近日,阿裡雲資料中心骨幹網IPv6 DDoS網絡安全防禦被工業和資訊化部認定為“網絡安全技術應用試點示範項目”,本次評選由工業和資訊部網絡安全管理局發起,從實用性、創新性、先進性、可推廣性等次元展開,阿裡雲成為唯一一家入選IPv6 DDoS防護類項目的雲服務商。
響應國家号召,率先布局IPv6
2019年,工信部簽發《工業和資訊化部關于開展2019年IPv6網絡就緒專項行動的通知》,從網絡基礎設定、應用基礎設施、終端設施裝置,到網站和應用生态,提出了明确的名額化任務,并對網絡的服務性能和安全性明确了目标要求。從軟體服務商到終端裝置制造商,所有業務都要過渡到IPv6,顯然,普及IPv6已成為國家戰略。
2018年,阿裡雲就已建成國内首家IPv6 DDoS雲防禦系統,支援秒級監控防禦海量IP,并在護航全球最大線上購物狂歡節雙十一過程中進行了大規模實戰。期間,IPv4和IPv6雙棧防禦系統為雲上客戶和阿裡電商業務攔截5000多次DDoS攻擊,成功保障雙十一的順利進行,驗證了阿裡雲DDoS高防IP優秀的防禦效果、成熟性和穩定性。
阿裡雲IPv6 DDoS高防IP發展節點
在越來越多的企業過渡到IPv6協定的同時,安全問題也開始凸顯。2018年初,IPv6 DDoS攻擊已經開始在網際網路出現。而很多服務提供者還沒有做好将安全防護更新到IPv6的準備。2019年,應對好IPv6浪潮帶來的安全挑戰,将變得尤為重要。
對于網際網路服務提供者來說,重構、更新系統來支援IPv6協定下的安全防護涉及到基礎設施建設、安全架構和體系的整體改變,成本較高,利用雲服務快速搭建基于IPv6的防護體系更具有可行性。目前,阿裡雲已經以産品化的形式提供IPv6防護能力,助力企業做好新時代下的安全防護。
IPv6 DDoS防禦最佳實踐
對于網際網路服務提供者,業務過渡到IPv6一般需要考慮3個問題:
首先,保障現有的IPv4業務穩定運作,水準擴充IPv6服務,逐漸将流量排程到IPv6。
其次,需要快速搭建出一個IPv6服務架構,快速具備可以對外服務、滿足政策要求、安全合規的IPv6服務。這其中需要考慮投資産出比,以合理成本、人力投入的情況下部署IPv6服務,并盡量不依賴後端大規模改造。
再次,做好服務和安全的可擴充和可演進性,以達到IPv4同樣的能力和規模,并可持續疊代。
使用阿裡雲安全産品搭建IPv6服務可以遵循以下最佳實踐:
1.改造雲下IPv4業務或改造前端接入網絡場景
- 域名解析層:使用雲解析DNS 進行IPv4/IPv6網站域名解析;
- 邊緣接入和加速層:使用IPv4/IPv6雙棧的CDN 對網頁靜态内容進行浏覽加速;
- 網絡入口安全層:使用IPv4/IPv6的DDoS防護包+IPv4/IPv6的WAF進行安全防禦;
- IPv6<->IPv4轉換層:NAT 64服務轉換或使用WAF 以IPv4方式回源;
- 後端網絡:原有IPv4網絡和服務或雲下IPv4資料中心;
2.雲上全鍊路IPv6場景
- 負載均衡層:使用IPv4/IPv6 SLB做負載分攤;
- 後端服務:使用IPv4/IPv6 伺服器、存儲、緩存、資料庫搭建後端服務;
2019年,阿裡雲将在新加坡、印度、美國等海外國家及地區上線IPv6産品,進行安全防護,助力企業IPv6業務的全球化。未來,阿裡雲将持續運用創新技術驅動更高等級的安全産品,為百萬企業提供服務,解決多樣化的安全問題,實作普惠安全。