configuring-zscaler-private-access-for-ztna
配置 Zscaler Private Access(ZPA),通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成,以零信任网络访问取代传统 VPN。
Best use case
configuring-zscaler-private-access-for-ztna is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
配置 Zscaler Private Access(ZPA),通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成,以零信任网络访问取代传统 VPN。
Teams using configuring-zscaler-private-access-for-ztna should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/configuring-zscaler-private-access-for-ztna/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How configuring-zscaler-private-access-for-ztna Compares
| Feature / Agent | configuring-zscaler-private-access-for-ztna | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
配置 Zscaler Private Access(ZPA),通过部署 App Connector、定义应用程序段、 基于用户身份和设备态势配置访问策略以及与 IdP 集成,以零信任网络访问取代传统 VPN。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 为 ZTNA 配置 Zscaler Private Access
## 适用场景
- 以应用程序级零信任访问取代传统 VPN 集中器时
- 为远程用户提供对内部应用程序的安全访问,而无需网络级连接时
- 实施最小权限访问,用户只能看到已授权应用程序时
- 需要使内部应用程序对未经授权的用户和互联网不可见时
- 使用 Zscaler Internet Access(ZIA)将 ZTNA 与现有 SASE 架构集成时
**不适用于**需要原始 UDP 访问的应用程序(ZPA 主要支持 TCP),提供等同于站点到站点 VPN 的完整网络级访问(改用 ZPA AppProtection 或分支连接器),或组织需要纯本地访问控制而无云依赖的场景。
## 前置条件
- Zscaler Private Access 订阅(Business 或 Transformation 版本)
- 已配置身份提供商:Okta、Microsoft Entra ID、Ping Identity 或 SAML 2.0 IdP
- App Connector 虚拟机要求:Linux 虚拟机(CentOS 7/8、RHEL 7/8、Ubuntu 18.04+、Amazon Linux 2),最少 2 vCPU、4GB RAM
- 从 App Connector 到 ZPA 云的 443 端口出站连接(无需入站端口)
- 从 App Connector 到内部应用程序 FQDN 的 DNS 解析
- 在用户端点上部署的 Zscaler Client Connector
## 工作流程
### 步骤 1:在应用程序网络中部署 App Connector
App Connector 建立到 ZPA 云的仅出站隧道,提供对内部应用程序的访问。
```bash
# 在 Linux 虚拟机上下载并安装 App Connector
# 从 ZPA 管理门户 > 管理 > App Connector 获取配置密钥
# 适用于 RHEL/CentOS
sudo yum install -y https://yum.private.zscaler.com/yum/el7/zpa-connector-latest.rpm
# 适用于 Ubuntu/Debian
curl -sS https://dist.private.zscaler.com/apt/pubkey.gpg | sudo apt-key add -
echo "deb https://dist.private.zscaler.com/apt stable main" | sudo tee /etc/apt/sources.list.d/zpa.list
sudo apt update && sudo apt install -y zpa-connector
# 使用配置密钥配置连接器
sudo /opt/zscaler/bin/zpa-connector configure \
--provision-key "从门户获取的配置密钥"
# 启动连接器服务
sudo systemctl enable zpa-connector
sudo systemctl start zpa-connector
# 验证连接器状态
sudo systemctl status zpa-connector
sudo /opt/zscaler/bin/zpa-connector status
```
### 步骤 2:定义服务器组和应用程序段
将内部应用程序映射到服务器组并创建应用程序段。
```text
ZPA 管理门户配置:
1. 服务器组:
导航至:管理 > App Connector > 服务器组
- 名称:"DC-East-Servers"
- App Connector 组:"DC-East-Connectors"
- 服务器:
- hr-portal.internal.corp(10.1.1.50,TCP 443)
- finance-app.internal.corp(10.1.1.51,TCP 443)
- git.internal.corp(10.1.2.10,TCP 22、443)
2. 应用程序段:
导航至:资源 > 应用程序段 > 添加应用程序段
- 名称:"HR 应用"
- 域名/URL:hr-portal.internal.corp
- TCP 端口:443
- 服务器组:DC-East-Servers
- 健康报告:连续
- 绕过类型:从不(强制所有流量通过 ZPA)
```
### 步骤 3:配置访问策略
根据身份和设备态势定义谁可以访问哪些应用程序段。
```text
ZPA 管理门户 > 策略 > 访问策略:
规则 1:HR 团队访问
- 名称:"HR 门户访问"
- 操作:ALLOW
- 条件:
- 用户组:"HR-Department"(来自 IdP)
- 应用程序段:"HR 应用"
- 设备态势配置文件:"企业托管设备"
- 客户端类型:Zscaler Client Connector
- 条件:
- SAML 属性:department = "Human Resources"
- 设备信任级别:"HIGH"(CrowdStrike ZTA 评分 > 70)
规则 4:默认拒绝
- 名称:"阻止所有其他访问"
- 操作:DENY
- 条件:所有用户,所有应用程序
- 日志:已启用
```
### 步骤 4:配置设备态势配置文件
集成来自端点安全工具的设备态势信号。
```text
ZPA 管理门户 > 管理 > 设备态势:
配置文件 1:企业托管设备
- CrowdStrike Falcon:运行中,ZTA 评分 >= 60
