2024年，工信部發(fā)布了《關(guān)于開展“網(wǎng)絡(luò)去NAT”專項工作 進一步深化IPv6部署應(yīng)用的通知》，加速了國內(nèi)網(wǎng)絡(luò)由IPv4向IPv6的轉(zhuǎn)型步伐。未來，各行各業(yè)將逐步去NAT，逐步向IPv6遷移。在此過程中，網(wǎng)絡(luò)安全解決方案和產(chǎn)品能力將面臨新的挑戰(zhàn)，需要根據(jù)IPv6環(huán)境進行針對性的調(diào)整。在當(dāng)前的網(wǎng)絡(luò)環(huán)境中，隨著遠(yuǎn)程辦公、物聯(lián)網(wǎng)（IoT）和云計算的普及，企業(yè)網(wǎng)絡(luò)邊界逐漸模糊，傳統(tǒng)的邊界安全模型越來越難以應(yīng)對。如何確保每次訪問的合法性和安全性？尤其是在IPv4環(huán)境下，由于廣泛應(yīng)用的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和動態(tài)IP分配技術(shù)，導(dǎo)致設(shè)備IP頻繁變化，甚至隱藏在多個設(shè)備之后。這不僅增加了溯源難度，還影響到對訪問主體的可信度評估，產(chǎn)生了“無法確認(rèn)你是你”的困境。在這種背景下，零信任架構(gòu)逐漸成為一種有效的安全策略。本文將重點探討零信任架構(gòu)與IPv6結(jié)合帶來的安全提升，如何應(yīng)對這一系列的挑戰(zhàn)。

零信任架構(gòu)簡介

零信任架構(gòu)是一種安全模型，其核心理念是“永不信任，始終驗證”。與傳統(tǒng)的“信任但驗證”模型不同，零信任架構(gòu)在設(shè)計時假設(shè)所有的網(wǎng)絡(luò)流量，無論來自內(nèi)部還是外部，都不可被信任。無論是用戶、設(shè)備、應(yīng)用程序還是服務(wù)，都必須經(jīng)過嚴(yán)格的身份驗證和授權(quán)才允許訪問資源。市面上已經(jīng)有各種文章介紹過零信任的基本概念，這里不過多贅述。

IPv6網(wǎng)絡(luò)的安全優(yōu)勢

IPv6是互聯(lián)網(wǎng)協(xié)議的下一代版本，其最大特點是提供了一個極為龐大的地址空間（128位地址），相比IPv4（32位地址）能夠支持更多的設(shè)備接入，解決了IPv4地址枯竭的問題。IPv6不僅僅是地址空間的擴展，它還引入了多種增強的安全特性，包括：

更強的身份驗證

IPv6網(wǎng)絡(luò)可為每個終端配置全球唯一的“身份證”，可以應(yīng)用到網(wǎng)絡(luò)資產(chǎn)探測、流量綜合分析及流量行為異常檢測、資產(chǎn)唯一標(biāo)識等場景。每個IPv6地址都是全球唯一的，且可以在不同的網(wǎng)絡(luò)環(huán)境中分配，減少了IP地址碰撞的可能性。為通信雙方提供數(shù)據(jù)完整性保護、數(shù)據(jù)內(nèi)容的機密性驗證、有限的數(shù)據(jù)流機密性保證和數(shù)據(jù)起源驗證，并提供了抗報文重放保護。因而，可以將用戶、報文和攻擊一一對應(yīng)，實現(xiàn)對用戶行為的安全監(jiān)控，在網(wǎng)絡(luò)層實現(xiàn)端到端數(shù)據(jù)加密傳輸。

傳輸安全能力增強

IPv6支持IPSec（互聯(lián)網(wǎng)協(xié)議安全性）協(xié)議，這為數(shù)據(jù)的加密和身份驗證提供了原生支持，有助于提高數(shù)據(jù)傳輸?shù)陌踩浴?/p>

