阿里巴巴程榮IPv6的安全之路

程榮 阿里巴巴集團高級安全專家

阿里巴巴集團高級安全專家程榮在2018 ISC互聯網安全大會上分享了阿里云IPv6的實踐。在演講中，程榮講述了全球IPv6發展趨勢及國內政策要求，分享了阿里巴巴集團IPv6升級面臨的挑戰和安全威脅，以及阿里巴巴集團IPv6改造和安全解決方案。

阿里巴巴IPv6升級面臨的挑戰及安全威脅

程榮提到，阿里巴巴的整個業務生態在落實國家IPv6政策的實踐過程中，碰到了一些問題，一是在IPv6規模化部署的情況下做好IPv6安全，它的核心是如何在成本最低情況下實現效率最高，同時保證自主可控；二是在實施IPv6安全方案時，如何讓安全不影響用戶的體驗的同時能夠做到快速檢測。

阿里在IPv6升級部署時面臨著很多挑戰，首先涉及IPv6企業核心網絡改造，包括IPv6協議棧、網關、網絡設備、路由管理、地址編制分配等都需要從IPv4轉移到IPv6，改造量非常巨大。其次，經過十幾年同網絡黑灰產的對抗，已經具備完備的IPv4安全體系，在IPv6網絡下安全問題包括IPv6地址濫用、不全配置、IPv6用戶仿冒、應用安全漏洞等等，這些問題該怎么防護？這涉及的改造量也非常巨大。另外IPv6升級還涉及到運營商基礎網絡、同互聯網的對接以及各企業之間的協同，其中的工作量也是非常巨大的。因此，IPv6不僅是網絡層的改造，還是對IT基礎設施的改造，更是整個生態能力的提升，是牽一發而動全身的事情。

在IPv6升級改造的過程中，安全面臨著哪些威脅？他認為有八大挑戰。

第一，IPv6協議棧安全。針對IPv6協議特點進行的攻擊有分片攻擊、擴展頭攻擊、NDP攻擊等。終端會涉及到用戶仿冒，運營商會給終端用戶分配地址，如果地址不能溯源或者被惡意分子利用，很可能會做很多壞事。

第二，IPv6安全檢測及掃描。IPv6擁有 128位地址空間，地址空間變大使得實施IPv6掃描非常困難，但是IPv6地址如果易仿冒，安全監控和防御都有了新的挑戰。

第三，IPv6 DNS安全。在掃描困難的情況下公共節點可能會成為優先攻擊的目標。

第四，IPv6 DDoS防護及黑洞。DDoS防護涉及IPv6編址標準、IPv6黑洞支持，需要多部門配合聯動，挑戰很大。IPv6地址分配會涉及到國家、運營商、教育網還有企業IPv6編址及分配規范。而DDoS防護，用戶IPv6地址空間增大對于攻防雙方是把雙刃劍，清晰統一的編址、精確溯源可以降低DDoS防御的成本與效率。

第五，IPv6業務風控。IPv6地址是很關鍵的一環，如何精準快速區分惡意用戶及溯源，防止薅羊毛、作弊、欺詐等？

第六，IPv6安全產品改造。協議棧升級以及地址相關的策略及邏輯改造面大，成本高。現在的安全產品整體要實施改造，需結合各自安全產品業務邏輯判斷升級改造，特別是和IP地址相關的安全數據、情報、掃描探測等相關邏輯，對于企業來說成本還是非常高的。

第七，IPv6網絡安全。IPv6地址空間大，做好規劃及地址分配策略，同時網絡訪問控制及隔離、掃描都要配套升級。IPv6地址空間帶來的一些限制，使得掃描和監控檢測都非常困難，這也是一個比較大的挑戰。

第八，IPv6過渡技術安全。在IPv6規模部署過程中會涉及到過渡技術，包括隧道、翻譯、IPv4/IPv6雙棧技術等，這些過渡技術的安全控制并不完善，需要結合其他方案綜合控制風險。

阿里巴巴集團IPv6改造及安全解決方案

目前阿里巴巴的IPv6 DNS、IPv6 CDN、 IPv6 SLB 、IPv6轉換服務已經上線，包括RDS和OSS已經發布，網絡設備的選型、升級線路的改造。即將上線的還有ECS，云安全/服務等，另外阿里的業務整個生態中包括淘寶、天貓、螞蟻金服、支付寶等都支持IPv6的訪問，還有優酷等也即將支持IPv6。

在網絡做完整個改造之后，安全也會做相關的配套升級。對于整個改造方案，從互聯網企業的安全架構來看，程榮表示，需要改造的有系統層、存儲層、網絡層、應用層等。系統層涉及到了協議棧的加固，IPv6服務端口最小化開放、IPv6協議掃描及漏洞監測；存儲層包括IPv6地址庫數據，積累黑灰產惡意IPv6數據，如果同AI結合還涉及到規則算法模型也要做改造。在網絡層，包括網絡設備IPv6安全配置加固、訪問控制的隔離，IPv6黑洞路由防DDoS，網絡掃描；應用層涉及到WAF、CC防御、反爬蟲、業務風控等。阿里會隨著IPv6改造的進程，同時去部署、加固、落地安全解決方案,目的是為客戶提供一個安全可控、高效便捷、體驗更好的服務。

對于IPv6的未來，它的安全會怎么走？程榮表示，第一，要建立自主可控的、完備高效的IPv6安全防護網絡，需要標準、應用、端、管、云及各行各業的共同努力，這件事情不做在前面對于各行業的防控都是不利的。

第二，IPv6的協議棧穩定會有一個過程，隨著支持IPv6的應用逐步上線，用戶流量上一定規模，會有新一輪形式的IPv6攻防對抗，特別是在業務風控、防DDoS、IPv6協議漏洞挖掘等方面。

第三，隨著政策的牽引以及5G、IoT、云計算等對于IP地址需求大的業務的發展，IPv6安全產品及檢測防護升級需要及時準備好，確保安全風險可控。