2011年6月8日是世界第首个“IPv6日”。毋庸置疑，这一天被世人瞩目，并且已经成为互联网发展道路上一个里程碑。在当天，全球网络工程师们对诸多系统进行了测试，以确保各大互联网服务提供商和内容提供商的网络及应用能够与下一代IPv6网络无缝相连或集成，其目的在于使整个行业(即互联网服务提供商、硬件制造商、运营系统供应商以及互联网公司)，准备好其针对IPv6的服务，并确保当IPv4地址库资源用罄之时能够顺利过度到IPv6网络。

　　全球领先的业务智能集成应用交付解决方案提供商Radware(NASDAQ:RDWR)参与了全球企业级用户与运营商级用户的IPv6测试，并为用户提供了领先的可用性、可扩展性、物理和虚拟化基础设施以及其所获IPv6认证的应用交付解决方案。作为这些支持IPv6的重要厂商，Radware强调指出除了网络IPv6遵从的必要性之外，还要注意由于IPv6流量与执行网络安全遵从而带来的安全威胁。虽然IPv6设计之初是为了解决IPv4有限的地址空间问题，并提供身份验证、数据保密和保存等诸多内置安全特性，但是，它没有注重服务的可用性与安全性，这些问题也许会由于IPv6的内在漏洞与缺点而产生，由此招致黑客攻击。

　　关于IPv6的安全认识

　　虽然借助IPSec (Internet 协议安全性)， IPv6可提供更好的安全性能并获得诸多改善，但其中一部分却被网络攻击者所利用。例如，攻击者的IPv6路由器将会使用假的路由器广告来为网络中启用了IPv6的机器自动创建新的IPv6地址。另外，一些过度机制使IPv6与IPv4网络间更容易相互影响，导致被网络攻击者滥用。过度工具为各种IPv4应用创建了一种方式连接到IPv6服务，而IPv6应用也可连接IPv4服务。

　　由于像6to4、SIT机制及基于IPv6的UDP通信(例Teredo、Shipworm)这些标准的过度方式，IPv6流量进入互联网当中，管理员却不会发觉它们的存在。例如，由于许多防火墙允许UDP通过，基于IPv6的UDP通信便可穿越防火墙，而管理员却不知发生了什么。攻击者可利用6to4机制避开入侵检测软件。

　　注意许多防火墙以及IPS(入侵防御系统)无法支持或过滤IPv6流量是十分重要的。如果企业没有部署其他安全或边界性网关功能，攻击者很可能利用这一疏忽借助IPv6数据包进入网络。

　　当前，尽管业内非常关心向IPv6过渡的各种事宜，但是网络安全有时却会被忽略。Radware指出如下几种主要的IPv6威胁，提醒业内人士在向IPv6过度之前务必仔细考虑、谨慎待之。

　　IPv6主要威胁

　　1、无遵从安全设备

　　目前大多数厂商宣称自己具备通过IPv6认证的安全产品。是这样吗？许多厂商提供的是一个特别的版本，它能支持IPv6或依靠某个许可证运行。即便支持IPv6可行，人们还是应该仔细学习他们是如何运行的。例如：

　　防火墙也许能使未经检查的IPv6流量轻松通过（而不是将其视为非IPv6应用版加以拦截、检查）

　　IPv6流量也许可绕过多个作为深层数据包引擎的硬件组件，它们也许不支持IPv6流量，从而避免各种攻击

　　IPv6地址长度是IPv4的4倍，可显著放慢流量处理速度

　　2、对管理员来说，IPv6是复杂的

　　您是否见过IPv6地址？您是否有过依靠防火墙设置来允许或阻止IPv6流量的经验？您如何看待将IPv6流量转换成IPv4流量？您知道Internet控制报文协议(ICMP)现在已被纳入IPv6协议当中了吗？这些只是几个能够决定一个公司是否具备有效保护其网络服务器能力的问题。