監(jiān)控、檢測與溯源能力增強

IPv6網(wǎng)絡(luò)可以規(guī)范地址管理策略，實現(xiàn)終端標(biāo)識信息與位置信息的擴展、實現(xiàn)用戶與IP綁定，禁止自生成地址和隱私擴展地址等。在威脅的檢測和阻斷方面，通過基于媒體訪問控制(Media Access Control,MAC)地址或端口的阻斷可以精確地識別和阻斷威脅終端，通過五元組/三元組精準(zhǔn)阻斷威脅流量而不影響正常業(yè)務(wù)。IPv4網(wǎng)絡(luò)中由于大量私網(wǎng)的存在，使得惡意行為很難溯源，在IPv6網(wǎng)絡(luò)中，節(jié)點采用公網(wǎng)地址取代私網(wǎng)地址，每一個地址都是真實的，易于對威脅行為溯源。

隨著IPv6在全球范圍內(nèi)的推廣和部署，越來越多的企業(yè)開始過渡到IPv6網(wǎng)絡(luò)環(huán)境中，這為零信任架構(gòu)的實施提供了新的技術(shù)平臺和可能性。

零信任與IPv6的結(jié)合

戰(zhàn)略層面

組織的IPV6網(wǎng)絡(luò)改造和零信任戰(zhàn)略應(yīng)當(dāng)同步實施。這里我引用了美國OMB發(fā)布的《MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES》，主題是：推動美國政府邁向零信任網(wǎng)絡(luò)安全原則。

其中要求各個機構(gòu)在向IPv6過渡的過程中同步推進零信任架構(gòu)的實施，并強調(diào)聯(lián)邦政府的IPv6過渡不應(yīng)影響云計算或零信任架構(gòu)遷移的進程。

注：OMB（Office of Management and Budget），譯為行政管理和預(yù)算局，美國總統(tǒng)行政辦公室之一，是美國總統(tǒng)維持對聯(lián)邦政府財政計劃控制的機構(gòu)。

技術(shù)層面

增強設(shè)備和身份可溯源性

在傳統(tǒng)的IPv4環(huán)境下，地址空間有限，NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）廣泛應(yīng)用于緩解IPv4地址短缺問題。這使得設(shè)備的IP地址經(jīng)常發(fā)生變化，給安全防護帶來了隱患。與此同時，

NAT還使得網(wǎng)絡(luò)流量的追蹤和監(jiān)控變得更加困難

，攻擊者可能通過偽造源IP地址繞過安全檢測，增加了對惡意行為溯源的復(fù)雜性，甚至使某些情況下的溯源變得幾乎不可能。

而在IPv6中，設(shè)備的IP地址是全球唯一且較為固定的，這為零信任架構(gòu)的身份驗證和設(shè)備管理提供了有力支持

。每個設(shè)備的IPv6地址可以作為設(shè)備身份的一部分，結(jié)合零信任的身份驗證機制，可以對每個設(shè)備進行更加精確的認(rèn)證和控制。這種結(jié)合使得持續(xù)信任評估變得更加準(zhǔn)確，確保了每個接入網(wǎng)絡(luò)的設(shè)備都經(jīng)過充分驗證且符合安全要求。

動態(tài)訪問控制與細(xì)粒度授權(quán)

零信任架構(gòu)的一個核心原則是

動態(tài)訪問控制

，即實時評估設(shè)備和用戶的信任狀態(tài)，基于多種因素（如設(shè)備健康狀態(tài)、用戶角色、網(wǎng)絡(luò)環(huán)境等）來動態(tài)決定是否允許訪問。在IPv6環(huán)境下，網(wǎng)絡(luò)更加分布式和靈活，設(shè)備可以隨時連接到網(wǎng)絡(luò)中，而IPv6的地址特性為這種動態(tài)控制提供了支持。例如，利用

IPv6的地址分配機制

，可以為不同類型的設(shè)備分配特定的地址池，這樣可以在動態(tài)授權(quán)時，根據(jù)設(shè)備的IP地址范圍、地址類型以及其他因素，快速實施細(xì)粒度的訪問控制策略。

