deploying-palo-alto-prisma-access-zero-trust

部署 Palo Alto Networks Prisma Access,通过 GlobalProtect Agent、ZTNA Connector、 安全策略执行以及与 Strata Cloud Manager 集成,实现基于 SASE 的零信任网络访问统一安全管理。

9 stars

Best use case

deploying-palo-alto-prisma-access-zero-trust is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

部署 Palo Alto Networks Prisma Access,通过 GlobalProtect Agent、ZTNA Connector、 安全策略执行以及与 Strata Cloud Manager 集成,实现基于 SASE 的零信任网络访问统一安全管理。

Teams using deploying-palo-alto-prisma-access-zero-trust should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/deploying-palo-alto-prisma-access-zero-trust/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/deploying-palo-alto-prisma-access-zero-trust/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/deploying-palo-alto-prisma-access-zero-trust/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How deploying-palo-alto-prisma-access-zero-trust Compares

Feature / Agentdeploying-palo-alto-prisma-access-zero-trustStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

部署 Palo Alto Networks Prisma Access,通过 GlobalProtect Agent、ZTNA Connector、 安全策略执行以及与 Strata Cloud Manager 集成,实现基于 SASE 的零信任网络访问统一安全管理。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 部署 Palo Alto Prisma Access 零信任

## 适用场景

- 实施集成 ZTNA、SWG、CASB 和 FWaaS 的企业级 SASE 时
- 以云交付安全取代 VPN 和分支机构防火墙时
- 需要对远程访问流量进行高级威胁防护(WildFire、DNS Security)时
- 为移动用户和远程网络(分支机构)连接部署零信任时
- 通过 Strata Cloud Manager 将 ZTNA 与现有 Palo Alto NGFW 基础设施集成时

**不适用于**小型组织(用户数 < 200)(更简单的 ZTNA 解决方案即可满足需求)、仅需要 Web 应用访问而不需要完整网络安全的环境,或预算限制无法承担企业 SASE 许可证的场景。

## 前置条件

- Prisma Access 许可证(Business Premium 或同等版本)
- 已配置 Strata Cloud Manager(SCM)租户
- 用于端点部署的 GlobalProtect Agent
- ZTNA Connector 虚拟机:4 vCPU、8GB RAM、128GB 磁盘(VMware、AWS、Azure 或 GCP)
- 身份提供商:Okta、Entra ID、Ping Identity(SAML 2.0)
- 用于日志存储的 Palo Alto Cortex Data Lake

## 工作流程

### 步骤 1:在 Strata Cloud Manager 中配置 Prisma Access 基础设施

为移动用户和远程网络连接设置云基础设施。

```text
Strata Cloud Manager > Prisma Access > 基础设施设置:

移动用户配置:
  - 服务连接:根据用户位置自动选择
  - DNS 服务器:10.1.1.10、10.1.1.11(企业 DNS)
  - 移动用户 IP 池:10.100.0.0/16
  - 认证:SAML + Okta(主)、Entra ID(备)
  - GlobalProtect 门户:portal.company.com
  - GlobalProtect 网关:自动(最近的 Prisma Access 位置)

基础设施子网:
  - 范围:172.16.0.0/16
  - 分配:每个 Prisma Access 位置 /24
```

### 步骤 2:部署 ZTNA Connector 实现私有应用访问

安装 ZTNA Connector 为内部应用程序提供安全访问。

```bash
# 在 VMware(OVA)上部署 ZTNA Connector
# 从 Strata Cloud Manager > Prisma Access > ZTNA Connectors 下载 OVA

# 通过 CloudFormation 部署到 AWS
aws cloudformation create-stack \
  --stack-name prisma-ztna-connector \
  --template-url https://prisma-access-connector-templates.s3.amazonaws.com/ztna-connector-aws.yaml \
  --parameters \
    ParameterKey=VpcId,ParameterValue=vpc-PROD \
    ParameterKey=SubnetId,ParameterValue=subnet-PRIVATE \
    ParameterKey=InstanceType,ParameterValue=m5.xlarge \
    ParameterKey=TenantServiceGroup,ParameterValue=TSG_ID \
    ParameterKey=ConnectorName,ParameterValue=dc-east-connector-01

# 验证连接器注册
# Strata Cloud Manager > Prisma Access > ZTNA Connectors
# 状态应显示 "Connected" 并标注最近的 Prisma Access 位置

# 部署第二个连接器实现高可用
# ZTNA Connector 自动发现最近的 Prisma Access 位置
# IPSec 隧道使用:ecp384/aes256/sha512(IKE 和 ESP)
# 带宽:每个连接器最高 2 Gbps
```

