2024年，工信部發(fā)布了《關(guān)于開(kāi)展“網(wǎng)絡(luò)去NAT”專項(xiàng)工作 進(jìn)一步深化IPv6部署應(yīng)用的通知》，加速了國(guó)內(nèi)網(wǎng)絡(luò)由IPv4向IPv6的轉(zhuǎn)型步伐。未來(lái)，各行各業(yè)將逐步去NAT，逐步向IPv6遷移。在此過(guò)程中，網(wǎng)絡(luò)安全解決方案和產(chǎn)品能力將面臨新的挑戰(zhàn)，需要根據(jù)IPv6環(huán)境進(jìn)行針對(duì)性的調(diào)整。在當(dāng)前的網(wǎng)絡(luò)環(huán)境中，隨著遠(yuǎn)程辦公、物聯(lián)網(wǎng)（IoT）和云計(jì)算的普及，企業(yè)網(wǎng)絡(luò)邊界逐漸模糊，傳統(tǒng)的邊界安全模型越來(lái)越難以應(yīng)對(duì)。如何確保每次訪問(wèn)的合法性和安全性？尤其是在IPv4環(huán)境下，由于廣泛應(yīng)用的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和動(dòng)態(tài)IP分配技術(shù)，導(dǎo)致設(shè)備IP頻繁變化，甚至隱藏在多個(gè)設(shè)備之后。這不僅增加了溯源難度，還影響到對(duì)訪問(wèn)主體的可信度評(píng)估，產(chǎn)生了“無(wú)法確認(rèn)你是你”的困境。在這種背景下，零信任架構(gòu)逐漸成為一種有效的安全策略。本文將重點(diǎn)探討零信任架構(gòu)與IPv6結(jié)合帶來(lái)的安全提升，如何應(yīng)對(duì)這一系列的挑戰(zhàn)。

零信任架構(gòu)簡(jiǎn)介

零信任架構(gòu)是一種安全模型，其核心理念是“永不信任，始終驗(yàn)證”。與傳統(tǒng)的“信任但驗(yàn)證”模型不同，零信任架構(gòu)在設(shè)計(jì)時(shí)假設(shè)所有的網(wǎng)絡(luò)流量，無(wú)論來(lái)自內(nèi)部還是外部，都不可被信任。無(wú)論是用戶、設(shè)備、應(yīng)用程序還是服務(wù)，都必須經(jīng)過(guò)嚴(yán)格的身份驗(yàn)證和授權(quán)才允許訪問(wèn)資源。市面上已經(jīng)有各種文章介紹過(guò)零信任的基本概念，這里不過(guò)多贅述。

IPv6網(wǎng)絡(luò)的安全優(yōu)勢(shì)

IPv6是互聯(lián)網(wǎng)協(xié)議的下一代版本，其最大特點(diǎn)是提供了一個(gè)極為龐大的地址空間（128位地址），相比IPv4（32位地址）能夠支持更多的設(shè)備接入，解決了IPv4地址枯竭的問(wèn)題。IPv6不僅僅是地址空間的擴(kuò)展，它還引入了多種增強(qiáng)的安全特性，包括：

更強(qiáng)的身份驗(yàn)證

IPv6網(wǎng)絡(luò)可為每個(gè)終端配置全球唯一的“身份證”，可以應(yīng)用到網(wǎng)絡(luò)資產(chǎn)探測(cè)、流量綜合分析及流量行為異常檢測(cè)、資產(chǎn)唯一標(biāo)識(shí)等場(chǎng)景。每個(gè)IPv6地址都是全球唯一的，且可以在不同的網(wǎng)絡(luò)環(huán)境中分配，減少了IP地址碰撞的可能性。為通信雙方提供數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)內(nèi)容的機(jī)密性驗(yàn)證、有限的數(shù)據(jù)流機(jī)密性保證和數(shù)據(jù)起源驗(yàn)證，并提供了抗報(bào)文重放保護(hù)。因而，可以將用戶、報(bào)文和攻擊一一對(duì)應(yīng)，實(shí)現(xiàn)對(duì)用戶行為的安全監(jiān)控，在網(wǎng)絡(luò)層實(shí)現(xiàn)端到端數(shù)據(jù)加密傳輸。

傳輸安全能力增強(qiáng)

IPv6支持IPSec（互聯(lián)網(wǎng)協(xié)議安全性）協(xié)議，這為數(shù)據(jù)的加密和身份驗(yàn)證提供了原生支持，有助于提高數(shù)據(jù)傳輸?shù)陌踩浴?/p>

監(jiān)控、檢測(cè)與溯源能力增強(qiáng)