　　3、IPv6漏洞

　　IPv6网络管理员必须意识到协议的一些漏洞。IPv6的设计者们认为需要网络安全，包括基本协议规定中的强制IPSec。然而，近来发生的网络攻击事件显示：IPSec并不能够处理IPv6网络中的所有漏洞问题。Bug的设计初衷在于不断产生各种弱点，这对比IPv4复杂得多的IPv6来说是发生在其内部的。应用提供商们还要经过一段时间的运行才能清楚、修补各种IPv6漏洞，因此，人们需要一个IPS提供商，它不仅能够促进IPv4向IPv6的发展，还包括诸多特征状态以修补各种基于IPv6的系统。

　　4、IPv6协议机制

　　利用Teredo, 6to4, ISATAP等协议机制，IPv6流量可跨过IPv4。攻击者可以利用各种IPv6协议机制伪装各种进攻，他们知道允许通过的信息包看上去跟正常的IPv4流量毫无差别。我们需要通过防火墙和IPS提供商们准确核实，这些提供商们可通过深度包检测技术（DPI）对IPv6流量进行内容检测。在能够支持IPv6并可真正执行IPv6 DPI的IPS与诸多防火墙间存在着巨大缺口。

　　5、各种“不听话”的IPv6设备

　　各种无状态的自动配置性能是IPv6内在固有的，这些性能方便了攻击者确定行为失常的设备，该设备能够为其他所有设备分配网络IP地址。聪明的攻击者可以建一个行为失常的网络设备，它可以像IPv6路由器一样修改或降低流量，甚至不会让系统管理员发觉。

　　6、IPv6加密

　　与SSL加密相同，IPv6具备内部加密机制。尽管设计加密是为用户与服务器之间的交流提供身份验证与保密性功能，但该功能也使攻击者们利用加密机制，绕过了防火墙和IPS检查，直接向服务器发起攻击，原因在于防火墙和IPS无法检测加密内容。

　　7、DDoS攻击

　　DDoS攻击就是为了利用流量容量淹没，致使网络设备和服务器瘫痪，且让人无法应对。IPv6的地址长度是IPv4的4倍。基于IPv6的流量过滤增加了CPU安全设备的使用；基于IPv6的流量增加提高了CPU联网设备的使用率，由此导致能够充满网络的较低的流量容量。

　　总之，相对于IPv4来讲，业界在IPv6方面的经验确实不足。与此同时，短期内，由于网络设备需要支持网络协议的两个版本，IPv6的引入很有可能会增加重大的网络安全威胁。但是，作为互联网协议新版本的IPv6，将与其长期使用的前身IPv4共存并最终取代IPv4，它也会提供更多的地址空间促进互联网的成长。随着IPv6的发展与普及，在其成熟度同IPv4一样之前，Radware再次提醒您还是应当警惕各种网络安全威胁。

　　云使用、虚拟化和移动性 ─ 这三大相互关联的趋势已经成为2011年值得关注的行业重要话题。对于企业和信息安全提供商来说，这些趋势在过去的几年中正在变得愈发重要，今年更已到达了临界点。面对这些趋势的累积影响，企业必须做好准备，及早考虑在下一代防火墙、应用控制和可视化、带宽管理、安全远程访问、Clean VPN和无线方案，以及数据丢失防护等各方面，使用更有效的全新解决方案。

　　趋势一：云使用

　　2011年，企业把应用迁移到云端依然是大趋势之一。事实上，企业在公共IT云服务方面的支出预计会增加30%，而且约有33%的中型美国公司将采纳云计算资源。然而与此同时，与企业业务无关的网站应用现时正消耗高达15%的企业带宽，而且这一数字正急剧上升。随着企业日益依赖云以降低成本并提高效率，他们将需要处理有关云战略的两个难以预见的潜在影响。

　　首先，从企业广域网访问云时可供使用的带宽是有限的。因此，企业需要把带宽及用户访问优先分配给关键应用。若要做到这一点，带宽管理策略必须懂得区别基于云的关键应用、流媒体和对延迟敏感的应用，以及企业用和个人用的社交网站和点对点应用。下一代防火墙支持应用智能、控制及可视化功能，不需要端口和协议，也可准确识别和控制什么应用正在运行，以及谁在使用它们。此外，为了适当地控制网络的使用，企业亦可以部署先进的可视化解决方案，以便实时查看应用流量，并通过观察调整网络策略。

