阿里巴巴程荣:IPv6的安全之路—中国教育和科研计算机网CERNET

AG凯时娱乐网址

2018-10-30

阿里巴巴程荣:IPv6的安全之路2018-10-22中国教育网络阿里巴巴集团高级安全专家程荣  阿里巴巴集团高级安全专家程荣在2018ISC互联网安全大会上分享了阿里云IPv6的实践。 在演讲中,程荣讲述了全球IPv6发展趋势及国内政策要求,分享了阿里巴巴集团IPv6升级面临的挑战和安全威胁,以及阿里巴巴集团IPv6改造和安全解决方案。   阿里巴巴IPv6升级面临的挑战及安全威胁  程荣提到,阿里巴巴的整个业务生态在落实国家IPv6政策的实践过程中,碰到了一些问题,一是在IPv6规模化部署的情况下做好IPv6安全,它的核心是如何在成本最低情况下实现效率最高,同时保证自主可控;二是在实施IPv6安全方案时,如何让安全不影响用户的体验的同时能够做到快速检测。   阿里在IPv6升级部署时面临着很多挑战,首先涉及IPv6企业核心网络改造,包括IPv6协议栈、网关、网络设备、路由管理、地址编制分配等都需要从IPv4转移到IPv6,改造量非常巨大。

其次,经过十几年同网络黑灰产的对抗,已经具备完备的IPv4安全体系,在IPv6网络下安全问题包括IPv6地址滥用、不全配置、IPv6用户仿冒、应用安全漏洞等等,这些问题该怎么防护?这涉及的改造量也非常巨大。

另外IPv6升级还涉及到运营商基础网络、同互联网的对接以及各企业之间的协同,其中的工作量也是非常巨大的。

因此,IPv6不仅是网络层的改造,还是对IT基础设施的改造,更是整个生态能力的提升,是牵一发而动全身的事情。

  在IPv6升级改造的过程中,安全面临着哪些威胁?他认为有八大挑战。

  第一,IPv6协议栈安全。

针对IPv6协议特点进行的攻击有分片攻击、扩展头攻击、NDP攻击等。 终端会涉及到用户仿冒,运营商会给终端用户分配地址,如果地址不能溯源或者被恶意分子利用,很可能会做很多坏事。

  第二,IPv6安全检测及扫描。 IPv6拥有128位地址空间,地址空间变大使得实施IPv6扫描非常困难,但是IPv6地址如果易仿冒,安全监控和防御都有了新的挑战。

  第三,IPv6DNS安全。 在扫描困难的情况下公共节点可能会成为优先攻击的目标。   第四,IPv6DDoS防护及黑洞。 DDoS防护涉及IPv6编址标准、IPv6黑洞支持,需要多部门配合联动,挑战很大。 IPv6地址分配会涉及到国家、运营商、教育网还有企业IPv6编址及分配规范。 而DDoS防护,用户IPv6地址空间增大对于攻防双方是把双刃剑,清晰统一的编址、精确溯源可以降低DDoS防御的成本与效率。   第五,IPv6业务风控。

IPv6地址是很关键的一环,如何精准快速区分恶意用户及溯源,防止薅羊毛、作弊、欺诈等?  第六,IPv6安全产品改造。

协议栈升级以及地址相关的策略及逻辑改造面大,成本高。

现在的安全产品整体要实施改造,需结合各自安全产品业务逻辑判断升级改造,特别是和IP地址相关的安全数据、情报、扫描探测等相关逻辑,对于企业来说成本还是非常高的。   第七,IPv6网络安全。 IPv6地址空间大,做好规划及地址分配策略,同时网络访问控制及隔离、扫描都要配套升级。 IPv6地址空间带来的一些限制,使得扫描和监控检测都非常困难,这也是一个比较大的挑战。

  第八,IPv6过渡技术安全。 在IPv6规模部署过程中会涉及到过渡技术,包括隧道、翻译、IPv4/IPv6双栈技术等,这些过渡技术的安全控制并不完善,需要结合其他方案综合控制风险。

  阿里巴巴集团IPv6改造及安全解决方案  目前阿里巴巴的IPv6DNS、IPv6CDN、IPv6SLB、IPv6转换服务已经上线,包括RDS和OSS已经发布,网络设备的选型、升级线路的改造。

即将上线的还有ECS,云安全/服务等,另外阿里的业务整个生态中包括淘宝、天猫、蚂蚁金服、支付宝等都支持IPv6的访问,还有优酷等也即将支持IPv6。

  在网络做完整个改造之后,安全也会做相关的配套升级。 对于整个改造方案,从互联网企业的安全架构来看,程荣表示,需要改造的有系统层、存储层、网络层、应用层等。 系统层涉及到了协议栈的加固,IPv6服务端口最小化开放、IPv6协议扫描及漏洞监测;存储层包括IPv6地址库数据,积累黑灰产恶意IPv6数据,如果同AI结合还涉及到规则算法模型也要做改造。

在网络层,包括网络设备IPv6安全配置加固、访问控制的隔离,IPv6黑洞路由防DDoS,网络扫描;应用层涉及到WAF、CC防御、反爬虫、业务风控等。 阿里会随着IPv6改造的进程,同时去部署、加固、落地安全解决方案,目的是为客户提供一个安全可控、高效便捷、体验更好的服务。   对于IPv6的未来,它的安全会怎么走?程荣表示,第一,要建立自主可控的、完备高效的IPv6安全防护网络,需要标准、应用、端、管、云及各行各业的共同努力,这件事情不做在前面对于各行业的防控都是不利的。

  第二,IPv6的协议栈稳定会有一个过程,随着支持IPv6的应用逐步上线,用户流量上一定规模,会有新一轮形式的IPv6攻防对抗,特别是在业务风控、防DDoS、IPv6协议漏洞挖掘等方面。   第三,随着政策的牵引以及5G、IoT、云计算等对于IP地址需求大的业务的发展,IPv6安全产品及检测防护升级需要及时准备好,确保安全风险可控。   (本文刊登于《中国教育网络》2018年10月刊,本文根据程荣在2018ISC互联网安全大会上的发言整理而成,整理:杨燕婷)。