Best use case
implementing-identity-verification-for-zero-trust is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
为零信任架构实现身份验证控制
Teams using implementing-identity-verification-for-zero-trust should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-identity-verification-for-zero-trust/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-identity-verification-for-zero-trust Compares
| Feature / Agent | implementing-identity-verification-for-zero-trust | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
为零信任架构实现身份验证控制
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 为零信任实现身份验证
---
domain: cybersecurity
subdomain: zero-trust-architecture
author: mahipal
tags: [zero-trust, identity, authentication, mfa, identity-verification]
difficulty: advanced
estimated_time: 4-6 hours
prerequisites:
- 了解零信任原则(NIST SP 800-207)
- 熟悉身份提供商(Azure AD、Okta、Ping Identity)
- 了解身份验证协议(SAML 2.0、OIDC、FIDO2)
- 了解多因素认证(MFA)和无密码身份验证
---
## 概述
身份是零信任架构(Zero Trust Architecture)的基础支柱。NIST SP 800-207 要求所有资源的身份验证和授权在允许访问之前必须动态执行且严格落实。零信任中的身份验证超越了传统的用户名/密码方式,通过结合设备状态、行为生物特征、位置和网络上下文等多维信号,实现持续的、风险自适应的身份验证。
本技能涵盖实施抗钓鱼的多因素认证(MFA)、持续身份验证、基于风险的条件访问,以及符合 CISA 零信任成熟度模型(Zero Trust Maturity Model)身份支柱的身份治理。
## 架构
### 身份验证流程
```
用户访问请求
│
v
┌───────────────────────┐
│ 主要身份验证 │
│ - FIDO2/WebAuthn 密钥 │
│ - 基于证书的身份验证 │
│ - 无密码身份验证 │
└──────────┬────────────┘
v
┌───────────────────────┐
│ 上下文评估 │
│ - 设备状态 │
│ - 网络位置 │
│ - 地理速度检查 │
│ - 访问时间 │
│ - 行为基线 │
└──────────┬────────────┘
v
┌───────────────────────┐
│ 风险评分引擎 │
│ - 聚合信号 │
│ - 计算风险评分 │
│ - 与阈值比较 │
└───┬──────────┬────────┘
│ │
低风险 高风险
│ │
v v
┌────────┐ ┌──────────────┐
│ 授予 │ │ 升级身份验证 │
│ 访问 │ │ - 硬件密钥 │
│ │ │ - 生物特征 │
│ │ │ - 管理员审批 │
└────────┘ └──────────────┘
```
### 身份提供商架构
1. **主要 IdP**:Azure AD / Okta / Ping Identity,用于集中化身份管理
2. **FIDO2 身份验证器**:硬件安全密钥(YubiKey)或平台身份验证器(Windows Hello、Touch ID)
3. **风险引擎**:使用身份威胁检测(Microsoft Entra ID Protection、Okta ThreatInsight)进行自适应访问
4. **身份治理**:生命周期管理、访问审查、即时(just-in-time)配置
5. **特权身份**:针对高权限访问的独立验证(CyberArk、BeyondTrust)
## 核心概念
### 抗钓鱼 MFA
FIDO2/WebAuthn 通过将身份验证绑定到源域,消除了可被钓鱼的凭据。硬件安全密钥和平台身份验证器提供无需传输秘密的加密身份证明。
### 持续身份验证
与在会话开始时一次性验证不同,零信任要求通过会话令牌评估、行为分析以及基于风险信号的定期重新验证挑战进行持续验证。
### 基于风险的条件访问
条件访问策略评估多维信号(用户风险等级、登录风险、设备合规性、位置),动态调整身份验证要求和访问授权。
### 身份威胁检测
AI 驱动的分析通过不可能行程检测、异常登录模式、凭据填充检测和令牌重放攻击来检测被攻陷的身份。
## 操作流程
### 阶段 1:身份基础设施
1. **整合身份提供商**
- 审计组织中所有身份源
- 使用 SAML 2.0 或 OIDC 联合到单一权威 IdP
- 配置 SCIM 以自动化配置和取消配置
- 消除本地账户和共享凭据
2. **部署抗钓鱼 MFA**
- 为所有用户注册 FIDO2/WebAuthn 硬件安全密钥
- 配置平台身份验证器(Windows Hello for Business、macOS Touch ID)
