2017年底,國務院辦公廳印發《推進互聯網協議第六版(IPv6)規模部署行動計劃》,要求加快IPv6規模部署,在此形勢下,網絡架構、運維、安全等方面都遇到新的挑戰。應用交付網絡廠商F5中國總經理張毅強、CTO吳靜濤等分享了他們對新形勢的判斷和解決方案。
F5是一家提供應用交付網絡服務的廠商,其產品聚焦於負載均衡、安全、應用加速等方面,包括BIG-IP LTM等硬件產品,面向客戶包括政府、金融、互聯網等對安全性和穩定性要求高的行業。
目前,互聯網技術面臨着更新換代,網絡技術也在發生巨大的變化,體現在:
- 即將到來的5G的高帶寬、高併發,導致開發者需要考慮硬件+軟件,DC+雲服務的融合,並採用多雲服務,多雲調度的高可用架構;
- 隨着IPv6的演進,在IPv4和IPv6融合的安全架構會是一個新的挑戰,網絡安全攻擊的多樣化,在防禦側需要進行架構升級以進行應對;
- SSL everywhere和不同應用灰度需要不同的防護,開發者需要開始考慮SSL的系統編排。
IPv6相對於IPv4在安全方面的挑戰,首當其衝是來自終端的改變,IPv4時代的終端大多數爲個人計算機/智能設備,在IPv6時代,終端將擴展到物聯網,如智能家居、汽車、各種傳感器等。在以前我們只需要判斷終端是人還是機器,現在我們要判斷終端是“好”機器還是“壞”機器。
吳靜濤表示:“IPv4的安全架構在IPv6環境和混合環境中需要提升,把網絡、系統、運維、測試、研發整合在一起,通過產品+服務的方式把大數據採集、機器學習、智能極限、根因分析通過一鍵配置變更來實現分鐘這個年紀的攻防轉換。”
而從整體上,互聯網安全形勢越趨嚴峻,過去黑客不敢攻擊的政府、央企、金融等行業成爲黑客的目標。如2016年起,疑似“Anonymous”的黑客組織賬號在推特上宣稱要發動代號爲“Oplcarus”的攻擊,目的是擊垮全球金融系統網站及相關服務。黑客的攻擊手法也進行了升級,從以前的以天爲單位切換攻擊手段,到現在智能的分鐘級切換,從單純的攻擊帶寬到針對個別鏈路做精確打擊,這些都會企業安全部門和第三方安全廠商提出挑戰。
爲了應對新的安全挑戰,F5之前的基礎上,提出了新的安全架構,其中重點在於南北分層和灰度流量精分。南北分層指的是,當流量請求到來時,首先經過電信運營商和CDN、雲廠商在各個層面上的流量清洗,抵擋高流量的DDoS等類型的攻擊;灰度流量精分指的則是針對流量做細緻的識別和劃分,如來自哪個App、哪個終端、哪個用戶、甚至哪個應用版本,並針對每個訪問鏈路做精確控制。這樣,可以保證在攻擊到來時第一時間感知和應對。
(F5安全架構)
對於應用層的攻擊防護,應用層防禦功能一般包括協議識別、IPS、反病毒、URL過濾等,主要檢測報文的應用層負載,幾乎不受網絡層協議IPv4/IPv6影響,因此,大部分傳統IPv4協議下的應用層安全能力在IPv6網絡中不受影響。但有少部分IPv4網絡協議在IPv6網絡下自身需要發生了變化,比如DNS協議升級到DNSv6,那麼對應的應用層安全檢測需要根據協議變化進行調整。
目前IPv6正在政府部門的推動下快速的大規模部署,可以預見我們在未來的一段時間內都將處於IPv4和IPv6的混合環境之下,如何做好新環境下的安全防護,也將是我們今後的重要課題。