　　其次，企业把关键的应用转移到云端，将鼓励员工花更多时间在互联网上。不幸的是，员工可能会在访问业务相关网站的同时访问业务无关网站，这将令企业损失不少生产力，并可能受到更多的恶意软件、僵尸网络及其它形式的恶意攻击骚扰。随着企业更多依赖于基于云的应用来提高生产力及业绩，他们必须对网络传播的攻击更为警惕。由于敏感数据现时于企业数据中心与云端数据中心之间迁移，而且远离网络边界，因此，他们再也不能只兼顾网络安全，而是必须把焦点转移到信息安全范畴：无论企业数据和应用置于任何地方，都应该得到妥善的保护。

　　未来一年，防火墙的解决方案将会越来越多，并会通过先进的基于云的逻辑平台，加强防范传统恶意软件病毒特征码，从而提供全面的保护。安全技术将会不断进化，为无边界网络提供更严密和更易于管理的安全方案。企业对有关保护无边界网络环境的范围、规模及性能要求，将会促进大型可扩展的安全架构解决方案的发展。

　　趋势二：虚拟化

　　虚拟化已由早期尚未成熟的概念，发展到现在更广泛的部署。企业通过把多台服务器和设备，整合成为数量较少的实体机器，从而节省成本，并提升应用互联性能。预计到明年，企业将有近一半的服务器工作负载虚拟化。此外，财富1000强企业至少有14%的基础设施和运营架构会于虚拟环境下进行管理和内部传送。

　　把服务器和设备从实体环境转至虚拟环境，当中的风险往往是破坏以前存在于独立应用程序之间的隐性安全和访问障碍。其实企业只需在虚拟化服务器环境之间部署下一代防火墙，使用深层数据包检测和应用控制，便可保留这种旧有安全措施。

　　随着企业不断把运行于内部的关键任务应用虚拟化，他们需要以10GB以上的高速率扫描和保护更大的进出流量。为此，企业需要使用性能更完备的防火墙技术，具备实时免重组深度数据包检测、多核处理平台，以及性能优化的架构。此外，通过基于云的资源，一些应用流量亦具有更高的商业价值。企业可以使用具备应用智能的下一代防火墙，透过执行细粒度政策，按照应用类型分配带宽，从而优先处理和控制应用和用户流量。

　　趋势三：移动性

　　Google、Android、Apple、iPhone 4和iPad等的广泛应用，令智能手机和平板电脑等移动设备成为了标准的商业工具。虽然移动设备的出货量在未来一年半内将会超越PC，但只有不到三分之一的企业制订了多平台政策。随着移动设备市场不断演进和变化，企业应该采用平台无关解决方案。

　　在某些情况下，当移动设备从企业外围访问企业资源，便需要通过平台无关方案安全远程访问关键任务资源。基于Web的SSL VPN平台能为笔记本电脑、PDA及智能手机等移动终端设备提供平台无关的访问方式。企业只需要使用高性能的下一代防火墙，过滤SSL VPN的流量，便可以建立一个Clean VPN，同时保护VPN的访问和流量。Clean VPN所提供的多层次防护措施，可确保所有授权的SSL VPN流量都经过解密和净化后，才进入网络环境。此外，你更可以整合深度数据包检测、电子邮件安全，以及应用智能和控制等功能，以识别敏感数据，防止它们离开网络，从而有效控制数据丢失。

　　另一种情况是，当移动设备于企业内部访问互联网，用户便可以部署解决方案，通过把无线交换机直接集成至下一代防火墙，让所有无线流量接受Clean VPN扫描以及应用智能、控制和可视化处理，以保证网络安全和应用使用效率。

　　未来一年，企业信息资源的互动及保护方式将会大大改变。云计算、虚拟化和移动性将成为今年商用运算的标准功能，企业应该未雨绸缪，及早作好准备。SonicWALL致力提供创新和全面的解决方案，包括具备免重组深度数据包检测功能的下一代防火墙、支持可视化功能的应用智能和控制、安全远程访问、Clean Wireless 以及邮件安全等，锐意协助企业应对这些不断涌现的挑战。

