configuring-zscaler-private-access-for-ztna

配置 Zscaler Private Access(ZPA),通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成,以零信任网络访问取代传统 VPN。

9 stars

Best use case

configuring-zscaler-private-access-for-ztna is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

配置 Zscaler Private Access(ZPA),通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成,以零信任网络访问取代传统 VPN。

Teams using configuring-zscaler-private-access-for-ztna should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/configuring-zscaler-private-access-for-ztna/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/configuring-zscaler-private-access-for-ztna/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/configuring-zscaler-private-access-for-ztna/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How configuring-zscaler-private-access-for-ztna Compares

Feature / Agentconfiguring-zscaler-private-access-for-ztnaStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

配置 Zscaler Private Access(ZPA),通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成,以零信任网络访问取代传统 VPN。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 为 ZTNA 配置 Zscaler Private Access

## 适用场景

- 以应用程序级零信任访问取代传统 VPN 集中器时
- 为远程用户提供对内部应用程序的安全访问,而无需网络级连接时
- 实施最小权限访问,用户只能看到已授权应用程序时
- 需要使内部应用程序对未经授权的用户和互联网不可见时
- 使用 Zscaler Internet Access(ZIA)将 ZTNA 与现有 SASE 架构集成时

**不适用于**需要原始 UDP 访问的应用程序(ZPA 主要支持 TCP),提供等同于站点到站点 VPN 的完整网络级访问(改用 ZPA AppProtection 或分支连接器),或组织需要纯本地访问控制而无云依赖的场景。

## 前置条件

- Zscaler Private Access 订阅(Business 或 Transformation 版本)
- 已配置身份提供商:Okta、Microsoft Entra ID、Ping Identity 或 SAML 2.0 IdP
- App Connector 虚拟机要求:Linux 虚拟机(CentOS 7/8、RHEL 7/8、Ubuntu 18.04+、Amazon Linux 2),最少 2 vCPU、4GB RAM
- 从 App Connector 到 ZPA 云的 443 端口出站连接(无需入站端口)
- 从 App Connector 到内部应用程序 FQDN 的 DNS 解析
- 在用户端点上部署的 Zscaler Client Connector

## 工作流程

### 步骤 1:在应用程序网络中部署 App Connector

App Connector 建立到 ZPA 云的仅出站隧道,提供对内部应用程序的访问。

```bash
# 在 Linux 虚拟机上下载并安装 App Connector
# 从 ZPA 管理门户 > 管理 > App Connector 获取配置密钥

# 适用于 RHEL/CentOS
sudo yum install -y https://yum.private.zscaler.com/yum/el7/zpa-connector-latest.rpm

# 适用于 Ubuntu/Debian
curl -sS https://dist.private.zscaler.com/apt/pubkey.gpg | sudo apt-key add -
echo "deb https://dist.private.zscaler.com/apt stable main" | sudo tee /etc/apt/sources.list.d/zpa.list
sudo apt update && sudo apt install -y zpa-connector

# 使用配置密钥配置连接器
sudo /opt/zscaler/bin/zpa-connector configure \
  --provision-key "从门户获取的配置密钥"

# 启动连接器服务
sudo systemctl enable zpa-connector
sudo systemctl start zpa-connector

# 验证连接器状态
sudo systemctl status zpa-connector
sudo /opt/zscaler/bin/zpa-connector status
```

### 步骤 2:定义服务器组和应用程序段

将内部应用程序映射到服务器组并创建应用程序段。

```text
ZPA 管理门户配置:

1. 服务器组:
   导航至:管理 > App Connector > 服务器组
   - 名称:"DC-East-Servers"
   - App Connector 组:"DC-East-Connectors"
   - 服务器:
     - hr-portal.internal.corp(10.1.1.50,TCP 443)
     - finance-app.internal.corp(10.1.1.51,TCP 443)
     - git.internal.corp(10.1.2.10,TCP 22、443)

2. 应用程序段:
   导航至:资源 > 应用程序段 > 添加应用程序段
   - 名称:"HR 应用"
   - 域名/URL:hr-portal.internal.corp
   - TCP 端口:443
   - 服务器组:DC-East-Servers
   - 健康报告:连续
   - 绕过类型:从不(强制所有流量通过 ZPA)
```

