程榮 阿里巴巴集團(tuán)高級(jí)安全專(zhuān)家

阿里巴巴集團(tuán)高級(jí)安全專(zhuān)家程榮在2018 ISC互聯(lián)網(wǎng)安全大會(huì)上分享了阿里云IPv6的實(shí)踐。在演講中，程榮講述了全球IPv6發(fā)展趨勢(shì)及國(guó)內(nèi)政策要求，分享了阿里巴巴集團(tuán)IPv6升級(jí)面臨的挑戰(zhàn)和安全威脅，以及阿里巴巴集團(tuán)IPv6改造和安全解決方案。

阿里巴巴IPv6升級(jí)面臨的挑戰(zhàn)及安全威脅

程榮提到，阿里巴巴的整個(gè)業(yè)務(wù)生態(tài)在落實(shí)國(guó)家IPv6政策的實(shí)踐過(guò)程中，碰到了一些問(wèn)題，一是在IPv6規(guī)模化部署的情況下做好IPv6安全，它的核心是如何在成本最低情況下實(shí)現(xiàn)效率最高，同時(shí)保證自主可控；二是在實(shí)施IPv6安全方案時(shí)，如何讓安全不影響用戶的體驗(yàn)的同時(shí)能夠做到快速檢測(cè)。

阿里在IPv6升級(jí)部署時(shí)面臨著很多挑戰(zhàn)，首先涉及IPv6企業(yè)核心網(wǎng)絡(luò)改造，包括IPv6協(xié)議棧、網(wǎng)關(guān)、網(wǎng)絡(luò)設(shè)備、路由管理、地址編制分配等都需要從IPv4轉(zhuǎn)移到IPv6，改造量非常巨大。其次，經(jīng)過(guò)十幾年同網(wǎng)絡(luò)黑灰產(chǎn)的對(duì)抗，已經(jīng)具備完備的IPv4安全體系，在IPv6網(wǎng)絡(luò)下安全問(wèn)題包括IPv6地址濫用、不全配置、IPv6用戶仿冒、應(yīng)用安全漏洞等等，這些問(wèn)題該怎么防護(hù)？這涉及的改造量也非常巨大。另外IPv6升級(jí)還涉及到運(yùn)營(yíng)商基礎(chǔ)網(wǎng)絡(luò)、同互聯(lián)網(wǎng)的對(duì)接以及各企業(yè)之間的協(xié)同，其中的工作量也是非常巨大的。因此，IPv6不僅是網(wǎng)絡(luò)層的改造，還是對(duì)IT基礎(chǔ)設(shè)施的改造，更是整個(gè)生態(tài)能力的提升，是牽一發(fā)而動(dòng)全身的事情。

在IPv6升級(jí)改造的過(guò)程中，安全面臨著哪些威脅？他認(rèn)為有八大挑戰(zhàn)。

第一，IPv6協(xié)議棧安全。針對(duì)IPv6協(xié)議特點(diǎn)進(jìn)行的攻擊有分片攻擊、擴(kuò)展頭攻擊、NDP攻擊等。終端會(huì)涉及到用戶仿冒，運(yùn)營(yíng)商會(huì)給終端用戶分配地址，如果地址不能溯源或者被惡意分子利用，很可能會(huì)做很多壞事。

第二，IPv6安全檢測(cè)及掃描。IPv6擁有 128位地址空間，地址空間變大使得實(shí)施IPv6掃描非常困難，但是IPv6地址如果易仿冒，安全監(jiān)控和防御都有了新的挑戰(zhàn)。

第三，IPv6 DNS安全。在掃描困難的情況下公共節(jié)點(diǎn)可能會(huì)成為優(yōu)先攻擊的目標(biāo)。

第四，IPv6 DDoS防護(hù)及黑洞。DDoS防護(hù)涉及IPv6編址標(biāo)準(zhǔn)、IPv6黑洞支持，需要多部門(mén)配合聯(lián)動(dòng)，挑戰(zhàn)很大。IPv6地址分配會(huì)涉及到國(guó)家、運(yùn)營(yíng)商、教育網(wǎng)還有企業(yè)IPv6編址及分配規(guī)范。而DDoS防護(hù)，用戶IPv6地址空間增大對(duì)于攻防雙方是把雙刃劍，清晰統(tǒng)一的編址、精確溯源可以降低DDoS防御的成本與效率。

第五，IPv6業(yè)務(wù)風(fēng)控。IPv6地址是很關(guān)鍵的一環(huán)，如何精準(zhǔn)快速區(qū)分惡意用戶及溯源，防止薅羊毛、作弊、欺詐等？