網(wǎng)絡(luò)安全邊界的重新定義

隨著越來越多的設(shè)備和應(yīng)用遷移到云環(huán)境中，傳統(tǒng)的網(wǎng)絡(luò)邊界已經(jīng)不再適用。零信任架構(gòu)正是應(yīng)對這一挑戰(zhàn)，通過持續(xù)驗證每個請求，不依賴傳統(tǒng)的網(wǎng)絡(luò)邊界。而IPv6的引入，使得網(wǎng)絡(luò)環(huán)境變得更加靈活和可擴展。IPv6提供的巨大的地址空間和對多種網(wǎng)絡(luò)配置的支持，使得企業(yè)能夠在多樣化的網(wǎng)絡(luò)環(huán)境中實現(xiàn)更加靈活的安全架構(gòu)。例如，企業(yè)可以在IPv6環(huán)境下通過

多種子網(wǎng)和地址塊

來劃分不同的安全區(qū)域，對不同區(qū)域內(nèi)的流量應(yīng)用不同的安全策略。這種細(xì)分和隔離使得零信任架構(gòu)能夠更加精細(xì)地實施，確保每個網(wǎng)絡(luò)區(qū)域都得到合適的安全控制。

IPv6與零信任的全球化支持

隨著全球網(wǎng)絡(luò)的互聯(lián)互通，越來越多的企業(yè)在全球范圍內(nèi)進行業(yè)務(wù)布局。IPv6的全球唯一性特性，使得設(shè)備和用戶無論身處哪個地理位置，都能有一個唯一的標(biāo)識。這為零信任架構(gòu)提供了全球范圍內(nèi)一致的安全控制策略。通過在全球范圍內(nèi)部署

分布式的零信任服務(wù)

，結(jié)合IPv6的全球地址分配，企業(yè)可以確保跨國、跨區(qū)域的流量和設(shè)備都能夠符合安全策略，避免不同地域和網(wǎng)絡(luò)環(huán)境帶來的安全漏洞。

零信任與IPv6結(jié)合帶來的安全提升

結(jié)合零信任架構(gòu)和IPv6帶來的安全提升主要體現(xiàn)在以下幾個方面：

“

● 更強的設(shè)備身份驗證

IPv6的全球唯一地址和內(nèi)建的加密支持，使得設(shè)備身份驗證更加精確和安全。

●精細(xì)化的訪問控制

IPv6的靈活地址分配和零信任的動態(tài)訪問控制，幫助企業(yè)實施更加細(xì)粒度的安全策略。

● 增強的數(shù)據(jù)保護

IPv6支持IPSec加密，而零信任架構(gòu)的加密要求確保了數(shù)據(jù)在傳輸過程中的完整性和機密性。

● 提高對分布式環(huán)境的支持

IPv6和零信任架構(gòu)的結(jié)合能夠為云計算、物聯(lián)網(wǎng)等分布式環(huán)境提供更加靈活且安全的防護。

結(jié)語

隨著網(wǎng)絡(luò)環(huán)境的不斷變化，傳統(tǒng)的安全防護措施已經(jīng)無法滿足企業(yè)對安全的需求。零信任架構(gòu)和IPv6的結(jié)合，為應(yīng)對現(xiàn)代網(wǎng)絡(luò)安全挑戰(zhàn)提供了新的思路和技術(shù)支持。通過充分利用IPv6的獨特優(yōu)勢，結(jié)合零信任架構(gòu)的精細(xì)化控制，企業(yè)能夠在全球化、分布式的網(wǎng)絡(luò)環(huán)境中實現(xiàn)更加安全和靈活的防護。未來，隨著IPv6的普及和零信任架構(gòu)的深入應(yīng)用，二者的結(jié)合將成為推動網(wǎng)絡(luò)安全創(chuàng)新的重要力量，幫助企業(yè)應(yīng)對不斷變化的安全威脅，構(gòu)建更加安全、可靠的網(wǎng)絡(luò)環(huán)境。

審核編輯 黃宇