メンバーがクラウドプラットフォームでIPv6を展開する際に、IPv6ユニバースへの移行を容易にするために役立ついくつかの調査結果を共有することをお勧めします。うまくいけば、これによりIPv6の展開にかかる時間と労力を節約できます。
IPv6を展開するほとんどの人は、デュアルスタック実装を使用しています。つまり、IPv4とIPv6を実行し、両方のタイプのネットワークアドレスでトラフィックを許可しています。すでにIPv4に精通しており、IPv6の使用を開始しようとしていることを前提としています。
この記事の目的は、IPv6を有効にする前に、いくつかの潜在的な落とし穴について説明することです。 IPv6を有効にする前に、次の点を考慮してください。
- IPv6を有効にすると、セキュリティ体制が完全に回避される可能性があります。 IPv6は、アドレスが異なるまったく異なるネットワークです。 IPv6を有効にすることで、セキュリティ製品を無効にするか、バイパスすることができます。たとえば、Linuxでは、通常のポートフィルタリングはIPv4専用のiptablesを使用して行われます。 IPv6を保護するには、ip6tablesを使用する必要があります。さらに、トラフィックが意図しないインターフェイスを通過する可能性があるため、トラフィックのルーティング方法に注意する必要があります。 IPv6を有効にする前に、すべてのデバイスとセキュリティ製品を含むよく考えられた計画があることを確認してください。
- IPv6には、IPv4のようなブロードキャスト機能はありません。マルチキャストをブロックしないでください。ブロックすると、デバッグが混乱する可能性のある奇妙で断続的な問題が発生する可能性があります。 IPv6は、マルチキャスト、ユニキャスト、およびエニーキャストのみをサポートします。多くのブロードキャストタイプのトラフィックがIPv6マルチキャストに再考されていることを理解することが重要です。
- IPv6のICMP(ICMPv6)も再考されています。これは、多くの新機能、機能、および機能を備えた以前のバージョンとはまったく異なります。変更について理解するか、少なくともICMPがIPv6では異なることを理解することをお勧めします。
- IPv6は必ずしもIPv4より安全であるとは限りません。この神話はおそらく、IPv4のボルトオン(IPv4に普遍的ではないことを意味する)とは対照的に、IPsecがIPv6に組み込まれているために存続します。 IPsecがサポートされているからといって、それが使用されていることを意味するわけではありません。さらに、他の種類の攻撃(アプリケーション層など)を阻止することはできません。つまり、IPv6を使用しているからといって、「より安全」であることや、IPv6を使用しているためにセキュリティについて心配する必要がないことを意味するわけではありません。
- 逆に、IPv6には大量のアドレス空間があるため、NAT(ネットワークアドレス変換)は必要ありません。これは、セキュリティをNATデバイスに依存するだけでは問題があるため、NATデバイスの背後に座っていないためにIPv6の安全性が低下することを意味するものではありません。 IPv6は、セキュリティのためにNATデバイス(IPv4の限られたアドレス空間を処理するために作成された)に依存することは良い考えではないことをおそらくより明白にします。
うまくいけば、この記事があなたにIPv6とそれが持つ約束にもっと精通するようにあなたを刺激したでしょう。 IPv4アドレス空間の供給が減少することでIPv6の適応が拡大するにつれて、特にモノのインターネットの時代に、新しいデバイスを展開する際にIPv6がデファクトスタンダードになると予想されます。
以下は、次にチェックするのに役立つと思われるリンクです。
クラウドサーバーのIPv6を有効にして構成する方法:
IPv6を有効にして構成する方法
IPv6の採用/統計:
https://www.google.com/intl/en/ipv6/statistics.html
IPv4とIPv6の違い:
https://www.juniper.net/documentation/en_US/learn-about/ipv4-ipv6-differences.pdf
IPv6 FAQ:
https://www.internetsociety.org/deploy360/ipv6/faq/
IPv6セキュリティに関するFAQ:
https://www.internetsociety.org/wp-content/uploads/2019/02/Deploy360-IPv6-Security-FAQ.pdf