提前识别新的安全威胁、攻击面及影响,结合互联网业务改造节奏确定IPv6安全解决方案,升级整体IPv6安全检测能力及安全产品,支撑各产品为客户提供安全可靠的服务。

  企业IPv6规模部署下的八大安全挑战

  1、 IPv6协议栈安全

  新的协议栈开始规模化部署,会带来新的攻击方式和攻击面,例如分片攻击、扩展头攻击、NDP攻击等,需要提前做好服务器以及网络设备等协议栈安全配置及加固,可以参考《下一代互联通信网络部署在即,IPv6安全防护准备好了吗》。

  2、 IPv6安全检测及扫描

  IPv6 128位地址空间解决了网络地址资源数量的问题,也为物联网的发展提供了基础,同时地址空间变大使得攻击方实施IPv6扫描非常困难,但对于安全防护人员进行网络安全检测扫描也带来了新的挑战。

  3、 IPv6 DNS安全

  IPv6网络扫描困难难以实施的情况下攻击方可能会寻找新的攻击方式,公共节点例如DNS等可能会成为优先的攻击目标,需要提前考虑应对。

  4、 IPv6 DDoS防护及黑洞

  DDoS防护涉及用户IPv6编址规范、运营商IPv6黑洞路由支持以及互联网企业安全产品改造并对接,需要多部门及各厂商共同改造并协同配合,挑战很大。

  5、 IPv6 业务风控

  IPv6地址是业务风控策略中关键的一环,如何更快更智能化地升级安全防控能力,并精确快速区分恶意用户及精确溯源,涉及网络、业务、应用等,需要更全面更系统地梳理应对。

  6、 IPv6 安全产品改造

  安全产品(WAF/FW/IDS/IPS等)IPv6升级后与IPv6地址相关的策略及逻辑均要改造涉及,涉及面大,改造成本高。

  7、 IPv6 网络安全

  IPv6地址空间大,需要做好规划及地址分配策略,同时网络访问控制及隔离、扫描都要配套升级。

  8、 IPv6过渡技术安全

  IPv6各种过渡技术(例如隧道技术、翻译技术、IPv6/IPv4双栈技术等)安全控制措施默认情况下并不完善,需要结合认证、加密、完整性、访问控制等其他方案综合控制风险。

  互联网企业IPv6安全升级及实践

  从互联网企业安全架构来看,IPv6安全升级主要改造在系统层、网络层、存储层、应用业务层以及安全管理。

  系统层:主要涉及端(PC、移动端以及IoT等)、服务器、网络设备相关系统改造,安全升级主要包括:IPv6协议栈安全配置加固、IPv6服务端口最小化开放、安全补丁、IPv6协议扫描及漏洞检测等。

  网络层:安全升级主要包括网络设备IPv6安全配置加固、IPv6网络地址/路由规划、IPv6访问控制及隔离、IPv6网络路由安全策略、IPv6黑洞路由防DDoS、DNS/SLB/LVS/FW/IDS IPv6、定向IPv6网络扫描等。

  存储层:安全升级主要包括IPv6地址库数据、黑灰产恶意IPv6数据、规则算法模型等。

  应用业务层:安全升级主要包括应用漏洞扫描、WAF、CC防御、反爬虫、反欺诈/作弊及其他业务风控策略等升级改造,特别是基于IP的访问控制、基于IP的地址位置、基于IP的关系网等方面。

  安全管理:安全升级主要包括IPv6相关的认证、鉴权、审计以及SIEM安全信息和事件管理。

  另外,互联网企业IPv6规模部署和安全升级过程中,涉及到“云、管、端”,除了移动终端等厂商外,运营商是非常重要的,云和端的设备占到中国网民99%以上的规模,像中国联通、中国移动、中国电信以及教育网也是IPv6推动里面最强的一股力量,也是最核心的一部分,特别是用户IPv6地址编址及分配规范、精确溯源以及防DDoS等方面,在IPv6安全升级落地终端、运营商以及互联网企业IPv6安全需要统筹同步建设,各方协同配合才能更好地共建更安全更高效的新一代IPv6网络。

   互联网IPv6安全未来展望

  随着新一代互联网络的规模化部署和发展,IPv6网络规模、用户规模、流量规模快速增长,对于互联网IPv6安全未来发展有几点自己的看法,希望对大家做好IPv6安全防护有所帮助。

  1、建立自主可控完备高效的IPv6安全防护网络需要从标准、应用、端、管、云及各行各业的共同努力,特别是IPv6编址、精确溯源等方面需要政府主导规范、行业间共建共享。

  2、IPv6协议栈稳定会有一个过程,随着支持IPv6应用逐步上线,用户流量上一定规模,会有新一轮新形式的IPv6攻防对抗,特别是在业务风控、防DDoS、IPv6协议漏洞挖掘等方面。

  3、IPv6随着政策牵引以及5G、IoT、云计算等对于IP地址需求大的业务不断成熟,会迎来一个快速发展期, IPv6安全产品及检测防护升级需要重点投入并提前READY,确保新一代IPv6网络安全风险可控。

[责编:战钊]

