阿里巴巴程荣：IPv6的安全之路

阿里巴巴集团高级安全专家程荣在2018 ISC互联网安全大会上分享了阿里云IPv6的实践。在演讲中，程荣讲述了全球IPv6发展趋势及国内政策要求，分享了阿里巴巴集团IPv6升级面临的挑战和安全威胁，以及阿里巴巴集团IPv6改造和安全解决方案。

阿里巴巴IPv6升级面临的挑战及安全威胁

程荣提到，阿里巴巴的整个业务生态在落实国家IPv6政策的实践过程中，碰到了一些问题，一是在IPv6规模化部署的情况下做好IPv6安全，它的核心是如何在成本最低情况下实现效率最高，同时保证自主可控；二是在实施IPv6安全方案时，如何让安全不影响用户的体验的同时能够做到快速检测。

阿里在IPv6升级部署时面临着很多挑战，首先涉及IPv6企业核心网络改造，包括IPv6协议栈、网关、网络设备、路由管理、地址编制分配等都需要从IPv4转移到IPv6，改造量非常巨大。其次，经过十几年同网络黑灰产的对抗，已经具备完备的IPv4安全体系，在IPv6网络下安全问题包括IPv6地址滥用、不全配置、IPv6用户仿冒、应用安全漏洞等等，这些问题该怎么防护？这涉及的改造量也非常巨大。另外IPv6升级还涉及到运营商基础网络、同互联网的对接以及各企业之间的协同，其中的工作量也是非常巨大的。因此，IPv6不仅是网络层的改造，还是对IT基础设施的改造，更是整个生态能力的提升，是牵一发而动全身的事情。

在IPv6升级改造的过程中，安全面临着哪些威胁？他认为有八大挑战。

第一，IPv6协议栈安全。针对IPv6协议特点进行的攻击有分片攻击、扩展头攻击、NDP攻击等。终端会涉及到用户仿冒，运营商会给终端用户分配地址，如果地址不能溯源或者被恶意分子利用，很可能会做很多坏事。

第二，IPv6安全检测及扫描。IPv6拥有 128位地址空间，地址空间变大使得实施IPv6扫描非常困难，但是IPv6地址如果易仿冒，安全监控和防御都有了新的挑战。

第三，IPv6 DNS安全。在扫描困难的情况下公共节点可能会成为优先攻击的目标。

第四，IPv6 DDoS防护及黑洞。DDoS防护涉及IPv6编址标准、IPv6黑洞支持，需要多部门配合联动，挑战很大。IPv6地址分配会涉及到国家、运营商、教育网还有企业IPv6编址及分配规范。而DDoS防护，用户IPv6地址空间增大对于攻防双方是把双刃剑，清晰统一的编址、精确溯源可以降低DDoS防御的成本与效率。

第五，IPv6业务风控。IPv6地址是很关键的一环，如何精准快速区分恶意用户及溯源，防止薅羊毛、作弊、欺诈等？

第六，IPv6安全产品改造。协议栈升级以及地址相关的策略及逻辑改造面大，成本高。现在的安全产品整体要实施改造，需结合各自安全产品业务逻辑判断升级改造，特别是和IP地址相关的安全数据、情报、扫描探测等相关逻辑，对于企业来说成本还是非常高的。

第七，IPv6网络安全。IPv6地址空间大，做好规划及地址分配策略，同时网络访问控制及隔离、扫描都要配套升级。IPv6地址空间带来的一些限制，使得扫描和监控检测都非常困难，这也是一个比较大的挑战。

第八，IPv6过渡技术安全。在IPv6规模部署过程中会涉及到过渡技术，包括隧道、翻译、IPv4/IPv6双栈技术等，这些过渡技术的安全控制并不完善，需要结合其他方案综合控制风险。

阿里巴巴集团IPv6改造及安全解决方案

目前阿里巴巴的IPv6 DNS、IPv6 CDN、 IPv6 SLB 、IPv6转换服务已经上线，包括RDS和OSS已经发布，网络设备的选型、升级线路的改造。即将上线的还有ECS，云安全/服务等，另外阿里的业务整个生态中包括淘宝、天猫、蚂蚁金服、支付宝等都支持IPv6的访问，还有优酷等也即将支持IPv6。

在网络做完整个改造之后，安全也会做相关的配套升级。对于整个改造方案，从互联网企业的安全架构来看，程荣表示，需要改造的有系统层、存储层、网络层、应用层等。系统层涉及到了协议栈的加固，IPv6服务端口最小化开放、IPv6协议扫描及漏洞监测；存储层包括IPv6地址库数据，积累黑灰产恶意IPv6数据，如果同AI结合还涉及到规则算法模型也要做改造。在网络层，包括网络设备IPv6安全配置加固、访问控制的隔离，IPv6黑洞路由防DDoS，网络扫描；应用层涉及到WAF、CC防御、反爬虫、业务风控等。阿里会随着IPv6改造的进程，同时去部署、加固、落地安全解决方案,目的是为客户提供一个安全可控、高效便捷、体验更好的服务。

对于IPv6的未来，它的安全会怎么走？程荣表示，第一，要建立自主可控的、完备高效的IPv6安全防护网络，需要标准、应用、端、管、云及各行各业的共同努力，这件事情不做在前面对于各行业的防控都是不利的。

第二，IPv6的协议栈稳定会有一个过程，随着支持IPv6的应用逐步上线，用户流量上一定规模，会有新一轮形式的IPv6攻防对抗，特别是在业务风控、防DDoS、IPv6协议漏洞挖掘等方面。

第三，随着政策的牵引以及5G、IoT、云计算等对于IP地址需求大的业务的发展，IPv6安全产品及检测防护升级需要及时准备好，确保安全风险可控。

（本文刊登于《中国教育网络》2018年10月刊，本文根据程荣在2018 ISC互联网安全大会上的发言整理而成，整理：杨燕婷）