　　一个接一个的调查表明，用户采用公有云最大的顾虑是安全问题。例如，2010年4月的一项调查指出，45% 的以上的受访者认为，云计算的风险要超过其能带来的利益。CA和Ponemon Institute进行的一项调查研究，也发现了相似的担忧。但是他们也发现，尽管有安全的顾虑，他们依旧部署了云计算。然而，依旧有诸如此类的调查和研究结果不断发布，指出对于云安全的不放心继续存在。

　　当然，大多数对云计算的担心与公有云有关。全球IT从业者不断地对使用一个公有云服务提供商提出同样的问题。例如，这周我在台湾，在台湾云SIG会议上发表了演讲。并做了一篇关于台湾云计算SIG的演讲。250 人参加了这个会议，正如预料的那样，人们向我提出的第一个问题就是，“公有云计算足够安全吗，我是否应该使用私有云以避免所有的安全问题？”所有地方的人们似乎都认为公有云服务提供商是不可信赖的。

　　然而，把云安全的讨论归结为“公有云不安全，私有云安全”的公式似乎过于简单化。简单地说，这个观点存在两个大谎言。产生这两大误解的主要原因是，这种新的计算模式迫使安全产品和操作手法发生了巨大变化。

　　误解一：私有云是安全的

　　这个结论的依据仅仅是私有云的定义：私有云是在企业自己的数据中心边界范围内部署的。这个误解产生于这样一个事实：云计算包含与传统计算不同的两个关键区别：虚拟化和活力。

　　第一个区别是，云计算的技术基础平台是一个应用的管理程序。管理程序能够把计算（及其相关的安全威胁）与传统的安全工具隔离开，检查网络通讯中不适当的或者恶意的数据包。由于在同一台服务器中的虚拟机能够完全通过管理程序中的通讯进行沟通，数据包能够从一个虚拟机发送到另一个虚拟机，而不必经过物理网络。一般安装的安全设备在物理网络检查通讯流量。

　　至关重要的是，这意味着如果一个虚拟机被攻破，它能够把危险的通讯发送到另一个虚拟机，机构的防护措施甚至都不会察觉。换句话说，一个不安全的应用程序能够造成对其它虚拟机的攻击，机构的安全措施对此无能为力。仅仅因为一个机构的应用程序位于私有云并不能保护这个应用程序不会出现安全问题。

　　当然，人们也许会指出，这个问题是与虚拟化一起出现的，没有涉及到云计算的任何方面。这个观察是正确的。云计算代表了虚拟化与自动化的结合。它是私有云出现的另一个安全缺陷的第二个因素。

　　云计算应用程序得益于自动化以实现灵活性和弹性，能够通过迅速迁移虚拟机和启动额外的虚拟机管理变化的工作量方式对不断变化的应用状况做出回应。这意味着新的实例在几分钟之内就可以上线，不用任何人工干预。这意味着任何必要的软件安装或者配置也必须实现自动化。这样，当新的实例加入现有的应用程序池的时候，它能够立即作为一个资源使用。

　　同样，它还意味着所有安全软件必须自动化地安装和配置，不能有人工干预。遗憾的是，许多机构依靠安全人员或者系统管理员人工安装和配置必要的安全组件，通常作为这台机器的其它软件组件安装和配置完毕之后的第二个步骤。

　　换句话说，许多机构在安全做法与云要求的现实方面是不匹配的。估计私有云本身是安全的这个观点是不正确的。在你的安全和基础设施做法与自动化的实例一致之前，你会有安全漏洞。

　　而且，使它们一致是非常重要的。否则，你可能出现这种情况：你的应用程序自动化超过了你的安全做法的应对能力。这不是一个好现象。毫无疑问，人们不喜欢解释为什么好像安全的私有云最终还是有安全漏洞，因为云计算的自动化特征还没有扩展到软件基础设施的所有方面。

　　因此，关于云计算的第一个大谎言的结果是私有云本身就是不安全的。

　　误解二：公有云的安全完全取决于云服务提供商

　　现实是，服务提供商领域的安全是提供商与用户共同承担的责任。服务提供商负责基础设施的安全以及应用程序与托管的环境之间的接口的安全；用户负责接入这个环境的接口的安全，更重要的是负责应用程序本身的内部安全。

