configuring-microsegmentation-for-zero-trust
为零信任架构配置微隔离(Microsegmentation),在应用层对工作负载之间实施最小权限访问,防止横向移动,替代传统 VLAN 分段方式。
Best use case
configuring-microsegmentation-for-zero-trust is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
为零信任架构配置微隔离(Microsegmentation),在应用层对工作负载之间实施最小权限访问,防止横向移动,替代传统 VLAN 分段方式。
Teams using configuring-microsegmentation-for-zero-trust should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/configuring-microsegmentation-for-zero-trust/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How configuring-microsegmentation-for-zero-trust Compares
| Feature / Agent | configuring-microsegmentation-for-zero-trust | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
为零信任架构配置微隔离(Microsegmentation),在应用层对工作负载之间实施最小权限访问,防止横向移动,替代传统 VLAN 分段方式。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 为零信任配置微隔离 --- domain: cybersecurity subdomain: zero-trust-architecture author: mahipal tags: [zero-trust, microsegmentation, network-access, lateral-movement, network-security] difficulty: advanced estimated_time: 4-6 hours prerequisites: - 理解零信任原则(NIST SP 800-207) - 了解网络分段概念 - 熟悉防火墙和 SDN 技术 - 具备 VMware NSX、Illumio、Guardicore 或 Cisco ACI 使用经验 --- ## 概述 微隔离(Microsegmentation)将网络划分为细粒度安全区域,在应用层对工作负载之间执行最小权限访问,而非依赖传统的基于 VLAN 的分段方式。在零信任架构中,微隔离消除了同一网段内工作负载之间的隐式信任,即使攻击者获得初始访问权限后也能阻止横向移动。 本技能涵盖使用工作负载身份设计微隔离策略、实施基于主机和基于网络的执行,以及使用 Illumio Core 和 VMware NSX 等工具验证分段有效性。 ## 架构 ### 微隔离模型 1. **基于网络(VMware NSX、Cisco ACI)**:在 hypervisor 或网络结构层面执行的分布式防火墙规则 2. **基于主机(Illumio、Guardicore)**:使用 iptables/WFP 规则在操作系统层面基于 Agent 执行 3. **基于容器(Calico、Cilium)**:在 Kubernetes 的 Pod/容器层面执行网络策略 4. **基于应用(Zscaler Workload Segmentation)**:基于软件身份而非 IP 地址的身份分段 ### 执行点 ``` 传统分段 微隔离 ┌─────────────────┐ ┌──────────────────────┐ │ VLAN 10 │ │ 工作负载 A ←策略→ │ │ ┌───┐ ┌───┐ │ │ 工作负载 B ←策略→ │ │ │ A │ │ B │ │ │ 工作负载 C ←策略→ │ │ └───┘ └───┘ │ │ 工作负载 D ←策略→ │ │ (互信) │ │ (每对之间零信任) │ └─────────────────┘ └──────────────────────┘ ``` ## 关键概念 ### 应用依赖映射 在创建分段策略之前,使用流量遥测发现工作负载之间的实际通信流。Illumio、Guardicore 和 AppDynamics 等工具提供应用依赖映射,显示哪些工作负载在哪些端口上进行通信以及通信频率。 ### 策略建模 在执行前以监控/可见性模式起草策略。这允许验证建议的规则不会中断合法流量,同时识别不必要或有风险的通信路径。 ### 基于标签的策略 现代微隔离使用标签(角色、应用、环境、位置)而非基于 IP 的规则。基于标签的策略在不同环境之间可移植,并在迁移期间 IP 变更时仍然有效。 ### 环形隔离(Ring-Fencing) 对关键应用(PCI 持卡人数据环境、SWIFT 金融系统、医疗 PHI)使用严格的允许列表策略进行隔离,拒绝所有未明确允许的流量。 ## 流程 ### 阶段 1:发现与映射 1. **部署可见性 Agent** - 在所有工作负载(服务器、虚拟机、容器)上安装轻量级 Agent - 配置 Agent 向管理控制台报告实时流量遥测 - 允许 2-4 周的流量收集以构建全面的流量图 2. **构建应用依赖映射** - 在管理控制台中审查自动发现的通信流 - 识别应用层次:Web 服务器、应用服务器、数据库、中间件 - 映射合法通信路径并标记意外连接 - 为合规范围记录数据流(PCI、HIPAA) 3. **分配标签** - 创建标签分类体系:角色(Web、App、DB)、应用(ERP、CRM)、环境(生产、开发、预发布)、位置(dc1、aws-east) - 通过管理控制台或 API 为所有工作负载应用标签 - 根据 CMDB 和应用负责人输入验证标签准确性 ### 阶段 2:策略设计 4. **定义分段区域** - 环境隔离:生产环境无法与开发环境通信 - 层次隔离:数据库层只接受来自应用层的连接 - 应用环形隔离:PCI 应用与非 PCI 工作负载隔离 - 管理访问:跳板服务器是唯一的管理路径 5. **创建允许列表策略** - 为每个应用定义所需通信的明确允许规则 - 尽可能使用基于标签的规则而非基于 IP 的规则 - 在支持的情况下包含进程级别限制(例如,只允许 httpd 使用 443 端口) - 对所有未列出的通信设置默认拒绝 6. **在测试模式下建模策略** - 在可见性/测试模式下启用策略(不执行) - 监控可能被阻断的合法流量 - 根据 1-2 周的测试结果优化策略 - 执行前获取应用负责人的确认 ### 阶段 3:执行 7. **增量执行** - 从最隔离、风险最低的应用开始 - 将策略从测试模式切换到执行模式 - 在最初 24-48 小时内监控应用问题 - 验证后继续处理下一个应用 8. **验证分段** - 运行渗透测试,尝试在段之间横向移动 - 验证被阻断的流量在管理控制台中生成告警 - 测试紧急覆盖程序(Break-glass) - 记录每个应用区域的执行状态 ### 阶段 4:运营维护 9. **持续策略管理** - 与 CI/CD 集成:从部署管道自动标记新工作负载 - 每周审查策略违规并调查异常 - 应用变更或新服务部署时更新策略 - 每季度进行分段有效性审查 ## 验证检查清单 - [ ] Agent 已部署在所有范围内的工作负载上 - [ ] 应用依赖映射已由应用负责人审查并批准 - [ ] 标签已分配并根据 CMDB 验证 - [ ] 策略已在测试模式下建模,2 周以上无误报 - [ ] 策略已在监控下增量执行 - [ ] 所有分段区域已激活默认拒绝 - [ ] 横向移动测试确认阻断了未授权流量 - [ ] 策略违规告警已配置 - [ ] Break-glass 程序已记录并测试 - [ ] 受监管环境已获合规审计师确认 ## 参考资料 - NIST SP 800-207:零信任架构 - CISA 零信任成熟度模型 v2.0 — 网络支柱 - Illumio Core 管理指南 - VMware NSX 分布式防火墙配置指南 - Forrester 零信任扩展(ZTX)框架
Related Skills
performing-active-directory-forest-trust-attack
使用 impacket 枚举和审计 Active Directory 林信任关系,进行 SID 过滤分析、信任密钥提取、跨林 SID 历史滥用检测和跨域 Kerberos 票据评估。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-zero-trust-with-beyondcorp
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
implementing-zero-trust-in-cloud
本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。
implementing-zero-trust-for-saas-applications
使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。
implementing-zero-trust-dns-with-nextdns
将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。
implementing-zero-standing-privilege-with-cyberark
部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。
implementing-zero-knowledge-proof-for-authentication
零知识证明(ZKP)允许证明者在不泄露秘密本身的情况下证明对某个秘密(如密码或私钥)的了解。本技能实现 Schnorr 身份识别协议和使用离散对数问题的简化 ZKPP,使服务器永远不需要获取用户密码即可完成认证。
implementing-mtls-for-zero-trust-services
使用 Python cryptography 库进行证书生成,使用 ssl 模块进行 TLS 验证, 配置微服务之间的双向 TLS(mTLS)身份验证。验证证书链、检查过期情况, 并审计 mTLS 部署状态。适用于实现零信任服务间身份验证的场景。
implementing-microsegmentation-with-guardicore
使用 Akamai Guardicore Segmentation 实施微分段,映射应用程序依赖关系,创建细粒度网络策略, 可视化东西向流量,并在数据中心和云环境中的工作负载之间强制执行最小权限通信。