▲阿里安全猎户座实验室高级专家东帆在2018 ISC互联网安全大会上演讲
自去年11月国务院颁布针对互联网协议第六版(Internet Protocol Version 6,下称“IPv6”)的规模部署行动计划以来,如何围绕IPv6升级安全系统也成为各行业热议的话题。
近日,在2018 ISC互联网安全大会上,阿里安全猎户座实验室高级专家东帆演讲指出,互联网企业的IPv6安全升级涉及系统层、网络层、存储层等多个层面的安全改造,存在八大安全挑战,并提出针对未来安全的三点建议。
随着5G、IoT、云计算等技术的不断成熟,万物互联、海量终端设备接入互联网成为必然趋势,IPv4地址空间枯竭和交易价格的攀升,让IPv6的全球化落地及在国内的规模化部署不断提速。按照国务院的部署计划,到2020年末,IPv6活跃用户数超过5亿,在互联网用户中的占比超过50%;到2025年末,我国IPv6网络规模、用户规模、流量规模位居世界第一位。
不过,IPv6改造涉及应用、云、管、端等整体改造,涵盖运营商、网络设备厂商、移动终端设备商、CDN厂商、互联网企业以及网络安全厂商等,是整个生态能力的提升,其涉及到的技术能力改造也关联甚广。
东帆指出,互联网企业在进行IPv6规模化部署时面临协议栈安全、安全检测扫描、DNS安全、DDoS防护及黑洞、业务风控、安全产品改造、网络安全和过渡技术安全的八大安全挑战,“以DNS安全为例,IPv6网络扫描困难导致攻击方可能会寻找新的攻击方式,DNS等公共节点可能会成为优先的攻击目标,需要提前考虑应对。”
因而,要全面保障互联网企业IPv6的规模化部署,当前互联网企业的安全架构也需要升级。东帆指出,要从系统层、网络层、存储层、应用业务层以及安全管理等方面进行变化,例如,在安全管理方面,要升级IPv6相关的认证、鉴权、审计以及SIEM安全信息和事件管理等。
阿里巴巴集团副总裁蔡依群介绍,自2012年全球IPv6网络正式启动以来,阿里巴巴就已开始着手IPv6的网络研发的设备选型和升级路线改造,IPv6高速转发最高可达400G,是业界商用性能的2.5倍。
今年6月,阿里云宣布联合三大运营商全面对外提供IPv6服务,希望能在2025年前帮助中国互联网真正实现“IPv6 Only”。据悉,阿里云是目前国内唯一一家全面提供IPv6服务的云厂商。
东帆指出,2018年底前淘宝、天猫等将完成改造,在此期间,阿里安全已结合业务节奏,针对安全风险提供了整体IPv6安全解决方案。
东帆认为,未来在业务风控、防DDoS、IPv6协议漏洞挖掘等方面将会有新一轮形式的攻防对抗,IPv6安全产品及检测防护升级需要重点投入并提前准备,确保新一代IPv6网络安全风险可控。
不过,仅仅互联网企业做好IPv6 的安全升级还不够。东帆指出,目前云和端的设备占到中国网民99%以上的规模,运营商也是IPv6落地里最强和最核心的一部分,“特别是用户IPv6地址编址及分配规范、精确溯源以及防DDoS等方面,因此IPv6安全升级落地到各类终端、运营商以及互联网企业IPv6安全需要统筹同步建设,各方协同配合才能更好地共建更安全更高效的新一代IPv6网络。”
▲阿里安全构建多方共治的安全生态体系,致力于解决复杂商业体系的安全问题
除了提供IPv6的安全解决方案,阿里安全通过十几年的实践经验,以共建共享的多方共治理念,为复杂商业体系的风险提供解决方案,践行“技术解决社会问题”的安全理念。
在阿里经济体内,每天数以万计的黑客通过4千万次的恶意访问以寻找安全漏洞,网络黑灰产通过爬虫发起17亿次的恶意访问试图窃取数据,阿里安全通过霸下、智子、智能风控中心、御城河、红蓝军攻防演练平台等多方共治的生态体系,持续与如此巨量、复杂的攻击进行对抗。
另外,此次2018 ISC互联网安全大会上,阿里安全猎户座实验室资深专家杭特、安全专家蒸米和白虬分别从人才培养、漏洞挖掘等不同方面,与行业分享观点,持续助力行业安全水位的提升。