- 操作系统:Windows 10 21H2+、macOS 13+、Ubuntu 22.04+
- 磁盘加密:已启用(BitLocker/FileVault)
- 防火墙:已启用
- 屏幕锁:已启用
配置文件 2:开发者工作站
- 继承:企业托管设备
- CrowdStrike Falcon:ZTA 评分 >= 70
- 补丁级别:最新版本 30 天以内
- 证书:有效的企业证书
```
### 步骤 5:为无客户端 ZTNA 启用浏览器访问
为未安装 Zscaler Client Connector 的用户配置浏览器访问。
```text
ZPA 管理门户 > 资源 > 应用程序段:
对于"HR 应用"段:
- 启用浏览器访问:是
- 浏览器访问类型:HTTPS
- 自定义域名:hr.access.company.com
- 证书:上传自定义域名的 TLS 证书
- 认证:通过企业 IdP 的 SAML
- 会话超时:4 小时
- 剪贴板控制:敏感应用禁用
- 文件上传/下载:受限
```
### 步骤 6:配置日志和监控
设置 SIEM 集成和持续监控的日志流。
```text
ZPA 管理门户 > 管理 > 日志流服务:
日志接收器配置:
- 名称:"Splunk-SIEM"
- 类型:Splunk(HEC)
- 目标:https://splunk-hec.company.com:8088
- 日志类型:用户活动、App Connector 状态、审计日志、浏览器访问
# Splunk ZPA 访问异常搜索
index=zscaler_zpa sourcetype=zpa:useractivity
| where action="denied"
| stats count by user, application, policy_name
| where count > 10
| sort -count
```
## 核心概念
| 术语 | 定义 |
|------|------|
| App Connector | 轻量级 Linux 服务,从内部网络到 ZPA 云创建仅出站加密隧道,无需入站端口即可提供对应用程序的访问 |
| 应用程序段(Application Segment)| 由 FQDN/IP 和端口定义的内部应用程序逻辑分组,映射到服务器组以强制执行访问策略 |
| 服务器组(Server Group)| 与 App Connector 组关联的应用服务器集合,可响应应用程序段的请求 |
| 访问策略(Access Policy)| 定义哪些用户/组在什么条件下(设备态势、时间、位置)可以访问哪些应用程序段的规则 |
| Zscaler Client Connector | 安装在用户设备上的端点代理,将流量路由到 ZPA 云以进行策略执行和应用访问 |
| 浏览器访问(Browser Access)| 允许通过 Web 浏览器访问应用程序的无客户端 ZTNA 选项,无需安装 Zscaler Client Connector |
## 工具与系统
- **Zscaler Private Access(ZPA)**:云原生 ZTNA 平台,以基于身份的应用访问取代 VPN
- **Zscaler Client Connector**:跨平台端点代理,通过 ZPA 路由流量以执行策略
- **ZPA App Connector**:部署在应用程序网络中的仅出站隧道端点
- **ZPA Admin Portal**:策略、段和连接器配置的基于 Web 的管理控制台
- **ZPA 日志流服务(LSS)**:实时日志导出到 SIEM 平台(Splunk、Sentinel、QRadar)
- **CrowdStrike ZTA 集成**:用于条件访问策略执行的设备态势评分
## 输出格式
```
ZPA ZTNA 部署报告
==================================================
组织:FinanceCorp
部署日期:2026-02-23
基础设施:
App Connector:4 个(2x DC-East,2x DC-West)
连接器状态:全部正常
连接器版本:24.1.2
应用覆盖范围:
应用程序段:20
总应用数:45
服务器组:4
段组:6
访问策略:
总规则数:12
允许规则:11
拒绝规则:1(默认拒绝)
设备态势配置文件:3
用户访问(过去 30 天):
活跃用户:487 / 500
总会话数:124,567
允许会话:123,890(99.5%)
拒绝会话:677(0.5%)
浏览器访问会话:2,341
VPN 迁移:
已迁移到 ZPA 的用户:487 / 500
VPN 下线日期:2026-03-15
```Related Skills
testing-for-broken-access-control
系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。
securing-remote-access-to-ot-environment
本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。
performing-privileged-account-access-review
对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。
performing-initial-access-with-evilginx3
在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。
performing-credential-access-with-lazagne
在授权红队行动中,使用 LaZagne 后渗透工具从已控制的终端提取存储的凭据,从浏览器、数据库、系统密钥库和应用程序中恢复密码。
performing-access-review-and-certification
开展系统性的访问审查和认证,确保用户拥有与其角色相符的访问权限。涵盖审查活动设计、审查员选择、基于风险的优先级排序、微认证策略,以及满足 SOX、HIPAA 和 PCI DSS 要求的整改跟踪。
performing-access-recertification-with-saviynt
在 Saviynt Enterprise Identity Cloud 中配置和执行访问重认证活动,以验证用户权限、撤销多余的访问权限,并维持对 SOX、SOC2 和 HIPAA 的合规性。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
implementing-privileged-access-workstation
设计并实施特权访问工作站(PAW,Privileged Access Workstation),包括设备加固、即时访问(JIT)以及与 CyberArk 或 BeyondTrust 的集成,以保障安全的管理操作。
implementing-privileged-access-management-with-cyberark
部署 CyberArk 特权访问管理,对企业基础设施中的特权凭据进行发现、保管、轮换和监控。涵盖保险库架构、会话隔离、凭据轮换策略,以及与 NIST 800-53 访问控制要求的集成。
implementing-pam-for-database-access
为数据库系统(包括 Oracle、SQL Server、PostgreSQL 和 MySQL)部署特权访问管理。涵盖会话代理配置、凭据保管、查询审计、动态凭据生成和最小权限数据库角色。