(CWW)隨著數(shù)字化轉(zhuǎn)型的深入,企業(yè)的各項業(yè)務(wù)逐步從線下向線上轉(zhuǎn)移,越來越多的應(yīng)用、資源和數(shù)據(jù)暴露在互聯(lián)網(wǎng)之上,給了攻擊者可乘之機(jī)。利用新理念、新技術(shù)縮小資源暴露面,成為了企業(yè)的新述求。在此背景下,零信任安全架構(gòu)中的SPA單包授權(quán)技術(shù)因為能夠幫助企業(yè)縮小資源面,在攻防演練、遠(yuǎn)程辦公等場景中實現(xiàn)“網(wǎng)絡(luò)隱身”,有效保障企業(yè)的網(wǎng)絡(luò)安全、業(yè)務(wù)安全和數(shù)據(jù)安全,受到了企業(yè)的歡迎。
(資料圖片)
SPA單包授權(quán)的定義
SPA單包授權(quán)(Single Packet Authorization),是一種輕量級的安全協(xié)議,與傳統(tǒng)的TCP協(xié)議中的“三次握手”的機(jī)制不同,它只使用單個數(shù)據(jù)包進(jìn)行訪問申請,通過將所有必要信息集成在單個數(shù)據(jù)包內(nèi)來簡化敲門流程,在允許訪網(wǎng)絡(luò)前,先驗證設(shè)備和用戶身份,以此達(dá)到“網(wǎng)絡(luò)隱身”,使攻擊者無法找到服務(wù)地址和端口。
在國際云安全聯(lián)盟CSA定義的軟件定義邊界SDP架構(gòu)中,介紹了SPA單包授權(quán)的技術(shù)原理:SPA單包授權(quán)是軟件定義邊界SDP的核心功能,在允許訪問控制器、網(wǎng)關(guān)等相關(guān)系統(tǒng)組件所在的網(wǎng)絡(luò)之前先檢查設(shè)備或用戶身份,實現(xiàn)零信任“先認(rèn)證再連接”的安全模型。SPA單包授權(quán)的目的是允許服務(wù)被防火墻隱藏起來,防火墻默認(rèn)丟棄所有未經(jīng)驗證的TCP和UDP數(shù)據(jù)包,不響應(yīng)那些連接請求,不為潛在的攻擊者提供任何關(guān)于該端口是否正被監(jiān)聽的信息,進(jìn)而實現(xiàn)“網(wǎng)絡(luò)隱身”。在認(rèn)證和授權(quán)后,用戶被允許訪問該服務(wù)。
由此可見,SPA單包授權(quán)的核心原則有三,一是在單個敲門數(shù)據(jù)包內(nèi)集成認(rèn)證信息,簡化敲門流程;二是對設(shè)備進(jìn)行預(yù)認(rèn)證,不響應(yīng)認(rèn)證設(shè)備之外的連接請求;三是把服務(wù)隱藏在防火墻之后,實現(xiàn)服務(wù)的“網(wǎng)絡(luò)隱身”。
SPA單包授權(quán),零信任里的“黑科技”
相比于傳統(tǒng)的TCP協(xié)議相比,SPA單包授權(quán)具備最小授權(quán)、微隔離、動態(tài)授權(quán)等諸多技術(shù)優(yōu)勢,是企業(yè)構(gòu)建零信任安全防護(hù)體系的的基石:
1. 遵守最小授權(quán)原則:對客戶端的訪問授權(quán)只會開放相應(yīng)資源的相關(guān)端口,非必要的訪問端口保持關(guān)閉,實現(xiàn)了最小授權(quán)的訪問原則。
2. 形成微隔離:由于客戶端只能由授權(quán)建立的連接來訪問相關(guān)資源,邏輯上與其他客戶端形成了微隔離。
3. 動態(tài)授權(quán):客戶端驗證通過后,只授權(quán)了一段時間的訪問權(quán)限,建立的連接并非永久的。
4. 持續(xù)監(jiān)控:SDP 控制器作為安全大腦,會實時對訪問連接監(jiān)控,一旦發(fā)現(xiàn)威脅,將會立刻中斷連接。
SPA單包授權(quán),幫助企業(yè)“網(wǎng)絡(luò)隱身”
SPA單包授權(quán)采用先認(rèn)證后連接”的機(jī)制,執(zhí)行默認(rèn)“Deny All”策略的高性能流量過濾,能夠幫助企業(yè)實現(xiàn)縮小攻擊面、緩解DDOS攻擊、0day漏洞保護(hù)等功能,具備很強(qiáng)的實用價值:
1. 隱藏服務(wù),縮小攻擊面:防火墻的Default-drop(默認(rèn)丟棄)規(guī)則緩解了端口掃描和相關(guān)偵查技術(shù)帶來的威脅,顯著減小了整個SDP的攻擊面。相比開放端口的VPN,SPA更安全。
2. 緩解DDOS攻擊:SPA使服務(wù)只對認(rèn)證的用戶可見,因而所有DDoS攻擊都默認(rèn)由防火墻丟棄而不是由被保護(hù)的服務(wù)自己處理。
3. 0day漏洞保護(hù):當(dāng)一個0day漏洞被發(fā)現(xiàn)后,只有被認(rèn)證的用戶才能夠訪問受影響的服務(wù),使該漏洞的破壞性顯著減小 。
SPA單包授權(quán)的代表產(chǎn)品
芯盾時代零信任業(yè)務(wù)安全解決方案,采用SPA單包授權(quán)技術(shù),基于人(身份)、物(設(shè)備)、事(行為)的認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)上,建立雙向加密隧道。通過全面感知端點(diǎn)設(shè)備、身份、應(yīng)用、服務(wù)、網(wǎng)絡(luò)和人員行為等風(fēng)險態(tài)勢對業(yè)務(wù)和數(shù)據(jù)等資源的訪問授予細(xì)粒度的最小權(quán)限,并進(jìn)行動態(tài)訪問控制和風(fēng)險處置,實時保護(hù)服務(wù)資源、數(shù)據(jù)傳輸安全。芯盾時代零信任業(yè)務(wù)安全解決方案能夠使攻擊者無法掃描探測到任何信息,大幅縮小暴露面,將服務(wù)資源進(jìn)行隱藏,讓企業(yè)“網(wǎng)絡(luò)隱身”,曾幫助客戶在上攻防演練中實現(xiàn)0失分,獲得了客戶的高度好評。
標(biāo)簽: SPA單包授權(quán) 數(shù)據(jù)安全