- 禁用 SMS 和语音电话作为 MFA 方式(可被钓鱼)
- 创建条件访问策略,要求所有登录使用抗钓鱼方式
3. **配置条件访问策略**
- 要求合规设备才能访问敏感应用
- 阻止旧版身份验证协议(basic auth、IMAP、POP3)
- 要求所有来自不受信任位置的用户使用 MFA
- 强制执行会话时间限制并重新验证
- 阻止或要求对高风险登录进行额外验证
### 阶段 2:基于风险的身份验证
4. **启用身份威胁检测**
- 激活 Microsoft Entra ID Protection 或 Okta ThreatInsight
- 配置风险等级:低(允许)、中(要求 MFA)、高(阻止并调查)
- 启用不可能行程检测和异常令牌告警
- 将身份风险信号与 SIEM/SOAR 集成
5. **实施升级身份验证**
- 对敏感操作(权限提升、金融交易),要求额外验证
- 配置升级策略:使用硬件密钥重新验证
- 与 PAM 集成,实现特权会话审批工作流
- 记录所有升级事件以备审计
### 阶段 3:持续验证
6. **部署持续访问评估(CAE)**
- 启用持续访问评估协议(CAEP)以实现实时令牌撤销
- 配置关键事件触发器:用户被禁用、密码更改、位置变更
- 测试安全事件发生后令牌撤销是否在几分钟内完成
- 监控 CAE 事件日志以确保运营健康
7. **实施会话控制**
- 根据应用敏感性配置会话时长限制
- 启用登录频率控制(每 N 小时重新验证)
- 实施持久浏览器会话控制
- 为非托管设备配置应用强制限制
### 阶段 4:身份治理
8. **自动化身份生命周期**
- 配置与 HR 系统集成的入职-调岗-离职工作流
- 根据角色和部门自动化访问配置
- 启用即时访问以获取临时高权限
- 为承包商和访客配置自动访问过期
9. **实施访问审查**
- 安排季度访问认证活动
- 配置自动提醒和升级
- 要求管理员审批持续访问
- 对未审查的认证自动撤销访问
## 验证清单
- [ ] 单一权威 IdP,所有应用已联合
- [ ] 所有用户已注册 FIDO2/WebAuthn
- [ ] SMS 和语音 MFA 方式已禁用
- [ ] 旧版身份验证协议已阻止
- [ ] 所有应用已强制执行条件访问策略
- [ ] 身份威胁检测已激活并配置基于风险的策略
- [ ] 持续访问评估已启用并测试
- [ ] 敏感操作已配置升级身份验证
- [ ] 身份生命周期已与 HR 集成自动化
- [ ] 季度访问审查已计划并运行
- [ ] 身份事件正在流式传输到 SIEM
## 参考资料
- NIST SP 800-207:零信任架构
- NIST SP 800-63B:数字身份指南 - 身份验证
- CISA 零信任成熟度模型 v2.0 - 身份支柱
- FIDO 联盟 WebAuthn 规范
- Microsoft Entra 条件访问文档Related Skills
performing-active-directory-forest-trust-attack
使用 impacket 枚举和审计 Active Directory 林信任关系,进行 SID 过滤分析、信任密钥提取、跨林 SID 历史滥用检测和跨域 Kerberos 票据评估。
managing-cloud-identity-with-okta
本技能涵盖将 Okta 部署为云环境集中身份提供商,配置与 AWS、Azure 和 GCP 的 SSO 集成,使用 Okta FastPass 部署抗钓鱼 MFA,管理用户预配置和取消配置的生命周期自动化,以及基于设备态势和风险信号实施自适应访问策略。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-zero-trust-with-beyondcorp
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
implementing-zero-trust-in-cloud
本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。
implementing-zero-trust-for-saas-applications
使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。
implementing-zero-trust-dns-with-nextdns
将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。
implementing-zero-standing-privilege-with-cyberark
部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。
implementing-zero-knowledge-proof-for-authentication
零知识证明(ZKP)允许证明者在不泄露秘密本身的情况下证明对某个秘密(如密码或私钥)的了解。本技能实现 Schnorr 身份识别协议和使用离散对数问题的简化 ZKPP,使服务器永远不需要获取用户密码即可完成认证。
implementing-web-application-logging-with-modsecurity
配置带有 OWASP 核心规则集(CRS)的 ModSecurity WAF,实现 Web 应用程序日志记录, 调整规则以减少误报,分析审计日志进行攻击检测,并为应用程序特定威胁实现自定义 SecRules。 分析师配置 SecRuleEngine、SecAuditEngine 和 CRS 偏执级别,以在安全覆盖范围和运营稳定性之间取得平衡。 适用于涉及 WAF 配置、ModSecurity 规则调整、Web 应用审计日志或 CRS 部署的场景。