### 步骤 3:定义应用程序定义和访问策略

创建应用程序定义,通过 ZTNA Connector 指向内部应用。

```text
Strata Cloud Manager > Prisma Access > 应用程序:

应用 1:内部 Wiki
  - FQDN:wiki.internal.corp
  - 端口:TCP 443
  - ZTNA Connector:dc-east-connector-01
  - 协议:HTTPS
  - 健康检查:已启用(HTTP GET /health)

应用 2:源代码仓库
  - FQDN:git.internal.corp
  - 端口:TCP 22、443
  - ZTNA Connector:dc-east-connector-01、dc-east-connector-02
  - 协议:HTTPS、SSH

应用 3:Finance ERP
  - FQDN:erp.internal.corp
  - 端口:TCP 443
  - ZTNA Connector:dc-east-connector-01
  - 协议:HTTPS
  - 用户认证:必须(每 2 小时重新认证)

Strata Cloud Manager > 策略 > 安全策略:

规则 1:工程团队访问开发工具
  来源:用户组 "Engineering"(来自 Okta SAML)
  目标:应用 "源代码仓库"、"内部 Wiki"
  HIP 配置文件:"搭载 CrowdStrike 的托管设备"
  操作:允许
  日志:已启用
  威胁防护:最佳实践配置文件

规则 2:Finance 团队访问 ERP
  来源:用户组 "Finance"
  目标:应用 "Finance ERP"
  HIP 配置文件:"合规设备 - 高安全"
  操作:允许
  SSL 解密:正向代理
  DLP 配置文件:"财务数据保护"

规则 3:默认拒绝私有应用
  来源:任意
  目标:任意私有应用
  操作:拒绝
  日志:已启用
```

### 步骤 4:配置主机信息配置文件(HIP)进行设备态势检查

使用 HIP 检查定义设备态势要求。

```text
Strata Cloud Manager > 对象 > GlobalProtect > HIP 对象:

HIP 对象:"CrowdStrike 运行中"
  - 供应商:CrowdStrike
  - 产品:Falcon Sensor
  - 正在运行:是
  - 最低版本:7.10

HIP 对象:"磁盘加密已启用"
  - Windows:BitLocker = 已加密
  - macOS:FileVault = 已加密

HIP 对象:"操作系统补丁级别"
  - Windows:>= 10.0.22631
  - macOS:>= 14.0

HIP 配置文件:"搭载 CrowdStrike 的托管设备"
  - 匹配:"CrowdStrike 运行中" 且 "磁盘加密已启用"

HIP 配置文件:"合规设备 - 高安全"
  - 匹配:"CrowdStrike 运行中" 且 "磁盘加密已启用" 且 "操作系统补丁级别"
```

### 步骤 5:向端点部署 GlobalProtect Agent

推出 GlobalProtect Agent 实现安全连接。

```bash
# 通过 Intune 部署 GlobalProtect(Windows)
# MSI 从 Strata Cloud Manager > GlobalProtect > Agent Downloads 下载

# GlobalProtect 预部署配置
# 用于自动门户连接的 pre-deploy.xml:
cat > pre-deploy.xml << 'EOF'
<GlobalProtect>
  <Settings>
    <portal>portal.company.com</portal>
    <connect-method>pre-logon</connect-method>
    <authentication-override>
      <generate-cookie>yes</generate-cookie>
      <cookie-lifetime>24</cookie-lifetime>
    </authentication-override>
  </Settings>
</GlobalProtect>
EOF

# 验证 GlobalProtect 连接状态
# GlobalProtect 系统托盘 > 设置 > 连接详情
# 应显示:已连接到最近的 Prisma Access 网关
# IPSec 隧道已建立并启用完整威胁防护
```

### 步骤 6:配置日志和监控

设置 Cortex Data Lake 集成和监控仪表板。

```text
Strata Cloud Manager > Prisma Access > 监控:

日志转发:
  - Cortex Data Lake:已启用(所有日志类型)
  - SIEM 转发:Splunk HEC(https://splunk-hec.company.com:8088)
  - 日志类型:流量、威胁、URL、WildFire、GlobalProtect、HIP 匹配

仪表板监控:
  - 移动用户:活跃连接、位置、带宽
  - ZTNA Connector:健康状态、延迟、隧道状态
  - 安全事件:已阻断威胁、DLP 违规、HIP 失败
  - 应用使用情况:热门应用、活跃用户、拒绝访问尝试

告警:
  - ZTNA Connector 宕机:邮件 + PagerDuty
  - HIP 失败率 > 10%:邮件通知 IT
  - 移动用户检测到威胁:SOC 告警
```

