configuring-microsegmentation-for-zero-trust

为零信任架构配置微隔离(Microsegmentation),在应用层对工作负载之间实施最小权限访问,防止横向移动,替代传统 VLAN 分段方式。

9 stars

Best use case

configuring-microsegmentation-for-zero-trust is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

为零信任架构配置微隔离(Microsegmentation),在应用层对工作负载之间实施最小权限访问,防止横向移动,替代传统 VLAN 分段方式。

Teams using configuring-microsegmentation-for-zero-trust should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/configuring-microsegmentation-for-zero-trust/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/configuring-microsegmentation-for-zero-trust/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/configuring-microsegmentation-for-zero-trust/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How configuring-microsegmentation-for-zero-trust Compares

Feature / Agentconfiguring-microsegmentation-for-zero-trustStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

为零信任架构配置微隔离(Microsegmentation),在应用层对工作负载之间实施最小权限访问,防止横向移动,替代传统 VLAN 分段方式。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 为零信任配置微隔离

---
domain: cybersecurity
subdomain: zero-trust-architecture
author: mahipal
tags: [zero-trust, microsegmentation, network-access, lateral-movement, network-security]
difficulty: advanced
estimated_time: 4-6 hours
prerequisites:
  - 理解零信任原则(NIST SP 800-207)
  - 了解网络分段概念
  - 熟悉防火墙和 SDN 技术
  - 具备 VMware NSX、Illumio、Guardicore 或 Cisco ACI 使用经验
---

## 概述

微隔离(Microsegmentation)将网络划分为细粒度安全区域,在应用层对工作负载之间执行最小权限访问,而非依赖传统的基于 VLAN 的分段方式。在零信任架构中,微隔离消除了同一网段内工作负载之间的隐式信任,即使攻击者获得初始访问权限后也能阻止横向移动。

本技能涵盖使用工作负载身份设计微隔离策略、实施基于主机和基于网络的执行,以及使用 Illumio Core 和 VMware NSX 等工具验证分段有效性。

## 架构

### 微隔离模型

1. **基于网络(VMware NSX、Cisco ACI)**:在 hypervisor 或网络结构层面执行的分布式防火墙规则
2. **基于主机(Illumio、Guardicore)**:使用 iptables/WFP 规则在操作系统层面基于 Agent 执行
3. **基于容器(Calico、Cilium)**:在 Kubernetes 的 Pod/容器层面执行网络策略
4. **基于应用(Zscaler Workload Segmentation)**:基于软件身份而非 IP 地址的身份分段

### 执行点

```
传统分段                         微隔离
┌─────────────────┐            ┌──────────────────────┐
│  VLAN 10        │            │  工作负载 A ←策略→   │
│  ┌───┐ ┌───┐   │            │  工作负载 B ←策略→   │
│  │ A │ │ B │   │            │  工作负载 C ←策略→   │
│  └───┘ └───┘   │            │  工作负载 D ←策略→   │
│  (互信)        │            │  (每对之间零信任)    │
└─────────────────┘            └──────────────────────┘
```

## 关键概念

### 应用依赖映射
在创建分段策略之前,使用流量遥测发现工作负载之间的实际通信流。Illumio、Guardicore 和 AppDynamics 等工具提供应用依赖映射,显示哪些工作负载在哪些端口上进行通信以及通信频率。

### 策略建模
在执行前以监控/可见性模式起草策略。这允许验证建议的规则不会中断合法流量,同时识别不必要或有风险的通信路径。

### 基于标签的策略
现代微隔离使用标签(角色、应用、环境、位置)而非基于 IP 的规则。基于标签的策略在不同环境之间可移植,并在迁移期间 IP 变更时仍然有效。

### 环形隔离(Ring-Fencing)
对关键应用(PCI 持卡人数据环境、SWIFT 金融系统、医疗 PHI)使用严格的允许列表策略进行隔离,拒绝所有未明确允许的流量。

## 流程

### 阶段 1:发现与映射

1. **部署可见性 Agent**
   - 在所有工作负载(服务器、虚拟机、容器)上安装轻量级 Agent
   - 配置 Agent 向管理控制台报告实时流量遥测
   - 允许 2-4 周的流量收集以构建全面的流量图

2. **构建应用依赖映射**
   - 在管理控制台中审查自动发现的通信流
   - 识别应用层次:Web 服务器、应用服务器、数据库、中间件
   - 映射合法通信路径并标记意外连接
   - 为合规范围记录数据流(PCI、HIPAA)

