焦點快看:零信任里的“黑科技”:SPA單包授權,幫助企業(yè)“網(wǎng)絡隱身”

發(fā)布時間:2022-08-03 15:31:10  |  來源:通信世界全媒體  

(CWW)隨著數(shù)字化轉型的深入,企業(yè)的各項業(yè)務逐步從線下向線上轉移,越來越多的應用、資源和數(shù)據(jù)暴露在互聯(lián)網(wǎng)之上,給了攻擊者可乘之機。利用新理念、新技術縮小資源暴露面,成為了企業(yè)的新述求。在此背景下,零信任安全架構中的SPA單包授權技術因為能夠幫助企業(yè)縮小資源面,在攻防演練、遠程辦公等場景中實現(xiàn)“網(wǎng)絡隱身”,有效保障企業(yè)的網(wǎng)絡安全、業(yè)務安全和數(shù)據(jù)安全,受到了企業(yè)的歡迎。

SPA單包授權的定義

SPA單包授權(Single Packet Authorization),是一種輕量級的安全協(xié)議,與傳統(tǒng)的TCP協(xié)議中的“三次握手”的機制不同,它只使用單個數(shù)據(jù)包進行訪問申請,通過將所有必要信息集成在單個數(shù)據(jù)包內(nèi)來簡化敲門流程,在允許訪網(wǎng)絡前,先驗證設備和用戶身份,以此達到“網(wǎng)絡隱身”,使攻擊者無法找到服務地址和端口。


【資料圖】

在國際云安全聯(lián)盟CSA定義的軟件定義邊界SDP架構中,介紹了SPA單包授權的技術原理:SPA單包授權是軟件定義邊界SDP的核心功能,在允許訪問控制器、網(wǎng)關等相關系統(tǒng)組件所在的網(wǎng)絡之前先檢查設備或用戶身份,實現(xiàn)零信任“先認證再連接”的安全模型。SPA單包授權的目的是允許服務被防火墻隱藏起來,防火墻默認丟棄所有未經(jīng)驗證的TCP和UDP數(shù)據(jù)包,不響應那些連接請求,不為潛在的攻擊者提供任何關于該端口是否正被監(jiān)聽的信息,進而實現(xiàn)“網(wǎng)絡隱身”。在認證和授權后,用戶被允許訪問該服務。

由此可見,SPA單包授權的核心原則有三,一是在單個敲門數(shù)據(jù)包內(nèi)集成認證信息,簡化敲門流程;二是對設備進行預認證,不響應認證設備之外的連接請求;三是把服務隱藏在防火墻之后,實現(xiàn)服務的“網(wǎng)絡隱身”。

SPA單包授權,零信任里的“黑科技”

相比于傳統(tǒng)的TCP協(xié)議相比,SPA單包授權具備最小授權、微隔離、動態(tài)授權等諸多技術優(yōu)勢,是企業(yè)構建零信任安全防護體系的的基石:

1. 遵守最小授權原則對客戶端的訪問授權只會開放相應資源的相關端口,非必要的訪問端口保持關閉,實現(xiàn)了最小授權的訪問原則。

2. 形成微隔離由于客戶端只能由授權建立的連接來訪問相關資源,邏輯上與其他客戶端形成了微隔離。

3. 動態(tài)授權客戶端驗證通過后,只授權了一段時間的訪問權限,建立的連接并非永久的。

4. 持續(xù)監(jiān)控SDP 控制器作為安全大腦,會實時對訪問連接監(jiān)控,一旦發(fā)現(xiàn)威脅,將會立刻中斷連接。

SPA單包授權,幫助企業(yè)“網(wǎng)絡隱身”

SPA單包授權采用先認證后連接”的機制,執(zhí)行默認“Deny All”策略的高性能流量過濾,能夠幫助企業(yè)實現(xiàn)縮小攻擊面、緩解DDOS攻擊、0day漏洞保護等功能,具備很強的實用價值:

1. 隱藏服務,縮小攻擊面:防火墻的Default-drop(默認丟棄)規(guī)則緩解了端口掃描和相關偵查技術帶來的威脅,顯著減小了整個SDP的攻擊面。相比開放端口的VPN,SPA更安全。

2. 緩解DDOS攻擊SPA使服務只對認證的用戶可見,因而所有DDoS攻擊都默認由防火墻丟棄而不是由被保護的服務自己處理。

3. 0day漏洞保護當一個0day漏洞被發(fā)現(xiàn)后,只有被認證的用戶才能夠訪問受影響的服務,使該漏洞的破壞性顯著減小 。

SPA單包授權的代表產(chǎn)品

芯盾時代零信任業(yè)務安全解決方案,采用SPA單包授權技術,基于人(身份)、物(設備)、事(行為)的認證和授權重構訪問控制的信任基礎上,建立雙向加密隧道。通過全面感知端點設備、身份、應用、服務、網(wǎng)絡和人員行為等風險態(tài)勢對業(yè)務和數(shù)據(jù)等資源的訪問授予細粒度的最小權限,并進行動態(tài)訪問控制和風險處置,實時保護服務資源、數(shù)據(jù)傳輸安全。芯盾時代零信任業(yè)務安全解決方案能夠使攻擊者無法掃描探測到任何信息,大幅縮小暴露面,將服務資源進行隱藏,讓企業(yè)“網(wǎng)絡隱身”,曾幫助客戶在上攻防演練中實現(xiàn)0失分,獲得了客戶的高度好評。

關鍵詞: SPA單包授權 數(shù)據(jù)安全 ?芯盾時代

 

網(wǎng)站介紹  |  版權說明  |  聯(lián)系我們  |  網(wǎng)站地圖 

星際派備案號:京ICP備2022016840號-16 營業(yè)執(zhí)照公示信息版權所有 郵箱聯(lián)系:920 891 263@qq.com