能让企业“网络隐身”的SPA，到底是什么黑科技？

时间进入2202年，零信任理念加速落地，其中的SPA技术因能帮助企业缩小在互联网的暴露面、实现“网络隐身”，受到了越来越多的关注。那么，什么是SPA？它有哪些特点和优势？如何实现“网络隐身”？接下来，且听我慢慢道来~

SPA，给网络穿上“隐身衣”

SPA，Single Packet Authorization，即单包授权，是一种轻量级的安全协议。SPA的定义和原理如果展开说会很抽象，但是它的效果很具体：借助SPA，可以隐藏端口和服务，让企业在网络上“隐身”。实现这一效果，拢共分三步：

第一步，默认拒绝一切连接。SDP网关drop所有申请访问的数据包，连reject的机会都不给。就像一个人，关闭了所有微信添加好友的方式，只接受当面扫码加好友，在社交网络“隐身”。

第二步，敲门对“暗号”。客户端通过约定端口，向网关发送包含特殊的密钥与token信息的SPA敲门数据包。由于敲门数据包采用UDP协议传输，传输时无需建立连接，有效避免端口被扫描。

第三步，确认过眼神，打开对的门。SDP网关收到SPA敲门包后，核验敲门包内的用户口令、设备身份、特殊密钥等信息。通过验证后，网关对客户端开放端口，并把流量转发向相应的业务系统。到这里，服务器隐藏着的“门”终于打开。

SPA的原理和优势

明白具体的运行机制，SPA的定义、原理和优势也就不难理解。SPA单包授权，只用单个数据包进行访问申请，通过将所有必要信息集成在单个数据包内来简化敲门流程，在允许访网络前，先验证设备和用户身份。

在云安全联盟的（CSA）的SDP（软件定义边界）架构中，SPA在客户端和控制器、网关和控制器、客户端和网关等的连接中使用。SDP架构中，各类应用和服务隐藏在SDP网关之后，SDP网关默认丢弃所有收到的未经验证的TCP和UDP数据包，不响应那些连接请求。因此，潜在的攻击者无法得知所请求的端口是否正在被监听。只有来自可信客户端的SPA敲门包会被网关接收，经过身份验证和授权后，用户才能访问所请求的服务。

在实际应用中，SPA具有以下优势：

1.隐藏服务，缩小攻击面：SDP网关的Default-drop（默认丢弃）规则缓解了端口和相关侦查技术带来的威胁，显著减小了整个SDP的攻击面。与始终开放端口的VPN相比，SPA优势明显。

2.0day漏洞保护：即使系统中存在0day漏洞，得益于只有认证用户才能访问服务的机制，此漏洞被利用的可能显著减小。

3.抵御DDoS攻击：SPA使服务只对认证用户可见，所有的DDoS攻击都默认由网关丢弃而不是由被保护的服务处理。

SPA虽然带来了更高的安全性，但也存在一些缺陷，比如UDP敲门存在放大漏洞，敲门成功后同一NAT下的终端无需敲门即可访问业务端口；敲门包有可能被劫持，被分析解密、重新构造之后发动中间人（MITM）攻击。

芯盾时代的SPA，有什么不一样？

芯盾时代认为，SPA的本质是基于对资源访问主体的安全预认证，隐藏访问及客体资源，并将连接模式从“开放连接”转变为“受控连接”，从而提升安全性。基于此理念，芯盾时代多管齐下，补足了SPA的缺陷：

1.多重加密，保护每一个数据包：除了使用客户端和网关之间的共享密钥加密客户端IP、设备指纹等信息之外，还会使用私有通信协议和加密协议对敲门包进行双重加密，让攻击者难以解析数据包格式和信息，有效避免中间人攻击。

2.一包一标识，敲门只一次：除了使用时间戳，芯盾时代还为每一个SPA敲门包生成唯一标识。即使攻击者劫持了已敲过门的数据包，也无法利用其进行重放攻击。

3.消息级身份认证，连接更可控：敲门成功后，客户端连接网关时，发送的数据包内含身份信息和会话信息，身份信息通过验证后才能访问网关后隐藏的应用和服务。攻击者即使与用户处于同一NAT之后，也无法利用敲门放大漏洞发起攻击。

有了这三大利器，SPA更安全、更实用，但芯盾时代给SPA加的buff还不止如此。

在敲门成功后，SDP网关和客户端会对访问者进行细粒度访问控制，就像跟着访问者的保安，时刻关注访问者的一举一动。一旦访问者试图进入没有权限进的房间，或者掏出一个疑似的撬门工具，SDP网关会马上执行处置措施，再次查验身份，严重者将直接把访问者踢出大楼。

零信任理念的“永不信任，持续验证”，可不是说说而已。

看到这里，你可能忍不住想问了，我也想给网络穿上“隐身衣”，应该怎么办？

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！