胡安磊:云時代的網絡基礎資源的安全
責編:rhliu |2016-06-29 14:12:33胡安磊:大家下午好,很榮幸有這個機會,第一次參加網絡安全大會。論壇的題目是“云安全和電商的安全問題”,乍看跟互聯網的基礎資源關系不是太密切,我下面講完之后大家就會覺得互聯網的基礎資源其實跟云安全還是很有關聯性或者對云安全,我們電商安全還是很重要的。
首先說一下我們對互聯網基礎資源的理解,我們可以把網絡大體劃分為三個層次,最下面是物理的基礎設施,包括運營商的廣域網、機房和第三方IDC提供的接入服務,物理的設備我們叫互聯網的物理基礎設施,上面我們用APP,上網站,發郵件,看視頻是互聯網的上層應用。基礎資源怎么和上層應用相結合就需要用到中間這層,也就是我們叫做互聯網的基礎資源層,主要是域名,IP地址,現在物聯網也在快速發展,也有所謂的物品標識,上層應用是通過中間互聯網的基礎資源層找到互聯網的物理資源層來提供服務。所以,從我們的觀點來認為,只有互聯網基礎資源服務它的服務是安全穩定可靠的,才能保障整個互聯網的安全穩定運行。
互聯網的基礎資源在云時代到底能發揮什么作用呢?我們有四個方面的觀點。
首先,不管你在以前的互聯網時代還是現在的云時代,只有安全的互聯網的基礎資源服務才能在不同的時代,尤其現在的云時代,為我們海量的應用提供一個強大的基礎的支撐。第二,針對互聯網基礎資源服務,我們需要有一個可靠的安全的保障體系來保障安全穩定運行,才會為我們所有的云服務保駕護航。第三方面,互聯網基礎資源作為一個網絡入口,不管是IP地址或者域名,在這一層我們就能把一些有害的信息或者黑客所用的一些網站工具,在這個地方做一道過濾的入口,就可以為整個互聯網的安全提供一個很大的支撐,能夠大幅度的降低網絡出現風險的可能。
另外,可能國內不同的機構和行業在基礎資源服務方面所做的一些技術,或者是人才方面的儲備,也可以為云時代不斷的創新,把我們的技術轉化為我們的優勢,能夠提供更多的動力。這是我們認為在云時代互聯網技術資源還是可以為整個互聯網的發展提供保障和支撐。
說了這么多,下面還是給大家說一下互聯網基礎資源利最重要的域名系統到底是做什么的。域名服務是互聯網一項最基本的服務,目前它的趨勢是這樣,IPv6時代已經慢慢的開始進入商用,也在普及,在這個情況下作用會更加重要。近幾年很多新的域名加入到域名體系里,這就會推動域名的解析量在不斷的往上漲。第三,在移動互聯網時代,還有云時代,應用越來越多,越來越多的應用可能就會越來越多的使用到DNS,DNS的應用范圍就會越來越廣泛。整體上一個趨勢就是互聯網發展對于互聯網基礎資源,尤其是域名的依賴會不斷的加深。
一個域名解析的過程,上面是根域名服務系統,中間是所謂的頂級域名系統,點微博,點百度,下面二級域名服務系統,比如新浪自己運行的域名服務系統,左側主要是運營商提供,我要查詢一個域名先問DV服務器,有就返回了,沒有就到根服務器查,根服務器告訴他,然后去到.CN,.CN告訴它這是新浪的或者自己的,DV服務器再到新浪的服務器查,查完以后新浪的服務器就會把訪問的域名的IP地址轉給DV服務器,DV服務器給用戶,然后我們就看到了網頁或者其他的應用通過域名的連接來實現。
域名系統既然這么重要,目前域名系統的安全狀況怎么樣?現在一個大體的統計,目前互聯網上發生的安全事件或者針對不同的系統,不同的應用的攻擊里有20%是針對DNS的,針對DNS做攻擊是非常有效的把一個服務癱瘓掉或者讓這個服務不可用的手段,DNS在互聯網上首先是多環節的,不同的環節安全狀況是不一樣的,其中任何一個環節失效掉,不管你應用系統本身做的多強大,它的服務能力多強,防控能力多好,別人找不到你了,你的系統也就變相的在互聯網消失了。從目前的形勢看,針對域名服務的網絡安全事件還是越來越多。
