implementing-microsegmentation-with-guardicore

使用 Akamai Guardicore Segmentation 实施微分段,映射应用程序依赖关系,创建细粒度网络策略, 可视化东西向流量,并在数据中心和云环境中的工作负载之间强制执行最小权限通信。

9 stars

Best use case

implementing-microsegmentation-with-guardicore is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 Akamai Guardicore Segmentation 实施微分段,映射应用程序依赖关系,创建细粒度网络策略, 可视化东西向流量,并在数据中心和云环境中的工作负载之间强制执行最小权限通信。

Teams using implementing-microsegmentation-with-guardicore should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-microsegmentation-with-guardicore/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-microsegmentation-with-guardicore/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-microsegmentation-with-guardicore/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-microsegmentation-with-guardicore Compares

Feature / Agentimplementing-microsegmentation-with-guardicoreStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 Akamai Guardicore Segmentation 实施微分段,映射应用程序依赖关系,创建细粒度网络策略, 可视化东西向流量,并在数据中心和云环境中的工作负载之间强制执行最小权限通信。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 Guardicore 实施微分段(Microsegmentation)

## 适用场景

- 实施东西向流量控制以防止数据中心内的横向移动(Lateral Movement)
- 在编写分段策略前需要对网络通信模式进行应用级可见性分析
- 跨异构环境(VM、容器、裸金属、云)对工作负载进行分段
- 合规框架(PCI DSS、HIPAA)要求网络分段验证
- 在网络层部署零信任(Zero Trust),具备进程级粒度

**不适用于**仅做边界安全(使用传统防火墙)、工作负载少于 50 个且 VLAN/安全组已足够的环境,或网络团队没有能力持续进行策略管理的场景。

## 前置条件

- Akamai Guardicore Segmentation 许可证(Enterprise 或 Premium)
- 已部署 Guardicore Management Server(本地或 SaaS)
- 目标工作负载(Linux、Windows、Kubernetes)的 Agent 部署访问权限
- 网络可见性:SPAN/TAP 端口或 VPC 流日志(用于无 Agent 采集)
- 应用程序负责人参与依赖关系验证

## 工作流程

### 步骤 1:在工作负载上部署 Guardicore Agent

安装 Agent 以采集进程级网络通信数据。

```bash
# Linux agent 安装
curl -sSL https://management.guardicore.com/api/v3.0/agents/download/linux \
  -H "Authorization: Bearer ${GC_API_TOKEN}" \
  -o gc-agent-installer.sh
chmod +x gc-agent-installer.sh
sudo ./gc-agent-installer.sh \
  --management-url=https://management.guardicore.com \
  --site-id=datacenter-east \
  --label="web-tier"

# Windows agent 安装 (PowerShell)
# Invoke-WebRequest -Uri "https://management.guardicore.com/api/v3.0/agents/download/windows" `
#   -Headers @{"Authorization"="Bearer $GC_API_TOKEN"} `
#   -OutFile gc-agent-installer.exe
# Start-Process -FilePath .\gc-agent-installer.exe `
#   -ArgumentList "--management-url=https://management.guardicore.com","--site-id=datacenter-east" `
#   -Wait

# Kubernetes DaemonSet 部署
cat > gc-daemonset.yaml << 'EOF'
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: guardicore-agent
  namespace: guardicore
spec:
  selector:
    matchLabels:
      app: gc-agent
  template:
    metadata:
      labels:
        app: gc-agent
    spec:
      hostNetwork: true
      hostPID: true
      containers:
      - name: gc-agent
        image: guardicore/agent:latest
        securityContext:
          privileged: true
        env:
        - name: GC_MANAGEMENT_URL
          value: "https://management.guardicore.com"
        - name: GC_API_KEY
          valueFrom:
            secretKeyRef:
              name: gc-credentials
              key: api-key
        volumeMounts:
        - mountPath: /host
          name: host-root
      volumes:
      - name: host-root
        hostPath:
          path: /
EOF
kubectl apply -f gc-daemonset.yaml

# 验证 Agent 注册状态
curl -s "https://management.guardicore.com/api/v3.0/agents?status=active" \
  -H "Authorization: Bearer ${GC_API_TOKEN}" | python3 -m json.tool
```

### 步骤 2:使用 Reveal 映射应用程序依赖关系

使用 Guardicore Reveal 发现并可视化应用程序通信模式。

```bash
# 通过 API 查询已发现的应用流量
curl -s "https://management.guardicore.com/api/v3.0/connections" \
  -H "Authorization: Bearer ${GC_API_TOKEN}" \
  -d '{
    "time_range": {"from": "2026-02-17T00:00:00Z", "to": "2026-02-24T00:00:00Z"},
    "filter": {
      "source_label": "web-tier",
      "destination_label": "app-tier"
    },
    "aggregation": "process",
    "limit": 1000
  }' | python3 -m json.tool

# 导出应用程序依赖关系图
curl -s "https://management.guardicore.com/api/v3.0/maps/export" \
  -H "Authorization: Bearer ${GC_API_TOKEN}" \
  -d '{
    "format": "json",
    "labels": ["web-tier", "app-tier", "db-tier"],
    "time_range": "7d"
  }' -o app-dependency-map.json

# 典型发现结果:
# web-tier -> app-tier: TCP 8080, 8443 (预期流量)
# app-tier -> db-tier: TCP 5432, 3306 (预期流量)
# web-tier -> db-tier: TCP 5432 (异常流量 - 应当阻断)
# app-tier -> internet: TCP 443 (验证是否需要)
```