3. **分配标签**
   - 创建标签分类体系:角色(Web、App、DB)、应用(ERP、CRM)、环境(生产、开发、预发布)、位置(dc1、aws-east)
   - 通过管理控制台或 API 为所有工作负载应用标签
   - 根据 CMDB 和应用负责人输入验证标签准确性

### 阶段 2:策略设计

4. **定义分段区域**
   - 环境隔离:生产环境无法与开发环境通信
   - 层次隔离:数据库层只接受来自应用层的连接
   - 应用环形隔离:PCI 应用与非 PCI 工作负载隔离
   - 管理访问:跳板服务器是唯一的管理路径

5. **创建允许列表策略**
   - 为每个应用定义所需通信的明确允许规则
   - 尽可能使用基于标签的规则而非基于 IP 的规则
   - 在支持的情况下包含进程级别限制(例如,只允许 httpd 使用 443 端口)
   - 对所有未列出的通信设置默认拒绝

6. **在测试模式下建模策略**
   - 在可见性/测试模式下启用策略(不执行)
   - 监控可能被阻断的合法流量
   - 根据 1-2 周的测试结果优化策略
   - 执行前获取应用负责人的确认

### 阶段 3:执行

7. **增量执行**
   - 从最隔离、风险最低的应用开始
   - 将策略从测试模式切换到执行模式
   - 在最初 24-48 小时内监控应用问题
   - 验证后继续处理下一个应用

8. **验证分段**
   - 运行渗透测试,尝试在段之间横向移动
   - 验证被阻断的流量在管理控制台中生成告警
   - 测试紧急覆盖程序(Break-glass)
   - 记录每个应用区域的执行状态

### 阶段 4:运营维护

9. **持续策略管理**
   - 与 CI/CD 集成:从部署管道自动标记新工作负载
   - 每周审查策略违规并调查异常
   - 应用变更或新服务部署时更新策略
   - 每季度进行分段有效性审查

## 验证检查清单

- [ ] Agent 已部署在所有范围内的工作负载上
- [ ] 应用依赖映射已由应用负责人审查并批准
- [ ] 标签已分配并根据 CMDB 验证
- [ ] 策略已在测试模式下建模,2 周以上无误报
- [ ] 策略已在监控下增量执行
- [ ] 所有分段区域已激活默认拒绝
- [ ] 横向移动测试确认阻断了未授权流量
- [ ] 策略违规告警已配置
- [ ] Break-glass 程序已记录并测试
- [ ] 受监管环境已获合规审计师确认

## 参考资料

- NIST SP 800-207:零信任架构
- CISA 零信任成熟度模型 v2.0 — 网络支柱
- Illumio Core 管理指南
- VMware NSX 分布式防火墙配置指南
- Forrester 零信任扩展(ZTX)框架

Related Skills

performing-active-directory-forest-trust-attack

9
from killvxk/cybersecurity-skills-zh

使用 impacket 枚举和审计 Active Directory 林信任关系,进行 SID 过滤分析、信任密钥提取、跨林 SID 历史滥用检测和跨域 Kerberos 票据评估。

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构

implementing-zero-trust-in-cloud

9
from killvxk/cybersecurity-skills-zh

本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。

implementing-zero-trust-for-saas-applications

9
from killvxk/cybersecurity-skills-zh

使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。

implementing-zero-trust-dns-with-nextdns

9
from killvxk/cybersecurity-skills-zh

将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。

implementing-zero-standing-privilege-with-cyberark

9
from killvxk/cybersecurity-skills-zh

部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。

implementing-zero-knowledge-proof-for-authentication

9
from killvxk/cybersecurity-skills-zh

零知识证明(ZKP)允许证明者在不泄露秘密本身的情况下证明对某个秘密(如密码或私钥)的了解。本技能实现 Schnorr 身份识别协议和使用离散对数问题的简化 ZKPP,使服务器永远不需要获取用户密码即可完成认证。

implementing-mtls-for-zero-trust-services

9
from killvxk/cybersecurity-skills-zh

使用 Python cryptography 库进行证书生成,使用 ssl 模块进行 TLS 验证, 配置微服务之间的双向 TLS(mTLS)身份验证。验证证书链、检查过期情况, 并审计 mTLS 部署状态。适用于实现零信任服务间身份验证的场景。

implementing-microsegmentation-with-guardicore

9
from killvxk/cybersecurity-skills-zh

使用 Akamai Guardicore Segmentation 实施微分段,映射应用程序依赖关系,创建细粒度网络策略, 可视化东西向流量,并在数据中心和云环境中的工作负载之间强制执行最小权限通信。