Wiele napisano o podstawowych koncepcjach autoryzacji pojedynczych pakietów (SPA), wyrafinowanej formie blokowania portów, która pomaga ukryć porty internetowe, które pozostawione w stanie otwartym są łatwym celem dla aktorów zagrożeń. Przewodnik CSA po specyfikacji Zero Trust Software Defined Perimeter (SDP) podnosi SPA jako kluczową zasadę projektowania architektury. A więc, jeśli chodzi o Zero Trust Network Access (ZTNA), które zbudowane jest na zasadach SDP, co by było, gdyby uproszczona koncepcja SPA mogła być jeszcze lepsza niż jest?
Appgate SDP, nasze uniwersalne rozwiązanie ZTNA zbudowane dla złożonych sieci przedsiębiorstw, posiada zastrzeżony mechanizm TCP/UDP SPA, który wykorzystuje najlepsze z obu opcji protokołu i może zatwierdzić, kto jest w stanie „otworzyć drzwi” do sieci przedsiębiorstwa. A to tylko jeden składnik naszego lepszego „sekretnego sosu SPA”, jeśli tak można powiedzieć.
Zanim zagłębimy się w to, co sprawia, że implementacja SPA w Appgate SDP jest lepsza, można znaleźć informacje na ten temat w poprzednich blogach: Dlaczego drzwi Twojej sieci są wciąż otwarte? oraz Uczyń zasoby niewidocznymi dzięki autoryzacji pojedynczego pakietu.
Teraz przyjrzyjmy się najważniejszym cechom implementacji SPA wbudowanej w Appgate SDP:
Izolowana dystrybucja kluczy: Appgate SDP stosuje ogólny ochronny system dystrybucji kluczy, który wykorzystuje określone klucze dla każdej interakcji. Istnieją klucze używane przez Klientów do interakcji z Kontrolerami, a klucze te są unikalne w stosunku do kluczy używanych do komunikacji z Bramami w ramach danej witryny. Podobnie, interakcje pomiędzy Kontrolerami, Bramami i innymi urządzeniami są chronione unikalnymi kluczami SPA.
Ochrona przed spoofingiem (przydział klucza zmiennego): Kolejną ważną zaletą podejścia Appgate SDP SPA w stosunku do typowej implementacji SPA jest fakt, że nie wykorzystuje ono statycznych kluczy dla żądań autoryzacji. W przypadku kluczy statycznych zły aktor może sfałszować pakiet SPA i uzyskać dostęp do danego zasobu krytycznego. Implementacja SPA w Appgate SDP wykorzystuje klucz zmienny, co oznacza, że w ciągu kilku sekund generowany jest nowy klucz, a sfałszowany pakiet SPA otrzymuje odmowę dostępu, ponieważ klucz sfałszowany jest przestarzały.
Ochrona przed replikacją: Każda informacja SPA jest również spreparowana w specjalny sposób, aby złośliwi użytkownicy nie mogli go odtworzyć, powtórzyć lub wykonać innych działań, które mogłyby zagrozić każdej interakcji autoryzacyjnej.
A jeśli chodzi o klientów, to właśnie korzyści „uczynienia zasobów niewidocznymi” wynikające z autoryzacji pojedynczego pakietu i naszej solidnej implementacji są przez nich wymieniane jako jeden z głównych powodów, dla których kochają Appgate SDP.
Aby zapoznać się z podstawami SPA i pełną listą tego, co sprawia, że nasza implementacja SPA jest wyjątkowa, przeczytaj dokument, który obejmuje dodatkowe korzyści, w tym pełną weryfikację autoryzacji, ochronę użytkowników za Bramami NAT i zapewnione dostarczanie SPA wraz z diagramami przepływu SPA dla osób o zaawansowanych umiejętnościach. A czy wiesz, że SPA pomaga również chronić przed atakami DDoS? Sprawdź nasz dokument na ten temat tutaj.
Oryginalny wpis znajduje się na stronie producenta, firmy Appgate.