### 步骤 3:配置访问策略

根据身份和设备态势定义谁可以访问哪些应用程序段。

```text
ZPA 管理门户 > 策略 > 访问策略:

规则 1:HR 团队访问
  - 名称:"HR 门户访问"
  - 操作:ALLOW
  - 条件:
    - 用户组:"HR-Department"(来自 IdP)
    - 应用程序段:"HR 应用"
    - 设备态势配置文件:"企业托管设备"
    - 客户端类型:Zscaler Client Connector
  - 条件:
    - SAML 属性:department = "Human Resources"
    - 设备信任级别:"HIGH"(CrowdStrike ZTA 评分 > 70)

规则 4:默认拒绝
  - 名称:"阻止所有其他访问"
  - 操作:DENY
  - 条件:所有用户,所有应用程序
  - 日志:已启用
```

### 步骤 4:配置设备态势配置文件

集成来自端点安全工具的设备态势信号。

```text
ZPA 管理门户 > 管理 > 设备态势:

配置文件 1:企业托管设备
  - CrowdStrike Falcon:运行中,ZTA 评分 >= 60
  - 操作系统:Windows 10 21H2+、macOS 13+、Ubuntu 22.04+
  - 磁盘加密:已启用(BitLocker/FileVault)
  - 防火墙:已启用
  - 屏幕锁:已启用

配置文件 2:开发者工作站
  - 继承:企业托管设备
  - CrowdStrike Falcon:ZTA 评分 >= 70
  - 补丁级别:最新版本 30 天以内
  - 证书:有效的企业证书
```

### 步骤 5:为无客户端 ZTNA 启用浏览器访问

为未安装 Zscaler Client Connector 的用户配置浏览器访问。

```text
ZPA 管理门户 > 资源 > 应用程序段:

对于"HR 应用"段:
  - 启用浏览器访问:是
  - 浏览器访问类型:HTTPS
  - 自定义域名:hr.access.company.com
  - 证书:上传自定义域名的 TLS 证书
  - 认证:通过企业 IdP 的 SAML
  - 会话超时:4 小时
  - 剪贴板控制:敏感应用禁用
  - 文件上传/下载:受限
```

### 步骤 6:配置日志和监控

设置 SIEM 集成和持续监控的日志流。

```text
ZPA 管理门户 > 管理 > 日志流服务:

日志接收器配置:
  - 名称:"Splunk-SIEM"
  - 类型:Splunk(HEC)
  - 目标:https://splunk-hec.company.com:8088
  - 日志类型:用户活动、App Connector 状态、审计日志、浏览器访问

# Splunk ZPA 访问异常搜索
index=zscaler_zpa sourcetype=zpa:useractivity
| where action="denied"
| stats count by user, application, policy_name
| where count > 10
| sort -count
```

## 核心概念

| 术语 | 定义 |
|------|------|
| App Connector | 轻量级 Linux 服务,从内部网络到 ZPA 云创建仅出站加密隧道,无需入站端口即可提供对应用程序的访问 |
| 应用程序段(Application Segment)| 由 FQDN/IP 和端口定义的内部应用程序逻辑分组,映射到服务器组以强制执行访问策略 |
| 服务器组(Server Group)| 与 App Connector 组关联的应用服务器集合,可响应应用程序段的请求 |
| 访问策略(Access Policy)| 定义哪些用户/组在什么条件下(设备态势、时间、位置)可以访问哪些应用程序段的规则 |
| Zscaler Client Connector | 安装在用户设备上的端点代理,将流量路由到 ZPA 云以进行策略执行和应用访问 |
| 浏览器访问(Browser Access)| 允许通过 Web 浏览器访问应用程序的无客户端 ZTNA 选项,无需安装 Zscaler Client Connector |

