近日,阿里云数据中心骨干网 IPv6 ddos 网络安全防御被工业和信息化部认定为 ” 网络安全技术应用试点示范项目 “,本次评选由工业和信息部网络安全管理局发起,从实用性、创新性、先进性、可推广性等维度展开,阿里云成为唯一一家入选 IPv6 DDoS 防护类项目的云服务商。
响应国家号召,率先布局 IPv6
2019 年,工信部签发《工业和信息化部关于开展 2019 年 IPv6 网络就绪专项行动的通知》,从网络基础设置、应用基础设施、终端设施设备,到网站和应用生态,提出了明确的指标化任务,并对网络的服务性能和安全性明确了目标要求。从软件服务商到终端设备制造商,所有业务都要过渡到 IPv6,显然,普及 IPv6 已成为国家战略。
2018 年,阿里云就已建成国内首家 IPv6 DDoS 云防御系统,支持秒级监控防御海量 IP,并在护航全球最大在线购物狂欢节双十一过程中进行了大规模实战。期间,IPv4 和 IPv6 双栈防御系统为云上客户和阿里电商业务拦截 5000 多次 DDoS 攻击,成功保障双十一的顺利进行,验证了阿里云 DDoS 高防 IP 优秀的防御效果、成熟性和稳定性。
阿里云 IPv6 DDoS 高防 IP 发展节点
在越来越多的企业过渡到 IPv6 协议的同时,安全问题也开始凸显。2018 年初,IPv6 DDoS 攻击已经开始在互联网出现。而很多服务提供者还没有做好将安全防护升级到 IPv6 的准备。2019 年,应对好 IPv6 浪潮带来的安全挑战,将变得尤为重要。
对于互联网服务提供者来说,重构、升级系统来支持 IPv6 协议下的安全防护涉及到基础设施建设、安全架构和体系的整体改变,成本较高,利用云服务快速搭建基于 IPv6 的防护体系更具有可行性。目前,阿里云已经以产品化的形式提供 IPv6 防护能力,助力企业做好新时代下的安全防护。
IPv6 DDoS 防御最佳实践
对于互联网服务提供者,业务过渡到 IPv6 一般需要考虑 3 个问题:
首先,保障现有的 IPv4 业务稳定运行,水平扩展 IPv6 服务,逐步将流量调度到 IPv6。
其次,需要快速搭建出一个 IPv6 服务架构,快速具备可以对外服务、满足政策要求、安全合规的 IPv6 服务。这其中需要考虑投资产出比,以合理成本、人力投入的情况下部署 IPv6 服务,并尽量不依赖后端大规模改造。
再次,做好服务和安全的可扩展和可演进性,以达到 IPv4 同样的能力和规模,并可持续迭代。
使用阿里云安全产品搭建 IPv6 服务可以遵循以下最佳实践:
1. 改造云下 IPv4 业务或改造前端接入网络场景
· 域名解析层:使用云解析 DNS 进行 IPv4/IPv6 网站域名解析;
· 边缘接入和加速层:使用 IPv4/IPv6 双栈的 cdn 对网页静态内容进行浏览加速;
· 网络入口安全层:使用 IPv4/IPv6 的 DDoS 防护包 +IPv4/IPv6 的 WAF 进行安全防御;
· IPv6IPv4 转换层:NAT 64 服务转换或使用 WAF 以 IPv4 方式回源;
· 后端网络:原有 IPv4 网络和服务或云下 IPv4 数据中心;
2. 云上全链路 IPv6 场景
· 域名解析层:使用云解析 DNS 进行 IPv4/IPv6 网站域名解析;
· 负载均衡层:使用 IPv4/IPv6 SLB 做负载分摊;
· 后端服务:使用 IPv4/IPv6 服务器、存储、缓存、数据库搭建后端服务;
2019 年,阿里云将在新加坡、印度、美国等海外国家及地区上线 IPv6 产品,进行安全防护,助力企业 IPv6 业务的全球化。未来,阿里云将持续运用创新技术驱动更高等级的安全产品,为百万企业提供服务,解决多样化的安全问题,实现普惠安全。
原文链接:http://www.myzaker.com/article/5cd0fb2277ac64797f29901c
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/6380
