近日,阿里云数据中心骨干网IPv6 DDoS网络安全防御被工业和信息化部认定为“网络安全技术应用试点示范项目”,本次评选由工业和信息部网络安全管理局发起,从实用性、创新性、先进性、可推广性等维度展开,阿里云成为唯一一家入选IPv6 DDoS防护类项目的云服务商。
响应国家号召,率先布局IPv6
2019年,工信部签发《工业和信息化部关于开展2019年IPv6网络就绪专项行动的通知》,从网络基础设置、应用基础设施、终端设施设备,到网站和应用生态,提出了明确的指标化任务,并对网络的服务性能和安全性明确了目标要求。从软件服务商到终端设备制造商,所有业务都要过渡到IPv6,显然,普及IPv6已成为国家战略。
2018年,阿里云就已建成国内首家IPv6 DDoS云防御系统,支持秒级监控防御海量IP,并在护航全球最大在线购物狂欢节双十一过程中进行了大规模实战。期间,IPv4和IPv6双栈防御系统为云上客户和阿里电商业务拦截5000多次DDoS攻击,成功保障双十一的顺利进行,验证了阿里云DDoS高防IP优秀的防御效果、成熟性和稳定性。
阿里云IPv6 DDoS高防IP发展节点
在越来越多的企业过渡到IPv6协议的同时,安全问题也开始凸显。2018年初,IPv6 DDoS攻击已经开始在互联网出现。而很多服务提供者还没有做好将安全防护升级到IPv6的准备。2019年,应对好IPv6浪潮带来的安全挑战,将变得尤为重要。
对于互联网服务提供者来说,重构、升级系统来支持IPv6协议下的安全防护涉及到基础设施建设、安全架构和体系的整体改变,成本较高,利用云服务快速搭建基于IPv6的防护体系更具有可行性。目前,阿里云已经以产品化的形式提供IPv6防护能力,助力企业做好新时代下的安全防护。
IPv6 DDoS防御最佳实践
对于互联网服务提供者,业务过渡到IPv6一般需要考虑3个问题:
首先,保障现有的IPv4业务稳定运行,水平扩展IPv6服务,逐步将流量调度到IPv6。
其次,需要快速搭建出一个IPv6服务架构,快速具备可以对外服务、满足政策要求、安全合规的IPv6服务。这其中需要考虑投资产出比,以合理成本、人力投入的情况下部署IPv6服务,并尽量不依赖后端大规模改造。
再次,做好服务和安全的可扩展和可演进性,以达到IPv4同样的能力和规模,并可持续迭代。
使用阿里云安全产品搭建IPv6服务可以遵循以下最佳实践:
1.改造云下IPv4业务或改造前端接入网络场景
- 域名解析层:使用云解析DNS 进行IPv4/IPv6网站域名解析;
- 边缘接入和加速层:使用IPv4/IPv6双栈的CDN 对网页静态内容进行浏览加速;
- 网络入口安全层:使用IPv4/IPv6的DDoS防护包+IPv4/IPv6的WAF进行安全防御;
- IPv6<->IPv4转换层:NAT 64服务转换或使用WAF 以IPv4方式回源;
- 后端网络:原有IPv4网络和服务或云下IPv4数据中心;
2.云上全链路IPv6场景
- 域名解析层:使用云解析DNS 进行IPv4/IPv6网站域名解析;
- 边缘接入和加速层:使用IPv4/IPv6双栈的CDN 对网页静态内容进行浏览加速;
- 网络入口安全层:使用IPv4/IPv6的DDoS防护包+IPv4/IPv6的WAF进行安全防御;
- 负载均衡层:使用IPv4/IPv6 SLB做负载分摊;
- 后端服务:使用IPv4/IPv6 服务器、存储、缓存、数据库搭建后端服务;
2019年,阿里云将在新加坡、印度、美国等海外国家及地区上线IPv6产品,进行安全防护,助力企业IPv6业务的全球化。未来,阿里云将持续运用创新技术驱动更高等级的安全产品,为百万企业提供服务,解决多样化的安全问题,实现普惠安全。
