SPA單包授權(外文名:Single Packet Authorization)是一種輕量級的安全協定,只使用單個數據包進行訪問申請,通過將所有必要信息集成在單個數據包內來簡化敲門流程,在允許訪問網路前,先驗證設備和用戶身份,以此達到“網路隱身”,使攻擊者無法找到服務地址和連線埠。
基本介紹
- 中文名:SPA單包授權
- 外文名:Single Packet Authorization
- 所屬學科:網路安全
技術原理,技術優勢,實用價值,代表產品,
技術原理
SPA單包授權是SDP(軟體定義邊界)的核心功能,在允許訪問控制器、網關等相關係統組件所在的網路之前先檢查設備或用戶身份,實現零信任“先認證再連線”的安全模型。SPA單包授權的目的是允許服務被防火牆隱藏起來,防火牆默認丟棄所有未經驗證的TCP和UDP數據包,不回響那些連線請求,不為潛在的攻擊者提供任何關於該連線埠是否正被監聽的信息,進而實現“網路隱身”。在認證和授權後,用戶被允許訪問該服務。
技術優勢
1.遵守最小授權原則
對客戶端的訪問授權只會開放相應資源的相關連線埠,非必要的訪問連線埠保持關閉,實現了最小授權的訪問原則。
2.形成微隔離
由於客戶端只能由授權建立的連線來訪問相關資源,邏輯上與其他客戶端形成了微隔離。
3.動態授權
客戶端驗證通過後,只授權了一段時間的訪問許可權,建立的連線並非永久的。
4.持續監控
SDP 控制器作為安全大腦,會實時對訪問連線監控,一旦發現威脅,將會立刻中斷連線。
實用價值
SPA可為用戶提供以下安全效果:
1. 隱藏服務,縮小攻擊面:
防火牆的Default-drop(默認丟棄)規則緩解了連線埠掃描和相關偵查技術帶來的威脅,顯著減小了整個SDP的攻擊面。相比開放連線埠的VPN,SPA更安全。
2. 緩解DDOS攻擊
SPA使服務只對認證的用戶可見,因而所有DDoS攻擊都默認由防火牆丟棄而不是由被保護的服務自己處理。
3. 0day漏洞保護
當一個0day漏洞被發現後,只有被認證的用戶才能夠訪問受影響的服務,使該漏洞的破壞性顯著減小 。
代表產品
芯盾時代零信任業務安全解決方案,採用SPA單包授權技術,基於人(身份)、物(設備)、事(行為)的認證和授權重構訪問控制的信任基礎上,建立雙向加密隧道。通過全面感知端點設備、身份、套用、服務、網路和人員行為等風險態勢對業務和數據等資源的訪問授予細粒度的最小許可權,並進行動態訪問控制和風險處置,實時保護服務資源、數據傳輸安全。