IPv6網(wǎng)絡(luò)可以規(guī)范地址管理策略，實(shí)現(xiàn)終端標(biāo)識(shí)信息與位置信息的擴(kuò)展、實(shí)現(xiàn)用戶與IP綁定，禁止自生成地址和隱私擴(kuò)展地址等。在威脅的檢測(cè)和阻斷方面，通過(guò)基于媒體訪問(wèn)控制(Media Access Control,MAC)地址或端口的阻斷可以精確地識(shí)別和阻斷威脅終端，通過(guò)五元組/三元組精準(zhǔn)阻斷威脅流量而不影響正常業(yè)務(wù)。IPv4網(wǎng)絡(luò)中由于大量私網(wǎng)的存在，使得惡意行為很難溯源，在IPv6網(wǎng)絡(luò)中，節(jié)點(diǎn)采用公網(wǎng)地址取代私網(wǎng)地址，每一個(gè)地址都是真實(shí)的，易于對(duì)威脅行為溯源。

隨著IPv6在全球范圍內(nèi)的推廣和部署，越來(lái)越多的企業(yè)開(kāi)始過(guò)渡到IPv6網(wǎng)絡(luò)環(huán)境中，這為零信任架構(gòu)的實(shí)施提供了新的技術(shù)平臺(tái)和可能性。

零信任與IPv6的結(jié)合

戰(zhàn)略層面

組織的IPV6網(wǎng)絡(luò)改造和零信任戰(zhàn)略應(yīng)當(dāng)同步實(shí)施。這里我引用了美國(guó)OMB發(fā)布的《MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES》，主題是：推動(dòng)美國(guó)政府邁向零信任網(wǎng)絡(luò)安全原則。

其中要求各個(gè)機(jī)構(gòu)在向IPv6過(guò)渡的過(guò)程中同步推進(jìn)零信任架構(gòu)的實(shí)施，并強(qiáng)調(diào)聯(lián)邦政府的IPv6過(guò)渡不應(yīng)影響云計(jì)算或零信任架構(gòu)遷移的進(jìn)程。

注：OMB（Office of Management and Budget），譯為行政管理和預(yù)算局，美國(guó)總統(tǒng)行政辦公室之一，是美國(guó)總統(tǒng)維持對(duì)聯(lián)邦政府財(cái)政計(jì)劃控制的機(jī)構(gòu)。

技術(shù)層面

增強(qiáng)設(shè)備和身份可溯源性

在傳統(tǒng)的IPv4環(huán)境下，地址空間有限，NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）廣泛應(yīng)用于緩解IPv4地址短缺問(wèn)題。這使得設(shè)備的IP地址經(jīng)常發(fā)生變化，給安全防護(hù)帶來(lái)了隱患。與此同時(shí)，

NAT還使得網(wǎng)絡(luò)流量的追蹤和監(jiān)控變得更加困難

，攻擊者可能通過(guò)偽造源IP地址繞過(guò)安全檢測(cè)，增加了對(duì)惡意行為溯源的復(fù)雜性，甚至使某些情況下的溯源變得幾乎不可能。

而在IPv6中，設(shè)備的IP地址是全球唯一且較為固定的，這為零信任架構(gòu)的身份驗(yàn)證和設(shè)備管理提供了有力支持

。每個(gè)設(shè)備的IPv6地址可以作為設(shè)備身份的一部分，結(jié)合零信任的身份驗(yàn)證機(jī)制，可以對(duì)每個(gè)設(shè)備進(jìn)行更加精確的認(rèn)證和控制。這種結(jié)合使得持續(xù)信任評(píng)估變得更加準(zhǔn)確，確保了每個(gè)接入網(wǎng)絡(luò)的設(shè)備都經(jīng)過(guò)充分驗(yàn)證且符合安全要求。

動(dòng)態(tài)訪問(wèn)控制與細(xì)粒度授權(quán)

零信任架構(gòu)的一個(gè)核心原則是

動(dòng)態(tài)訪問(wèn)控制

，即實(shí)時(shí)評(píng)估設(shè)備和用戶的信任狀態(tài)，基于多種因素（如設(shè)備健康狀態(tài)、用戶角色、網(wǎng)絡(luò)環(huán)境等）來(lái)動(dòng)態(tài)決定是否允許訪問(wèn)。在IPv6環(huán)境下，網(wǎng)絡(luò)更加分布式和靈活，設(shè)備可以隨時(shí)連接到網(wǎng)絡(luò)中，而IPv6的地址特性為這種動(dòng)態(tài)控制提供了支持。例如，利用

