返回首頁
當前位置: 主頁 > 精通Office > 其他教程 >

IPv6的安全之路

時間:2018-10-30 09:57來源:知行網www.f1globe.com 編輯:麥田守望者


阿里巴巴集團高級安全專家 程榮

  阿里巴巴集團高級安全專家程榮在2018 ISC互聯網安全大會上分享了阿里云IPv6的實踐。在演講中,程榮講述了全球IPv6發展趨勢及國內政策要求,分享了阿里巴巴集團IPv6升級面臨的挑戰和安全威脅,以及阿里巴巴集團IPv6改造和安全解決方案。

  阿里巴巴IPv6升級面臨的挑戰及安全威脅

  程榮提到,阿里巴巴的整個業務生態在落實國家IPv6政策的實踐過程中,碰到了一些問題,一是在IPv6規;渴鸬那闆r下做好IPv6安全,它的核心是如何在成本最低情況下實現效率最高,同時保證自主可控;二是在實施IPv6安全方案時,如何讓安全不影響用戶的體驗的同時能夠做到快速檢測。

  阿里在IPv6升級部署時面臨著很多挑戰,首先涉及IPv6企業核心網絡改造,包括IPv6協議棧、網關、網絡設備、路由管理、地址編制分配等都需要從IPv4轉移到IPv6,改造量非常巨大。其次,經過十幾年同網絡黑灰產的對抗,已經具備完備的IPv4安全體系,在IPv6網絡下安全問題包括IPv6地址濫用、不全配置、IPv6用戶仿冒、應用安全漏洞等等,這些問題該怎么防護?這涉及的改造量也非常巨大。另外IPv6升級還涉及到運營商基礎網絡、同互聯網的對接以及各企業之間的協同,其中的工作量也是非常巨大的。因此,IPv6不僅是網絡層的改造,還是對IT基礎設施的改造,更是整個生態能力的提升,是牽一發而動全身的事情。

  在IPv6升級改造的過程中,安全面臨著哪些威脅?他認為有八大挑戰。

  第一,IPv6協議棧安全。針對IPv6協議特點進行的攻擊有分片攻擊、擴展頭攻擊、NDP攻擊等。終端會涉及到用戶仿冒,運營商會給終端用戶分配地址,如果地址不能溯源或者被惡意分子利用,很可能會做很多壞事。

  第二,IPv6安全檢測及掃描。IPv6擁有 128位地址空間,地址空間變大使得實施IPv6掃描非常困難,但是IPv6地址如果易仿冒,安全監控和防御都有了新的挑戰。

  第三,IPv6 DNS安全。在掃描困難的情況下公共節點可能會成為優先攻擊的目標。

  第四,IPv6 DDoS防護及黑洞。DDoS防護涉及IPv6編址標準、IPv6黑洞支持,需要多部門配合聯動,挑戰很大。IPv6地址分配會涉及到國家、運營商、教育網還有企業IPv6編址及分配規范。而DDoS防護,用戶IPv6地址空間增大對于攻防雙方是把雙刃劍,清晰統一的編址、精確溯源可以降低DDoS防御的成本與效率。

  第五,IPv6業務風控。IPv6地址是很關鍵的一環,如何精準快速區分惡意用戶及溯源,防止薅羊毛、作弊、欺詐等?

  第六,IPv6安全產品改造。協議棧升級以及地址相關的策略及邏輯改造面大,成本高,F在的安全產品整體要實施改造,需結合各自安全產品業務邏輯判斷升級改造,特別是和IP地址相關的安全數據、情報、掃描探測等相關邏輯,對于企業來說成本還是非常高的。

  第七,IPv6網絡安全。IPv6地址空間大,做好規劃及地址分配策略,同時網絡訪問控制及隔離、掃描都要配套升級。IPv6地址空間帶來的一些限制,使得掃描和監控檢測都非常困難,這也是一個比較大的挑戰。

  第八,IPv6過渡技術安全。在IPv6規模部署過程中會涉及到過渡技術,包括隧道、翻譯、IPv4/IPv6雙棧技術等,這些過渡技術的安全控制并不完善,需要結合其他方案綜合控制風險。

  阿里巴巴集團IPv6改造及安全解決方案

  目前阿里巴巴的IPv6 DNS、IPv6 CDN、 IPv6 SLB 、IPv6轉換服務已經上線,包括RDS和OSS已經發布,網絡設備的選型、升級線路的改造。即將上線的還有ECS,云安全/服務等,另外阿里的業務整個生態中包括淘寶、天貓、螞蟻金服、支付寶等都支持IPv6的訪問,還有優酷等也即將支持IPv6。

  在網絡做完整個改造之后,安全也會做相關的配套升級。對于整個改造方案,從互聯網企業的安全架構來看,程榮表示,需要改造的有系統層、存儲層、網絡層、應用層等。系統層涉及到了協議棧的加固,IPv6服務端口最小化開放、IPv6協議掃描及漏洞監測;存儲層包括IPv6地址庫數據,積累黑灰產惡意IPv6數據,如果同AI結合還涉及到規則算法模型也要做改造。在網絡層,包括網絡設備IPv6安全配置加固、訪問控制的隔離,IPv6黑洞路由防DDoS,網絡掃描;應用層涉及到WAF、CC防御、反爬蟲、業務風控等。阿里會隨著IPv6改造的進程,同時去部署、加固、落地安全解決方案,目的是為客戶提供一個安全可控、高效便捷、體驗更好的服務。

  對于IPv6的未來,它的安全會怎么走?程榮表示,第一,要建立自主可控的、完備高效的IPv6安全防護網絡,需要標準、應用、端、管、云及各行各業的共同努力,這件事情不做在前面對于各行業的防控都是不利的。

  第二,IPv6的協議棧穩定會有一個過程,隨著支持IPv6的應用逐步上線,用戶流量上一定規模,會有新一輪形式的IPv6攻防對抗,特別是在業務風控、防DDoS、IPv6協議漏洞挖掘等方面。

  第三,隨著政策的牽引以及5G、IoT、云計算等對于IP地址需求大的業務的發展,IPv6安全產品及檢測防護升級需要及時準備好,確保安全風險可控。

 。ū疚目怯凇吨袊逃W絡》2018年10月刊,本文根據程榮在2018 ISC互聯網安全大會上的發言整理而成,整理:楊燕婷)

------分隔線----------------------------
標簽(Tag):IPv6的安全之路
------分隔線----------------------------
推薦內容
猜你感興趣
99久久免费高清热精品