第六，IPv6安全產(chǎn)品改造。協(xié)議棧升級(jí)以及地址相關(guān)的策略及邏輯改造面大，成本高?，F(xiàn)在的安全產(chǎn)品整體要實(shí)施改造，需結(jié)合各自安全產(chǎn)品業(yè)務(wù)邏輯判斷升級(jí)改造，特別是和IP地址相關(guān)的安全數(shù)據(jù)、情報(bào)、掃描探測(cè)等相關(guān)邏輯，對(duì)于企業(yè)來(lái)說(shuō)成本還是非常高的。

第七，IPv6網(wǎng)絡(luò)安全。IPv6地址空間大，做好規(guī)劃及地址分配策略，同時(shí)網(wǎng)絡(luò)訪問(wèn)控制及隔離、掃描都要配套升級(jí)。IPv6地址空間帶來(lái)的一些限制，使得掃描和監(jiān)控檢測(cè)都非常困難，這也是一個(gè)比較大的挑戰(zhàn)。

第八，IPv6過(guò)渡技術(shù)安全。在IPv6規(guī)模部署過(guò)程中會(huì)涉及到過(guò)渡技術(shù)，包括隧道、翻譯、IPv4/IPv6雙棧技術(shù)等，這些過(guò)渡技術(shù)的安全控制并不完善，需要結(jié)合其他方案綜合控制風(fēng)險(xiǎn)。

阿里巴巴集團(tuán)IPv6改造及安全解決方案

目前阿里巴巴的IPv6 DNS、IPv6 CDN、 IPv6 SLB 、IPv6轉(zhuǎn)換服務(wù)已經(jīng)上線，包括RDS和OSS已經(jīng)發(fā)布，網(wǎng)絡(luò)設(shè)備的選型、升級(jí)線路的改造。即將上線的還有ECS，云安全/服務(wù)等，另外阿里的業(yè)務(wù)整個(gè)生態(tài)中包括淘寶、天貓、螞蟻金服、支付寶等都支持IPv6的訪問(wèn)，還有優(yōu)酷等也即將支持IPv6。

在網(wǎng)絡(luò)做完整個(gè)改造之后，安全也會(huì)做相關(guān)的配套升級(jí)。對(duì)于整個(gè)改造方案，從互聯(lián)網(wǎng)企業(yè)的安全架構(gòu)來(lái)看，程榮表示，需要改造的有系統(tǒng)層、存儲(chǔ)層、網(wǎng)絡(luò)層、應(yīng)用層等。系統(tǒng)層涉及到了協(xié)議棧的加固，IPv6服務(wù)端口最小化開(kāi)放、IPv6協(xié)議掃描及漏洞監(jiān)測(cè)；存儲(chǔ)層包括IPv6地址庫(kù)數(shù)據(jù)，積累黑灰產(chǎn)惡意IPv6數(shù)據(jù)，如果同AI結(jié)合還涉及到規(guī)則算法模型也要做改造。在網(wǎng)絡(luò)層，包括網(wǎng)絡(luò)設(shè)備IPv6安全配置加固、訪問(wèn)控制的隔離，IPv6黑洞路由防DDoS，網(wǎng)絡(luò)掃描；應(yīng)用層涉及到WAF、CC防御、反爬蟲(chóng)、業(yè)務(wù)風(fēng)控等。阿里會(huì)隨著IPv6改造的進(jìn)程，同時(shí)去部署、加固、落地安全解決方案,目的是為客戶提供一個(gè)安全可控、高效便捷、體驗(yàn)更好的服務(wù)。

對(duì)于IPv6的未來(lái)，它的安全會(huì)怎么走？程榮表示，第一，要建立自主可控的、完備高效的IPv6安全防護(hù)網(wǎng)絡(luò)，需要標(biāo)準(zhǔn)、應(yīng)用、端、管、云及各行各業(yè)的共同努力，這件事情不做在前面對(duì)于各行業(yè)的防控都是不利的。

第二，IPv6的協(xié)議棧穩(wěn)定會(huì)有一個(gè)過(guò)程，隨著支持IPv6的應(yīng)用逐步上線，用戶流量上一定規(guī)模，會(huì)有新一輪形式的IPv6攻防對(duì)抗，特別是在業(yè)務(wù)風(fēng)控、防DDoS、IPv6協(xié)議漏洞挖掘等方面。

第三，隨著政策的牽引以及5G、IoT、云計(jì)算等對(duì)于IP地址需求大的業(yè)務(wù)的發(fā)展，IPv6安全產(chǎn)品及檢測(cè)防護(hù)升級(jí)需要及時(shí)準(zhǔn)備好，確保安全風(fēng)險(xiǎn)可控。