IPv6的地址分配機(jī)制

，可以為不同類型的設(shè)備分配特定的地址池，這樣可以在動(dòng)態(tài)授權(quán)時(shí)，根據(jù)設(shè)備的IP地址范圍、地址類型以及其他因素，快速實(shí)施細(xì)粒度的訪問(wèn)控制策略。

網(wǎng)絡(luò)安全邊界的重新定義

隨著越來(lái)越多的設(shè)備和應(yīng)用遷移到云環(huán)境中，傳統(tǒng)的網(wǎng)絡(luò)邊界已經(jīng)不再適用。零信任架構(gòu)正是應(yīng)對(duì)這一挑戰(zhàn)，通過(guò)持續(xù)驗(yàn)證每個(gè)請(qǐng)求，不依賴傳統(tǒng)的網(wǎng)絡(luò)邊界。而IPv6的引入，使得網(wǎng)絡(luò)環(huán)境變得更加靈活和可擴(kuò)展。IPv6提供的巨大的地址空間和對(duì)多種網(wǎng)絡(luò)配置的支持，使得企業(yè)能夠在多樣化的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)更加靈活的安全架構(gòu)。例如，企業(yè)可以在IPv6環(huán)境下通過(guò)

多種子網(wǎng)和地址塊

來(lái)劃分不同的安全區(qū)域，對(duì)不同區(qū)域內(nèi)的流量應(yīng)用不同的安全策略。這種細(xì)分和隔離使得零信任架構(gòu)能夠更加精細(xì)地實(shí)施，確保每個(gè)網(wǎng)絡(luò)區(qū)域都得到合適的安全控制。

IPv6與零信任的全球化支持

隨著全球網(wǎng)絡(luò)的互聯(lián)互通，越來(lái)越多的企業(yè)在全球范圍內(nèi)進(jìn)行業(yè)務(wù)布局。IPv6的全球唯一性特性，使得設(shè)備和用戶無(wú)論身處哪個(gè)地理位置，都能有一個(gè)唯一的標(biāo)識(shí)。這為零信任架構(gòu)提供了全球范圍內(nèi)一致的安全控制策略。通過(guò)在全球范圍內(nèi)部署

分布式的零信任服務(wù)

，結(jié)合IPv6的全球地址分配，企業(yè)可以確保跨國(guó)、跨區(qū)域的流量和設(shè)備都能夠符合安全策略，避免不同地域和網(wǎng)絡(luò)環(huán)境帶來(lái)的安全漏洞。

零信任與IPv6結(jié)合帶來(lái)的安全提升

結(jié)合零信任架構(gòu)和IPv6帶來(lái)的安全提升主要體現(xiàn)在以下幾個(gè)方面：

“

● 更強(qiáng)的設(shè)備身份驗(yàn)證

IPv6的全球唯一地址和內(nèi)建的加密支持，使得設(shè)備身份驗(yàn)證更加精確和安全。

●精細(xì)化的訪問(wèn)控制

IPv6的靈活地址分配和零信任的動(dòng)態(tài)訪問(wèn)控制，幫助企業(yè)實(shí)施更加細(xì)粒度的安全策略。

● 增強(qiáng)的數(shù)據(jù)保護(hù)

IPv6支持IPSec加密，而零信任架構(gòu)的加密要求確保了數(shù)據(jù)在傳輸過(guò)程中的完整性和機(jī)密性。

● 提高對(duì)分布式環(huán)境的支持

IPv6和零信任架構(gòu)的結(jié)合能夠?yàn)樵朴?jì)算、物聯(lián)網(wǎng)等分布式環(huán)境提供更加靈活且安全的防護(hù)。

結(jié)語(yǔ)

隨著網(wǎng)絡(luò)環(huán)境的不斷變化，傳統(tǒng)的安全防護(hù)措施已經(jīng)無(wú)法滿足企業(yè)對(duì)安全的需求。零信任架構(gòu)和IPv6的結(jié)合，為應(yīng)對(duì)現(xiàn)代網(wǎng)絡(luò)安全挑戰(zhàn)提供了新的思路和技術(shù)支持。通過(guò)充分利用IPv6的獨(dú)特優(yōu)勢(shì)，結(jié)合零信任架構(gòu)的精細(xì)化控制，企業(yè)能夠在全球化、分布式的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)更加安全和靈活的防護(hù)。未來(lái)，隨著IPv6的普及和零信任架構(gòu)的深入應(yīng)用，二者的結(jié)合將成為推動(dòng)網(wǎng)絡(luò)安全創(chuàng)新的重要力量，幫助企業(yè)應(yīng)對(duì)不斷變化的安全威脅，構(gòu)建更加安全、可靠的網(wǎng)絡(luò)環(huán)境。

審核編輯 黃宇