　　没有正确地配置应用程序，如环境安全接口或者没有采取适当的应用程序级安全预防措施，会使用户产生一些问题。任何提供商也许都不会对这种问题承担责任。

　　让我提供一个例子。与我们合作的一家公司把自己核心的应用程序放在亚马逊Web服务中。遗憾的是，这家公司在使用亚马逊Web服务安全机制或者简单应用程序设计问题等方面没有采取适当的安全措施。

　　实际上，亚马逊提供一个虚拟机级别的防火墙(称作安全组)。人们配置这个防火墙以允许数据包访问具体的端口。与安全组有关的最佳做法是对它们分区，这样，就会为每一个虚拟化提供非常精细的访问端口。这将保证只有适用于那种类型机器的通讯能够访问一个实例。例如，一台Web服务器虚拟机经过配置允许端口80上的通讯访问这个实例，同时，数据库虚拟机经过配置允许端口80上的通讯访问这个实例。这就阻止了来自外部的利用web通讯对包含重要应用程序数据的数据库实例的攻击。

　　要建立一个安全的应用程序，人们必须正确地使用安全组。这个机构没有这样做。它对于访问所有实例的通讯都使用一个安全组。这意味着访问任何实例的任何类型的通讯都可以访问每一种类型的实例。这显然是糟糕地使用亚马逊Web服务安全机制的一个例子。

　　关于机构的应用程序本身，它采用了糟糕的安全做法。它没有在不同类型的机器中对应用程序代码分区，它把所有的应用程序代码都装载到同一个实例中。这个实例接收其企业网站的通讯，并且还有也在它上面运行的包含专有算法的代码。

　　这种情况的关键事实是：如果这个机构以为所有的安全责任都由云服务提供商，这将是一个严重的疏忽，因为它没有采取重要步骤解决安全问题，而这个安全问题是没有任何一个云服务提供商会承担责任的。这是共同承担责任的意义——双方必须建立自己控制的安全方面。没有这样做，意味着应用程序是不安全的。即使云服务提供商在自己控制的范围内所做的一切都是正确的，如果这个应用程序的拥有者没有正确地履行自己的责任，这个应用程序也将是不安全的。

　　曾经会见过许多安全人员讨论有关公告云服务提供商的问题。他们拒绝认为自己的公司在这些环境中的责任，坚持把每一个安全话题转向担心云服务提供商的责任。

　　因为这暗示他们拒绝认真地做一些必要的工作，以便创建一个基于公有云服务提供商的尽可能安全的应用程序。这个态度好像所有的安全责任都在云服务提供商身上，与安全人员无关。进一步扩展就是他的公司与在云服务提供商环境中运行的应用程序的任何安全事故无关。因此，这种情况——有关人士坚决支持私有云，声称私有云有优越的安全性——并不让人感到意外。

　　现实是，机构正在越来越多地在公有云服务提供商环境中部署应用程序。安全组织采取行动，保证自己的机构采取的所有步骤尽可能安全地执行应用程序是非常重要的。这意味着机构本身需要在这方面采取些什么步骤。

　　因此，安全是云计算的第三条轨道。安全一直被说成是私有云固有的好处和公有云计算的基本缺陷。实际上，事实比这些情况暗示的还要模糊不清。断言公有云环境有安全缺陷，不认真考虑如何缓解这些不安全的因素，似乎是不负责任的。这个证据表明这种观点认为研究缓解安全问题的技术是没有必要。

　　一个管理不善和配置糟糕的私有云应用程序是非常容易受到攻击的。一个管理妥当、配置合格的公有云应用程序能够达到很好的安全性。

　　在这两个环境中，更有建设性的做法是就以下问题进行咨询：必须采取什么行动才能实现在时间、预算和容许风险的条件下，尽可能保证应用程序安全的目标。考虑到一个具体环境和应用，安全从来不是一个或黑或白的简单问题，而是如何尽可能地照亮一个阴影的问题。不承认这个问题会破坏这个话题的讨论，影响如何最好地保证一个机构的基础设施以及尽可能地高效率和节省成本等问题。