阅读剩余全文(

相关阅读

您此时的心情

新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 沈锡纯中国画作品展在福建省美术馆开幕

  • 北京:花团锦簇迎佳节

独家策划

推荐阅读
随着科学大发展,人们对物质世界的研究向着微观——基本粒子和宏观——宇宙研究两个极端不断延伸。
2018-09-21 09:57
刚刚看到阿里巴巴“达摩院”举办全球数学大赛的消息,让我想起近代数学的奠基者之一、德国数学家高斯说过的一句话:“数学是‘科学的皇后’”。
2018-09-21 09:54
秋收结束后,王恩哥才匆匆赶回沈阳,参加了他母亲学校组织的辅导班。年少坎坷的经历,使得王恩哥更容易知足,所以高考过程中的这些“小确幸”,至今想起来都让他觉得欣喜。
2018-09-21 09:50
相较于其他行业,科学家们的职业生涯似乎很少在同一个地方完成。”  李江告诉记者:“ORCID 的数据显示,之后他又去了德国、沙特阿拉伯、伊拉克等国家工作,我猜测他依然是世界上跳槽最频繁的科学家。
2018-09-21 09:45
在京沪线南京东机务段,有一户“火车司机世家”。这个2009年加入南京东机务段、从电力机车货车副司机干起的90后,伴随着铁路时代的升级换代,也在加速成长,2015年凭借过硬的能力脱颖而出,瞿俊杰顺利考上高铁司机。
2018-09-21 10:25
来自美国、欧洲和亚洲的17位科研精英获得了2018年“引文桂冠奖”。迄今为止,已经有46位“引文桂冠奖”得主获得诺贝尔奖,其中27位在荣获“引文桂冠奖”之后的两年内即斩获诺奖。
2018-09-21 09:38
据俄罗斯卫星网报道,上个月月底,国际空间站发生漏气减压事故。据报道,俄罗斯宇航员奥列格·阿尔捷米耶夫日前称,他的同事、宇航员谢尔盖·普罗科皮耶夫在“联盟”号飞船发生“漏气”事故后,头发白了40多根。
2018-09-21 09:11
中国科学技术大学、中国科学院上海微系统研究所和日本电信电话株式会社基础科学实验室的科学家合作,日前在国际上首次成功实现器件无关的量子随机数。
2018-09-21 10:00
当下,做一个放飞自我的“吃货”,已成为不少年轻人向往的生活状态。
2018-09-21 10:23
在云栖大会召开期间,整个杭州都进入了“云栖时间”。在杭州,出门办事“最多跑一次”,全市59个政府部门368.32亿条信息汇聚在基于阿里云打造的政务服务平台上,市民可凭身份证一证通办296项事务。
2018-09-21 10:21
以《平凡的世界》中的主人公孙少安、孙少平兄弟为例,分析两位主人公的总体性格与经历重大生活事件后的性格变化。
2018-09-21 10:12
记者从国家国防科技工业局获悉,在19日开幕的第十届非洲航空航天与防务展上,国防科工局组织6家军贸公司以“中国防务”国家展团形式参展,推动军工优势装备“走出去”。
2018-09-21 09:56
弥猴桃经历两次同源四倍体事件,每个细胞中的染色体组和所有基因加倍。“了解猕猴桃的基因家族和产生维生素C的通路,有助于人为调控它们的基因拷贝数,以培育出营养价值更高的猕猴桃。
2018-09-21 09:51
值得注意的是,中国新能源汽车技术发展长期受补贴政策牵引,随着补贴政策对动力电池能量密度要求不断提高,动力电池能量密度指标显著提升。欧阳明高认为,将补贴和动力电池能量密度挂钩没有问题,但要符合技术发展规律,对能量密度的提升不宜过快过频,新能源汽车发展的节奏一定要稳。
2018-09-21 09:42
英国《自然》杂志19日在线发表的一项人工智能(AI)研究称,机械滑翔机现在已经可以借助机器学习,学会像鸟儿一样“翱翔”。未来,如果能对如何识别强大上升气流的导航线索进行补充研究,将进一步增强人类对鸟类飞行模式和动力的理解,并有助于开发更高效的远距离自主滑翔机。
2018-09-21 09:35
中国科大教授潘建伟等人与中科院上海微系统所和日本NTT基础科学实验室合作,利用量子纠缠的内禀随机性,在国际上首次成功实现与器件无关的量子随机数。
2018-09-21 09:33
让我们共同努力,推动科技与人文、社会、自然的和谐发展,共促公众科学素质提升,共创人类社会美好未来。
2018-09-20 10:43
日前,ETCP已经对外宣布战略方向调整,由原来的“停车场智慧化改造者”转型为“城市级智慧停车解决方案供应商”。
2018-09-20 10:34
9月19日22时07分,我国在西昌卫星发射中心用长征三号乙运载火箭(及远征一号上面级),以“一箭双星”方式成功发射两颗北斗导航卫星。
2018-09-20 10:34
新的成果确保即使是使用不信任第三方的器件,也可以产生真随机数并且不会泄漏,从而确保通信安全。
2018-09-20 10:34
加载更多