2024年，工信部發(fā)布了《關于開展“網絡去NAT”專項工作 進一步深化IPv6部署應用的通知》，加速了國內網絡由IPv4向IPv6的轉型步伐。未來，各行各業(yè)將逐步去NAT，逐步向IPv6遷移。在此過程中，網絡安全解決方案和產品能力將面臨新的挑戰(zhàn)，需要根據IPv6環(huán)境進行針對性的調整。在當前的網絡環(huán)境中，隨著遠程辦公、物聯網（IoT）和云計算的普及，企業(yè)網絡邊界逐漸模糊，傳統(tǒng)的邊界安全模型越來越難以應對。如何確保每次訪問的合法性和安全性？尤其是在IPv4環(huán)境下，由于廣泛應用的網絡地址轉換（NAT）和動態(tài)IP分配技術，導致設備IP頻繁變化，甚至隱藏在多個設備之后。這不僅增加了溯源難度，還影響到對訪問主體的可信度評估，產生了“無法確認你是你”的困境。在這種背景下，零信任架構逐漸成為一種有效的安全策略。本文將重點探討零信任架構與IPv6結合帶來的安全提升，如何應對這一系列的挑戰(zhàn)。

零信任架構簡介

零信任架構是一種安全模型，其核心理念是“永不信任，始終驗證”。與傳統(tǒng)的“信任但驗證”模型不同，零信任架構在設計時假設所有的網絡流量，無論來自內部還是外部，都不可被信任。無論是用戶、設備、應用程序還是服務，都必須經過嚴格的身份驗證和授權才允許訪問資源。市面上已經有各種文章介紹過零信任的基本概念，這里不過多贅述。

IPv6網絡的安全優(yōu)勢

IPv6是互聯網協(xié)議的下一代版本，其最大特點是提供了一個極為龐大的地址空間（128位地址），相比IPv4（32位地址）能夠支持更多的設備接入，解決了IPv4地址枯竭的問題。IPv6不僅僅是地址空間的擴展，它還引入了多種增強的安全特性，包括：

更強的身份驗證

IPv6網絡可為每個終端配置全球唯一的“身份證”，可以應用到網絡資產探測、流量綜合分析及流量行為異常檢測、資產唯一標識等場景。每個IPv6地址都是全球唯一的，且可以在不同的網絡環(huán)境中分配，減少了IP地址碰撞的可能性。為通信雙方提供數據完整性保護、數據內容的機密性驗證、有限的數據流機密性保證和數據起源驗證，并提供了抗報文重放保護。因而，可以將用戶、報文和攻擊一一對應，實現對用戶行為的安全監(jiān)控，在網絡層實現端到端數據加密傳輸。

傳輸安全能力增強

IPv6支持IPSec（互聯網協(xié)議安全性）協(xié)議，這為數據的加密和身份驗證提供了原生支持，有助于提高數據傳輸的安全性。

監(jiān)控、檢測與溯源能力增強

IPv6網絡可以規(guī)范地址管理策略，實現終端標識信息與位置信息的擴展、實現用戶與IP綁定，禁止自生成地址和隱私擴展地址等。在威脅的檢測和阻斷方面，通過基于媒體訪問控制(Media Access Control,MAC)地址或端口的阻斷可以精確地識別和阻斷威脅終端，通過五元組/三元組精準阻斷威脅流量而不影響正常業(yè)務。IPv4網絡中由于大量私網的存在，使得惡意行為很難溯源，在IPv6網絡中，節(jié)點采用公網地址取代私網地址，每一個地址都是真實的，易于對威脅行為溯源。

隨著IPv6在全球范圍內的推廣和部署，越來越多的企業(yè)開始過渡到IPv6網絡環(huán)境中，這為零信任架構的實施提供了新的技術平臺和可能性。

零信任與IPv6的結合

戰(zhàn)略層面

組織的IPV6網絡改造和零信任戰(zhàn)略應當同步實施。這里我引用了美國OMB發(fā)布的《MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES》，主題是：推動美國政府邁向零信任網絡安全原則。

其中要求各個機構在向IPv6過渡的過程中同步推進零信任架構的實施，并強調聯邦政府的IPv6過渡不應影響云計算或零信任架構遷移的進程。

注：OMB（Office of Management and Budget），譯為行政管理和預算局，美國總統(tǒng)行政辦公室之一，是美國總統(tǒng)維持對聯邦政府財政計劃控制的機構。

