2022年，零信任理念加速落地，其中的SPA技术因能帮助企业缩小在互联网的暴露面、实现“网络隐身”，受到了越来越多的关注。本文将介绍SPA的定义和技术原理是，展示SPA的技术优势和实用价值，以及解析SPA如何帮助企业“网络隐身”。

单包授权（SPA）的定义

单包授权，即Single Packet Authorization，简称SPA，是一种轻量级的安全协议，只使用单个数据包进行访问申请，通过将所有必要信息集成在单个数据包内来简化敲门流程，在允许访网络前，先验证设备和用户身份，以此达到业务网络隐身，攻击者无法找到服务地址和端口。

单包授权（SPA）的技术原理

在国际云安全联盟CSA推出的软件定义边界（SDP）架构中，详细介绍了SPA的技术原理：SPA是软件定义边界（SDP）的核心功能，在允许访问控制器、网关等相关系统组件所在的网络之前先检查设备或用户身份，实现零信任“先认证再连接”的安全模型。SPA 的目的是允许服务被防火墙隐藏起来，防火墙默认丢弃所有未经验证的TCP和UDP数据包，不响应那些连接请求，不为潜在的攻击者提供任何关于该端口是否正被监听的信息，进而实现“网络隐身”。在认证和授权后，用户被允许访问该服务。

单包授权（SPA）的技术优势

相比于传统的授权方式，单包授权（SPA）具备以下技术优势：

1. 遵守最小授权原则

对客户端的访问授权只会开放相应资源的相关端口，非必要的访问端口保持关闭，实现了最小授权的访问原则。

2. 形成微隔离

由于客户端只能由授权建立的连接来访问相关资源，逻辑上与其他客户端形成了微隔离。

3. 动态授权

客户端验证通过后，只授权了一段时间的访问权限，建立的连接并非永久的。

4. 持续监控

SDP 控制器作为安全大脑，会实时对访问连接监控，一旦发现威胁，将会立刻中断连接。

单包授权（SPA）的实用价值

SPA可为用户提供以下安全效果：

1. 隐藏服务，缩小攻击面：

防火墙的Default-drop(默认丢弃)规则缓解了端口扫描和相关侦查技术带来的威胁，显著减小了整个SDP的攻击面。相比开放端口的VPN，SPA更安全。

2. 缓解DDOS攻击

SPA使服务只对认证的用户可见，因而所有DDoS攻击都默认由防火墙丢弃而不是由被保护的服务自己处理。

3. 0day漏洞保护

当一个0day漏洞被发现后，只有被认证的用户才能够访问受影响的服务，使该漏洞的破坏性显著减小 。

单包授权（SPA）的代表产品

芯盾时代零信任业务安全解决方案能够将服务资源进行隐藏，通过SPA预认证后，基于人（身份）、物（设备）、事（行为）的认证和授权重构访问控制的信任基础上，建立双向加密隧道。通过全面感知端点设备、身份、应用、服务、网络和人员行为等风险态势对业务和数据等资源的访问授予细粒度的最小权限，并进行动态访问控制和风险处置，实时保护服务资源、数据传输安全。