## 工具与系统

- **Zscaler Private Access(ZPA)**:云原生 ZTNA 平台,以基于身份的应用访问取代 VPN
- **Zscaler Client Connector**:跨平台端点代理,通过 ZPA 路由流量以执行策略
- **ZPA App Connector**:部署在应用程序网络中的仅出站隧道端点
- **ZPA Admin Portal**:策略、段和连接器配置的基于 Web 的管理控制台
- **ZPA 日志流服务(LSS)**:实时日志导出到 SIEM 平台(Splunk、Sentinel、QRadar)
- **CrowdStrike ZTA 集成**:用于条件访问策略执行的设备态势评分

## 输出格式

```
ZPA ZTNA 部署报告
==================================================
组织:FinanceCorp
部署日期:2026-02-23

基础设施:
  App Connector:4 个(2x DC-East,2x DC-West)
  连接器状态:全部正常
  连接器版本:24.1.2

应用覆盖范围:
  应用程序段:20
  总应用数:45
  服务器组:4
  段组:6

访问策略:
  总规则数:12
  允许规则:11
  拒绝规则:1(默认拒绝)
  设备态势配置文件:3

用户访问(过去 30 天):
  活跃用户:487 / 500
  总会话数:124,567
  允许会话:123,890(99.5%)
  拒绝会话:677(0.5%)
  浏览器访问会话:2,341

VPN 迁移:
  已迁移到 ZPA 的用户:487 / 500
  VPN 下线日期:2026-03-15
```

Related Skills

testing-for-broken-access-control

9
from killvxk/cybersecurity-skills-zh

系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。

securing-remote-access-to-ot-environment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。

performing-privileged-account-access-review

9
from killvxk/cybersecurity-skills-zh

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

performing-initial-access-with-evilginx3

9
from killvxk/cybersecurity-skills-zh

在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。

performing-credential-access-with-lazagne

9
from killvxk/cybersecurity-skills-zh

在授权红队行动中,使用 LaZagne 后渗透工具从已控制的终端提取存储的凭据,从浏览器、数据库、系统密钥库和应用程序中恢复密码。

performing-access-review-and-certification

9
from killvxk/cybersecurity-skills-zh

开展系统性的访问审查和认证,确保用户拥有与其角色相符的访问权限。涵盖审查活动设计、审查员选择、基于风险的优先级排序、微认证策略,以及满足 SOX、HIPAA 和 PCI DSS 要求的整改跟踪。

performing-access-recertification-with-saviynt

9
from killvxk/cybersecurity-skills-zh

在 Saviynt Enterprise Identity Cloud 中配置和执行访问重认证活动,以验证用户权限、撤销多余的访问权限,并维持对 SOX、SOC2 和 HIPAA 的合规性。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构

implementing-privileged-access-workstation

9
from killvxk/cybersecurity-skills-zh

设计并实施特权访问工作站(PAW,Privileged Access Workstation),包括设备加固、即时访问(JIT)以及与 CyberArk 或 BeyondTrust 的集成,以保障安全的管理操作。

implementing-privileged-access-management-with-cyberark

9
from killvxk/cybersecurity-skills-zh

部署 CyberArk 特权访问管理,对企业基础设施中的特权凭据进行发现、保管、轮换和监控。涵盖保险库架构、会话隔离、凭据轮换策略,以及与 NIST 800-53 访问控制要求的集成。

implementing-pam-for-database-access

9
from killvxk/cybersecurity-skills-zh

为数据库系统(包括 Oracle、SQL Server、PostgreSQL 和 MySQL)部署特权访问管理。涵盖会话代理配置、凭据保管、查询审计、动态凭据生成和最小权限数据库角色。