云時代,域名服務的安全態勢什么樣?面對這么多的網絡攻擊,我們的域名服務系統或者域名服務體系,體系里的各個環節是否做好了安全方面的準備或者安全防護做的好不好。我們從2012年開始,從故障、配置、流量、性能,很多的維度對整個國內域名服務體系的每個環節做一個監測,做橫向對比,縱向對比,每年也會有一個這樣的報告,中國域名服務安全狀況的分析報告,通過這個報告我們就可以了解到目前我們國家的域名服務體系的安全狀況到底怎么樣,和全球對比是一個什么情況。
下面我簡要的介紹一下2015年的一些數據。首先,大家剛才看到的我們域名解析過程中首先要訪問根服務器,根服務器截止到去年底全球部署的鏡像服務器達到516個,相對來說,中國大陸地區的根服務器還是比較少,只有F、I、J和L四個根的鏡像,從監測數據看,從2012年到215年,趨勢是非常明顯的,凡是在我們國內有鏡像服務器的根解析服務器它的訪問時延是非常小的,比如F根,I根,J根和L根,他們的時延明顯是要比不在國內設置鏡像服務器的時延小很多。我們還是需要不斷的引進根的鏡像來提升國內域名解析的穩定性,尤其是訪問根服務器方面的穩定性。
頂級域名服務,到去年底的時候,現在頂級中一共有1206個,這個數據增長的非常非常快,2014年底的時候這個數字還只有805,我印象中2013年底這個數字可能只有四百多,最近這兩年頂級域名服務基本上增長了兩倍,帶來的問題是什么?增加了這么多頂級域名之后它的服務情況怎么樣?首先看訪問的時延,我們訪問一個名字的時候可以多快得到一個結果,從上面的圖看,我們基本上它的訪問時延還是90%以上都是在0.4秒,400毫秒的時間范圍內就可以得到一個訪問的結果。這么多頂級域名對故障、配置、流量、姓名,比較關鍵的是他對一些關鍵的安全協議的支持到底如何,是否支持IPv6的訪問,是不是支持TCP的訪問,從這個趨勢看,最近這一年在這幾個方面也都是在大幅度的提高。也就是說隨著新的頂級域名的加入,頂級域名服務的安全性是在不斷提高的。
針對國內的全域名服務有一個對比,所謂的國內權威域名服務比如新浪自己的域名服務器,或者騰訊自己的域名服務器,整體的情況,我們有一個計算的公式,從域名服務其的配置,解析的性能,它的流量的情況來有一個綜合的評分。2015年的時候,整個國內分值是0.52,相對還不是特別高,因為差的比例還是有73.9%,但是趨勢上已經比2012年有了一個很大的提高,尤其是我們也做了一個全球的排名,國內的權威域名服務和全球的權威域名服務的對比情況。2012年國內的權威域名服務在安全方面還排在全球第34位,到了2015年的時候我們在安全性方面已經上升到全球的第十位,這是第一次進入全球的前十名。
剛才說的是國內權威域名的整體情況,國內還有一些重點的權威域名服務,涉及到交通、金融、電力的,還有很多大的互聯網公司網站的,涉及到國計民生的或者大量用戶的全域名服務,它的總體情況也是在不斷的改善。2015年安全分值達到0.67,這是一個抽象的數字,但是下面的數據服務狀態是優的,已經從2012年的沒有變為6.3%。良的比例相對比較穩定,差的比例也在增加,但是整體趨勢是最起碼優的已經達到了6.3%。
國內重點和剛才提到的我們國內整體的權威域名服務器的比例,重點域名的域名解析服務明顯優于國內的整體情況,也就是重點的網站或者大的網站它對域名安全的重視程度是要比一般的或者普遍的情況要高很多的。
最后是DV域名服務,我們日常接觸的運營商的DV運營服務器,我們上網會自動填進去一個地址或者我們也可以用一個第三方的,Google有8888的DV服務器,它的運營服務情況也是在不斷的改善,有一個數據是0.72,它的狀況實際上是目前已達到比較優的狀態,國內和全球比我們還是比全球的情況稍微差一點。
國內主要權威我們有將近500多個DV域名服務器,主要是三大運營商,也包括114,包括CNNIC自己業提供公益的第三方DV服務,它的狀況也在不斷的改善,尤其主要的DV服務器明顯優于小的比如小區寬帶提供的DV服務,明顯比哪個好。所以,大家如果對這個略微有些了解或者今天聽了這個認為這個重要的話就可以把自己家里上網的電腦或者單位上網電腦DVDNS手動修改一下,這樣對你上網的安全性還是有相當的提高。
