零信任中的 SPA 技术因为能帮助企业缩小在互联网的暴露面、实现“网络隐身”，受到了越来越多的关注。那么，什么是 SPA？它有哪些特点和优势？如何实现“网络隐身”？接下来，且听我慢慢道来~

SPA，给网络穿上“隐身衣”

SPA，Single Packet Authorization，即单包授权，是一种轻量级的安全协议。SPA 的定义和原理如果展开说会很抽象，但是它的效果很具体：借助 SPA，可以隐藏端口和服务，让企业在网络上“隐身”。实现这一效果，拢共分三步：

第一步，默认拒绝一切连接。SDP 网关 drop 所有申请访问的数据包，连 reject 的机会都不给。就像一个人，关闭了所有微信添加好友的方式，只接受当面扫码加好友，在社交网络“隐身”。

第二步，敲门对“暗号”。客户端通过约定端口，向网关发送包含特殊的密钥与 token 信息的 SPA 敲门数据包。由于敲门数据包采用 UDP 协议传输，传输时无需建立连接，有效避免端口被扫描。

第三步，确认过眼神，打开对的门。SDP 网关收到 SPA 敲门包后，核验敲门包内的用户口令、设备身份、特殊密钥等信息。通过验证后，网关对客户端开放端口，并把流量转发向相应的业务系统。到这里，服务器隐藏着的“门”终于打开。

SPA 的原理和优势

明白具体的运行机制，SPA 的定义、原理和优势也就不难理解。SPA 单包授权，只用单个数据包进行访问申请，通过将所有必要信息集成在单个数据包内来简化敲门流程，在允许访网络前，先验证设备和用户身份。

在云安全联盟的（CSA）的 SDP（软件定义边界）架构中，SPA 在客户端和控制器、网关和控制器、客户端和网关等的连接中使用。SDP 架构中，各类应用和服务隐藏在 SDP 网关之后，SDP 网关默认丢弃所有收到的未经验证的 TCP 和 UDP 数据包，不响应那些连接请求。因此，潜在的攻击者无法得知所请求的端口是否正在被监/听。只有来自可信客户端的 SPA 敲门包会被网关接收，经过身份验证和授权后，用户才能访问所请求的服务。

在实际应用中，SPA 具有以下优势：

1.隐藏服务，缩小攻击面：SDP 网关的 Default-drop（默认丢弃）规则缓解了端口和相关侦查技术带来的威胁，显著减小了整个 SDP 的攻击面。与始终开放端口的 VPN 相比，SPA 优势明显。

2.0day 漏洞保护：即使系统中存在 0day 漏洞，得益于只有认证用户才能访问服务的机制，此漏洞被利用的可能显著减小。

3.抵御 DDoS 攻击：SPA 使服务只对认证用户可见，所有的 DDoS 攻击都默认由网关丢弃而不是由被保护的服务处理。

SPA 虽然带来了更高的安全性，但也存在一些缺陷，比如 UDP 敲门存在放大漏洞，敲门成功后同一 NAT 下的终端无需敲门即可访问业务端口；敲门包有可能被劫持，被分析解密、重新构造之后发动中间人（MITM）攻击。

芯盾时代的 SPA，有什么不一样？

芯盾时代认为，SPA 的本质是基于对资源访问主体的安全预认证，隐藏访问及客体资源，并将连接模式从“开放连接”转变为“受控连接”，从而提升安全性。基于此理念，芯盾时代多管齐下，补足了 SPA 的缺陷：

1.多重加密，保护每一个数据包：除了使用客户端和网关之间的共享密钥加密客户端 IP、设备指纹等信息之外，还会使用私有通信协议和加密协议对敲门包进行双重加密，让攻击者难以解析数据包格式和信息，有效避免中间人攻击。

2.一包一标识，敲门只一次：除了使用时间戳，芯盾时代还为每一个 SPA 敲门包生成唯一标识。即使攻击者劫持了已敲过门的数据包，也无法利用其进行重放攻击。

3.消息级身份认证，连接更可控：敲门成功后，客户端连接网关时，发送的数据包内含身份信息和会话信息，身份信息通过验证后才能访问网关后隐藏的应用和服务。攻击者即使与用户处于同一 NAT 之后，也无法利用敲门放大漏洞发起攻击。

有了这三大利器，SPA 更安全、更实用，但芯盾时代给 SPA 加的 buff 还不止如此。

在敲门成功后，SDP 网关和客户端会对访问者进行细粒度访问控制，就像跟着访问者的保安，时刻关注访问者的一举一动。一旦访问者试图进入没有权限进的房间，或者掏出一个疑似的撬门工具，SDP 网关会马上执行处置措施，再次查验身份，严重者将直接把访问者踢出大楼。

零信任理念的“永不信任，持续验证”，可不是说说而已。

看到这里，你可能忍不住想问了，我也想给网络穿上“隐身衣”，应该怎么办？

答案：找芯盾时代