## 核心概念

| 术语 | 定义 |
|------|------|
| Prisma Access | Palo Alto 的云交付 SASE 平台,从单一架构提供 FWaaS、SWG、CASB、DLP 和 ZTNA |
| ZTNA Connector | 基于虚拟机的连接器,从内部网络到 Prisma Access 建立 IPSec 隧道,用于私有应用访问 |
| GlobalProtect | 端点 Agent,提供与 Prisma Access 的安全连接,包含 HIP 检查和始终在线 VPN |
| Host Information Profile(HIP)| 授权访问前评估端点安全状态(EDR、加密、补丁)的设备态势检查 |
| Strata Cloud Manager | Prisma Access、NGFW 和 Prisma Cloud 安全策略的统一管理控制台 |
| Cortex Data Lake | 适用于 Palo Alto 安全遥测的基于云的日志存储和分析平台 |

## 工具与系统

- **Prisma Access**:集成 ZTNA、SWG、CASB、DLP、FWaaS 的云交付 SASE
- **Strata Cloud Manager(SCM)**:跨 Palo Alto 安全产品的统一策略管理
- **GlobalProtect Agent**:具有 HIP 数据采集功能的端点连接 Agent
- **ZTNA Connector**:用于内部应用访问的仅出站隧道连接器
- **Cortex Data Lake**:具有分析和威胁检测能力的集中式日志存储
- **WildFire**:集成到 Prisma Access 的基于云的恶意软件分析和防护

## 常见场景

### 场景:5000 名用户的企业 SASE 迁移

**场景背景**:一家拥有 5000 名用户、分布在 15 个办公室的制造企业,正在将 VPN、SWG 和分支防火墙整合到 Prisma Access SASE 中。用户需要访问 50 多个内部应用,并且无论在何处都需要一致的安全保障。

**方法**:
1. 在 3 个数据中心部署 ZTNA Connector(每个数据中心 2 个实现高可用)以访问内部应用
2. 配置 GlobalProtect 使用预登录连接实现始终在线安全
3. 在 SCM 中定义 50 多个包含 FQDN 和端口映射的应用程序定义
4. 创建 HIP 配置文件:标准(加密 + AV)、增强(+ CrowdStrike + 补丁)
5. 构建安全策略,将用户组映射到应用程序并附带 HIP 要求
6. 启用威胁防护配置文件(防间谍软件、防病毒、WildFire、URL 过滤)
7. 通过 SCCM 分阶段向所有 5000 个端点部署 GlobalProtect Agent
8. 配置 Cortex Data Lake 向 Splunk 转发日志供 SOC 监控
9. 下线 VPN 集中器和分支防火墙设备

**常见陷阱**:ZTNA Connector 至少需要 4 vCPU 和 8GB RAM,配置不足会导致延迟。GlobalProtect 预登录需要机器证书在用户登录前进行认证。HIP 检查间隔应最少为 60 秒以避免性能影响。在全面部署前需规划 4-6 周的试点周期。

## 输出格式

```
Prisma Access ZTNA 部署报告
==================================================
组织:ManufactureCorp
部署日期:2026-02-23

基础设施:
  ZTNA Connector:6(2x DC-East、2x DC-West、2x DC-EU)
  Prisma Access 位置:8(自动选择)
  GlobalProtect 门户:portal.manufacturecorp.com

应用访问:
  已定义应用:52
  活跃 ZTNA 连接:3,247
  平均延迟:12ms

端点部署:
  GlobalProtect 已部署:4,812 / 5,000(96.2%)
  HIP 合规:4,567 / 4,812(94.9%)
  HIP 失败:245(主要原因:缺失补丁 120,加密问题 85)

安全状态(过去 30 天):
  已阻断威胁:1,234
  DLP 违规:89
  URL 已拦截:45,678
  WildFire 提交:2,345
```

Related Skills

testing-for-broken-access-control

9
from killvxk/cybersecurity-skills-zh

系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。

securing-remote-access-to-ot-environment

9
from killvxk/cybersecurity-skills-zh

本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。

performing-privileged-account-access-review

9
from killvxk/cybersecurity-skills-zh

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

performing-initial-access-with-evilginx3

9
from killvxk/cybersecurity-skills-zh

在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。

performing-credential-access-with-lazagne

9
from killvxk/cybersecurity-skills-zh

在授权红队行动中,使用 LaZagne 后渗透工具从已控制的终端提取存储的凭据,从浏览器、数据库、系统密钥库和应用程序中恢复密码。

performing-access-review-and-certification

9
from killvxk/cybersecurity-skills-zh

开展系统性的访问审查和认证,确保用户拥有与其角色相符的访问权限。涵盖审查活动设计、审查员选择、基于风险的优先级排序、微认证策略,以及满足 SOX、HIPAA 和 PCI DSS 要求的整改跟踪。

performing-access-recertification-with-saviynt

9
from killvxk/cybersecurity-skills-zh

在 Saviynt Enterprise Identity Cloud 中配置和执行访问重认证活动,以验证用户权限、撤销多余的访问权限,并维持对 SOX、SOC2 和 HIPAA 的合规性。

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构

implementing-zero-trust-in-cloud

9
from killvxk/cybersecurity-skills-zh

本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。