阿里巴巴程荣: IPv6的安全之路
阿里巴巴集团高级安全专家 程荣
阿里巴巴集团高级安全专家程荣在2018 ISC互联网安全大会上分享了阿里云IPv6的实践。在演讲中,程荣讲述了全球IPv6发展趋势及国内政策要求,分享了阿里巴巴集团IPv6升级面临的挑战和安全威胁,以及阿里巴巴集团IPv6改造和安全解决方案。
阿里巴巴IPv6升级面临的挑战及安全威胁
程荣提到,阿里巴巴的整个业务生态在落实国家IPv6政策的实践过程中,碰到了一些问题,一是在IPv6规模化部署的情况下做好IPv6安全,它的核心是如何在成本最低情况下实现效率最高,同时保证自主可控;二是在实施IPv6安全方案时,如何让安全不影响用户的体验的同时能够做到快速检测。
阿里在IPv6升级部署时面临着很多挑战,首先涉及IPv6企业核心网络改造,包括IPv6协议栈、网关、网络设备、路由管理、地址编制分配等都需要从IPv4转移到IPv6,改造量非常巨大。其次,经过十几年同网络黑灰产的对抗,已经具备完备的IPv4安全体系,在IPv6网络下安全问题包括IPv6地址滥用、不全配置、IPv6用户仿冒、应用安全漏洞等等,这些问题该怎么防护?这涉及的改造量也非常巨大。另外IPv6升级还涉及到运营商基础网络、同互联网的对接以及各企业之间的协同,其中的工作量也是非常巨大的。因此,IPv6不仅是网络层的改造,还是对IT基础设施的改造,更是整个生态能力的提升,是牵一发而动全身的事情。
在IPv6升级改造的过程中,安全面临着哪些威胁?他认为有八大挑战。
第一,IPv6协议栈安全。针对IPv6协议特点进行的攻击有分片攻击、扩展头攻击、NDP攻击等。终端会涉及到用户仿冒,运营商会给终端用户分配地址,如果地址不能溯源或者被恶意分子利用,很可能会做很多坏事。
第二,IPv6安全检测及扫描。IPv6拥有 128位地址空间,地址空间变大使得实施IPv6扫描非常困难,但是IPv6地址如果易仿冒,安全监控和防御都有了新的挑战。
第三,IPv6 DNS安全。在扫描困难的情况下公共节点可能会成为优先攻击的目标。
第四,IPv6 DDoS防护及黑洞。DDoS防护涉及IPv6编址标准、IPv6黑洞支持,需要多部门配合联动,挑战很大。IPv6地址分配会涉及到国家、运营商、教育网还有企业IPv6编址及分配规范。而DDoS防护,用户IPv6地址空间增大对于攻防双方是把双刃剑,清晰统一的编址、精确溯源可以降低DDoS防御的成本与效率。
第五,IPv6业务风控。IPv6地址是很关键的一环,如何精准快速区分恶意用户及溯源,防止薅羊毛、作弊、欺诈等?
第六,IPv6安全产品改造。协议栈升级以及地址相关的策略及逻辑改造面大,成本高。现在的安全产品整体要实施改造,需结合各自安全产品业务逻辑判断升级改造,特别是和IP地址相关的安全数据、情报、扫描探测等相关逻辑,对于企业来说成本还是非常高的。
第七,IPv6网络安全。IPv6地址空间大,做好规划及地址分配策略,同时网络访问控制及隔离、扫描都要配套升级。IPv6地址空间带来的一些限制,使得扫描和监控检测都非常困难,这也是一个比较大的挑战。
第八,IPv6过渡技术安全。在IPv6规模部署过程中会涉及到过渡技术,包括隧道、翻译、IPv4/IPv6双栈技术等,这些过渡技术的安全控制并不完善,需要结合其他方案综合控制风险。
阿里巴巴集团IPv6改造及安全解决方案
目前阿里巴巴的IPv6 DNS、IPv6 CDN、 IPv6 SLB 、IPv6转换服务已经上线,包括RDS和OSS已经发布,网络设备的选型、升级线路的改造。即将上线的还有ECS,云安全/服务等,另外阿里的业务整个生态中包括淘宝、天猫、蚂蚁金服、支付宝等都支持IPv6的访问,还有优酷等也即将支持IPv6。
在网络做完整个改造之后,安全也会做相关的配套升级。对于整个改造方案,从互联网企业的安全架构来看,程荣表示,需要改造的有系统层、存储层、网络层、应用层等。系统层涉及到了协议栈的加固,IPv6服务端口最小化开放、IPv6协议扫描及漏洞监测;存储层包括IPv6地址库数据,积累黑灰产恶意IPv6数据,如果同AI结合还涉及到规则算法模型也要做改造。在网络层,包括网络设备IPv6安全配置加固、访问控制的隔离,IPv6黑洞路由防DDoS,网络扫描;应用层涉及到WAF、CC防御、反爬虫、业务风控等。阿里会随着IPv6改造的进程,同时去部署、加固、落地安全解决方案,目的是为客户提供一个安全可控、高效便捷、体验更好的服务。
对于IPv6的未来,它的安全会怎么走?程荣表示,第一,要建立自主可控的、完备高效的IPv6安全防护网络,需要标准、应用、端、管、云及各行各业的共同努力,这件事情不做在前面对于各行业的防控都是不利的。
第二,IPv6的协议栈稳定会有一个过程,随着支持IPv6的应用逐步上线,用户流量上一定规模,会有新一轮形式的IPv6攻防对抗,特别是在业务风控、防DDoS、IPv6协议漏洞挖掘等方面。
第三,随着政策的牵引以及5G、IoT、云计算等对于IP地址需求大的业务的发展,IPv6安全产品及检测防护升级需要及时准备好,确保安全风险可控。
(本文刊登于《中国教育网络》10月刊,本文根据程荣在2018 ISC互联网安全大会上的发言整理而成,整理:杨燕婷)