技術層面

增強設備和身份可溯源性

在傳統(tǒng)的IPv4環(huán)境下，地址空間有限，NAT（網絡地址轉換）廣泛應用于緩解IPv4地址短缺問題。這使得設備的IP地址經常發(fā)生變化，給安全防護帶來了隱患。與此同時，

NAT還使得網絡流量的追蹤和監(jiān)控變得更加困難

，攻擊者可能通過偽造源IP地址繞過安全檢測，增加了對惡意行為溯源的復雜性，甚至使某些情況下的溯源變得幾乎不可能。

而在IPv6中，設備的IP地址是全球唯一且較為固定的，這為零信任架構的身份驗證和設備管理提供了有力支持

。每個設備的IPv6地址可以作為設備身份的一部分，結合零信任的身份驗證機制，可以對每個設備進行更加精確的認證和控制。這種結合使得持續(xù)信任評估變得更加準確，確保了每個接入網絡的設備都經過充分驗證且符合安全要求。

動態(tài)訪問控制與細粒度授權

零信任架構的一個核心原則是

動態(tài)訪問控制

，即實時評估設備和用戶的信任狀態(tài)，基于多種因素（如設備健康狀態(tài)、用戶角色、網絡環(huán)境等）來動態(tài)決定是否允許訪問。在IPv6環(huán)境下，網絡更加分布式和靈活，設備可以隨時連接到網絡中，而IPv6的地址特性為這種動態(tài)控制提供了支持。例如，利用

IPv6的地址分配機制

，可以為不同類型的設備分配特定的地址池，這樣可以在動態(tài)授權時，根據設備的IP地址范圍、地址類型以及其他因素，快速實施細粒度的訪問控制策略。

網絡安全邊界的重新定義

隨著越來越多的設備和應用遷移到云環(huán)境中，傳統(tǒng)的網絡邊界已經不再適用。零信任架構正是應對這一挑戰(zhàn)，通過持續(xù)驗證每個請求，不依賴傳統(tǒng)的網絡邊界。而IPv6的引入，使得網絡環(huán)境變得更加靈活和可擴展。IPv6提供的巨大的地址空間和對多種網絡配置的支持，使得企業(yè)能夠在多樣化的網絡環(huán)境中實現更加靈活的安全架構。例如，企業(yè)可以在IPv6環(huán)境下通過

多種子網和地址塊

來劃分不同的安全區(qū)域，對不同區(qū)域內的流量應用不同的安全策略。這種細分和隔離使得零信任架構能夠更加精細地實施，確保每個網絡區(qū)域都得到合適的安全控制。

IPv6與零信任的全球化支持

隨著全球網絡的互聯互通，越來越多的企業(yè)在全球范圍內進行業(yè)務布局。IPv6的全球唯一性特性，使得設備和用戶無論身處哪個地理位置，都能有一個唯一的標識。這為零信任架構提供了全球范圍內一致的安全控制策略。通過在全球范圍內部署

分布式的零信任服務

，結合IPv6的全球地址分配，企業(yè)可以確?？鐕?、跨區(qū)域的流量和設備都能夠符合安全策略，避免不同地域和網絡環(huán)境帶來的安全漏洞。

零信任與IPv6結合帶來的安全提升

結合零信任架構和IPv6帶來的安全提升主要體現在以下幾個方面：

“

● 更強的設備身份驗證

IPv6的全球唯一地址和內建的加密支持，使得設備身份驗證更加精確和安全。

●精細化的訪問控制

IPv6的靈活地址分配和零信任的動態(tài)訪問控制，幫助企業(yè)實施更加細粒度的安全策略。

● 增強的數據保護

IPv6支持IPSec加密，而零信任架構的加密要求確保了數據在傳輸過程中的完整性和機密性。

● 提高對分布式環(huán)境的支持

IPv6和零信任架構的結合能夠為云計算、物聯網等分布式環(huán)境提供更加靈活且安全的防護。

結語

隨著網絡環(huán)境的不斷變化，傳統(tǒng)的安全防護措施已經無法滿足企業(yè)對安全的需求。零信任架構和IPv6的結合，為應對現代網絡安全挑戰(zhàn)提供了新的思路和技術支持。通過充分利用IPv6的獨特優(yōu)勢，結合零信任架構的精細化控制，企業(yè)能夠在全球化、分布式的網絡環(huán)境中實現更加安全和靈活的防護。未來，隨著IPv6的普及和零信任架構的深入應用，二者的結合將成為推動網絡安全創(chuàng)新的重要力量，幫助企業(yè)應對不斷變化的安全威脅，構建更加安全、可靠的網絡環(huán)境。

審核編輯 黃宇