(CWW)随着数字化转型的深入,企业的各项业务逐步从线下向线上转移,越来越多的应用、资源和数据暴露在互联网之上,给了攻击者可乘之机。利用新理念、新技术缩小资源暴露面,成为了企业的新述求。在此背景下,零信任安全架构中的SPA单包授权技术因为能够帮助企业缩小资源面,在攻防演练、远程办公等场景中实现“网络隐身”,有效保障企业的网络安全、业务安全和数据安全,受到了企业的欢迎。
(资料图片)
SPA单包授权的定义
SPA单包授权(Single Packet Authorization),是一种轻量级的安全协议,与传统的TCP协议中的“三次握手”的机制不同,它只使用单个数据包进行访问申请,通过将所有必要信息集成在单个数据包内来简化敲门流程,在允许访网络前,先验证设备和用户身份,以此达到“网络隐身”,使攻击者无法找到服务地址和端口。
在国际云安全联盟CSA定义的软件定义边界SDP架构中,介绍了SPA单包授权的技术原理:SPA单包授权是软件定义边界SDP的核心功能,在允许访问控制器、网关等相关系统组件所在的网络之前先检查设备或用户身份,实现零信任“先认证再连接”的安全模型。SPA单包授权的目的是允许服务被防火墙隐藏起来,防火墙默认丢弃所有未经验证的TCP和UDP数据包,不响应那些连接请求,不为潜在的攻击者提供任何关于该端口是否正被监听的信息,进而实现“网络隐身”。在认证和授权后,用户被允许访问该服务。
由此可见,SPA单包授权的核心原则有三,一是在单个敲门数据包内集成认证信息,简化敲门流程;二是对设备进行预认证,不响应认证设备之外的连接请求;三是把服务隐藏在防火墙之后,实现服务的“网络隐身”。
SPA单包授权,零信任里的“黑科技”
相比于传统的TCP协议相比,SPA单包授权具备最小授权、微隔离、动态授权等诸多技术优势,是企业构建零信任安全防护体系的的基石:
1. 遵守最小授权原则:对客户端的访问授权只会开放相应资源的相关端口,非必要的访问端口保持关闭,实现了最小授权的访问原则。
2. 形成微隔离:由于客户端只能由授权建立的连接来访问相关资源,逻辑上与其他客户端形成了微隔离。
3. 动态授权:客户端验证通过后,只授权了一段时间的访问权限,建立的连接并非永久的。
4. 持续监控:SDP 控制器作为安全大脑,会实时对访问连接监控,一旦发现威胁,将会立刻中断连接。
SPA单包授权,帮助企业“网络隐身”
SPA单包授权采用先认证后连接”的机制,执行默认“Deny All”策略的高性能流量过滤,能够帮助企业实现缩小攻击面、缓解DDOS攻击、0day漏洞保护等功能,具备很强的实用价值:
1. 隐藏服务,缩小攻击面:防火墙的Default-drop(默认丢弃)规则缓解了端口扫描和相关侦查技术带来的威胁,显著减小了整个SDP的攻击面。相比开放端口的VPN,SPA更安全。
2. 缓解DDOS攻击:SPA使服务只对认证的用户可见,因而所有DDoS攻击都默认由防火墙丢弃而不是由被保护的服务自己处理。
3. 0day漏洞保护:当一个0day漏洞被发现后,只有被认证的用户才能够访问受影响的服务,使该漏洞的破坏性显著减小 。
SPA单包授权的代表产品
芯盾时代零信任业务安全解决方案,采用SPA单包授权技术,基于人(身份)、物(设备)、事(行为)的认证和授权重构访问控制的信任基础上,建立双向加密隧道。通过全面感知端点设备、身份、应用、服务、网络和人员行为等风险态势对业务和数据等资源的访问授予细粒度的最小权限,并进行动态访问控制和风险处置,实时保护服务资源、数据传输安全。芯盾时代零信任业务安全解决方案能够使攻击者无法扫描探测到任何信息,大幅缩小暴露面,将服务资源进行隐藏,让企业“网络隐身”,曾帮助客户在上攻防演练中实现0失分,获得了客户的高度好评。