前面說了概況,有大量的數據沒有提,目前DV服務器軟件什么樣,版本什么樣,是不是支持各種協議,是不是有一些漏洞,針對各種各樣的問題,CNNIC最近這些年一直在研究國內自主的DNF的或者硬件,目前我們已經有專用權威的解析服務器和專用的DV解析服務器,這是國內完全自主知識產權,也支持互聯網協議相關標準,也支持下一代互聯網,目前在市場上也有一個比較好的應用。
同時我們開發了針對DNS攻擊的抗攻擊設備,包括一些瀏覽監控的設備。
我剛才提到CNNIC也在提供遞歸云服務,我們在2010年就提出來了,DNS的服務做成一個遞歸云,大家感受不到。1.2.4.8和210.2.4.8。同時我們有權威域名托管,如果一個公司覺得我沒有這個精力或者自己搭建一個域名解析服務器不安全不可靠也可以找第三方托管,CNNIC業提供第三方托管的服務。目前,我們這個服務主要還是針對各大部委,給各大部委做一些公益性的托管服務,當然也有一些商業性的服務,這不是做的太多,主要還是完成國家任務,給部委,還有一些重要的單位做域名解析托管的服務。
剛才講的是對于基礎資源的第一部分,就是域名的一些數據,還有我們的一些觀點跟大家分享。
第二部分,關于IP地址,2015年底,2016年1月份我們發布的第37次中國互聯網發展狀況統計報告里的一些基礎數據。我們的網民規模6.88億,現在全球第一,很快7月份第38次報告就要發布了,到時候大家可以期待一下是不是我們網民已經達到7億。有關于IP地址的數據,中國是IPv43.37億個,IPv6地址到去年底我們申請了兩萬多份。從現狀看,中國IPv4地址位列全球第二,但是跟第一美國差的可能不只一個數量級。所以,在這個情況下,IPv6對中國就是一個機會,現在也是位列全球第二,我們可能需要不斷的推廣IP V6的應用,能夠盡快的升到第一。
這個圖的數據,IPv4地址從2011年5月份開始基本上這個數據數量已經不再增長,我了解的情況,目前這個狀態IPv4已經沒有任何新的資源可以分配了,大家可以再拿到的就是一些回收過來的,別人用完之后不用了回收過來的IPv地址,回收回來的資源池馬上就要分配完畢,以后大家就要面臨沒有資源可以用。所以,IPv6過渡的進程還是需要加快的。
剛才提的一些問題和挑戰,IPv4的資源已經完全都沒有資源可以申請了,但是IPv6規模性的商用還不是非常理想,但是將來有很多新的業務,比如物聯網可能就需要大量的IP地址作為支撐,盡快的把IPv6如何分配,如何管理做好是當前一個比較緊迫的工作。同時,路由劫持網絡安全問題,在目前的網絡架構里是沒有一個很好的辦法來解決的。同時,IPv6相對來說比IPv4安全很多。很多安全問題在IPv4存在到了IPv6依然會存在,甚至因為IPv6的網絡目前沒有大規模商用,到底會不會產生新的安全問題也不是很好的判斷。
所以,我們認為在IP地址這塊未來的趨勢IPv6的地址跟物聯網能夠相互促進共同發展,物聯網國家有一些產業政策在推進,IPv6又具備這個地址是無限大這樣一個特性,只有IPv6才能滿足需求,同時物聯網的發展也會推動IPv6發展。
路由劫持方面,國際上也在做RPKI+BGPsec的部署和使用,在路由方面進行認證,防止路由假冒。目前實際部署還比較少,但是一些標準和驗證系統都已經比較成熟,包括CNNIC也在做這方面的工作。
IPv6時代會催生一些新的安全設備和新的安全防護方案,這是與IP地址相關的未來趨勢的基本判斷。
講了這么多,希望大家對互聯網的基礎資源有一個大概的認識。同時,如果對前面提到的域名安全狀況的報告感興趣的話,我們有非常非常多的詳細的數據,大家可以到CNNIC官網查詢下載,那是完全對外開放的,大家可以做一個參考。這是我今天要報告的一個主要內容,謝謝大家。