### 步骤 3:创建分段标签和策略

定义标签并围绕应用程序创建环形隔离策略。

```bash
# 为应用层创建标签
curl -X POST "https://management.guardicore.com/api/v3.0/labels" \
  -H "Authorization: Bearer ${GC_API_TOKEN}" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "PCI-CDE",
    "description": "Cardholder Data Environment workloads",
    "criteria": {"ip_ranges": ["10.10.0.0/16"]},
    "color": "#FF0000"
  }'

# 创建分段策略:允许 web 层到 app 层的通信
curl -X POST "https://management.guardicore.com/api/v3.0/policies" \
  -H "Authorization: Bearer ${GC_API_TOKEN}" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "Web-to-App Allowed",
    "action": "ALLOW",
    "priority": 100,
    "source": {"labels": ["web-tier"]},
    "destination": {"labels": ["app-tier"]},
    "services": [
      {"protocol": "TCP", "port": 8080},
      {"protocol": "TCP", "port": 8443}
    ],
    "log": true,
    "enabled": true,
    "section": "application-segmentation"
  }'

# 创建拒绝策略:阻断 web 层直接访问数据库
curl -X POST "https://management.guardicore.com/api/v3.0/policies" \
  -H "Authorization: Bearer ${GC_API_TOKEN}" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "Block Web-to-DB Direct",
    "action": "DENY",
    "priority": 200,
    "source": {"labels": ["web-tier"]},
    "destination": {"labels": ["db-tier"]},
    "services": [{"protocol": "TCP", "port_range": "1-65535"}],
    "log": true,
    "alert": true,
    "enabled": true
  }'

# 为 PCI CDE 创建环形隔离策略
curl -X POST "https://management.guardicore.com/api/v3.0/policies" \
  -H "Authorization: Bearer ${GC_API_TOKEN}" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "PCI CDE Ring Fence",
    "action": "DENY",
    "priority": 50,
    "source": {"labels": ["!PCI-CDE"]},
    "destination": {"labels": ["PCI-CDE"]},
    "services": [{"protocol": "TCP", "port_range": "1-65535"}],
    "log": true,
    "alert": true,
    "enabled": true
  }'
```

### 步骤 4:在 Reveal 模式下测试策略后再执行

在不阻断流量的情况下模拟策略执行。

```bash
# 为新策略启用 reveal 模式(仅记录日志)
curl -X PATCH "https://management.guardicore.com/api/v3.0/policies/POLICY_ID" \
  -H "Authorization: Bearer ${GC_API_TOKEN}" \
  -d '{"enforcement_mode": "REVEAL"}'

# 在 reveal 模式下检查哪些流量将被阻断
curl -s "https://management.guardicore.com/api/v3.0/violations" \
  -H "Authorization: Bearer ${GC_API_TOKEN}" \
  -d '{
    "time_range": "24h",
    "policy_id": "POLICY_ID",
    "limit": 100
  }' | python3 -c "
import json, sys
data = json.load(sys.stdin)
for v in data.get('violations', []):
    print(f\"{v['source_ip']}:{v['source_process']} -> {v['dest_ip']}:{v['dest_port']} [{v['action']}]\")
"

# 验证通过后,切换到执行模式
curl -X PATCH "https://management.guardicore.com/api/v3.0/policies/POLICY_ID" \
  -H "Authorization: Bearer ${GC_API_TOKEN}" \
  -d '{"enforcement_mode": "ENFORCE"}'
```

### 步骤 5:监控和响应策略违规

配置告警并持续监控分段违规情况。

```bash
# 配置 SIEM 集成以接收策略违规事件
curl -X POST "https://management.guardicore.com/api/v3.0/integrations/syslog" \
  -H "Authorization: Bearer ${GC_API_TOKEN}" \
  -d '{
    "name": "Splunk SIEM",
    "host": "splunk-syslog.company.com",
    "port": 514,
    "protocol": "TCP",
    "format": "CEF",
    "events": ["policy_violation", "agent_status", "deception_alert"]
  }'

# Splunk 查询微分段违规事件
# index=guardicore sourcetype=guardicore:policy
# | where action="DENY" AND enforcement_mode="ENFORCE"
# | stats count by src_ip, dst_ip, dst_port, policy_name
# | sort -count
```

## 核心概念

| 术语 | 定义 |
|------|------|
| 微分段(Microsegmentation) | 一种网络安全技术,围绕单个工作负载或应用程序创建细粒度安全区域,以控制东西向流量 |
| Reveal 模式 | Guardicore 的模拟模式,记录策略决策但不执行,允许在阻断前进行验证 |
| 环形隔离策略(Ring-Fence Policy) | 限制定义资产组(如 PCI CDE)所有进出流量的隔离策略 |
| 应用程序依赖关系图(Application Dependency Map) | 工作负载之间已发现网络通信模式的可视化表示,显示进程、端口和协议 |
| 东西向流量(East-West Traffic) | 在数据中心内工作负载之间横向流动的网络流量,与跨越边界的南北向流量相对 |
| 进程级可见性(Process-Level Visibility) | Guardicore 识别工作负载上哪个进程发起或接收网络连接的能力 |

## 工具与系统

- **Akamai Guardicore Segmentation**:基于 Agent 的微分段平台,具备应用可视化和策略执行能力
- **Guardicore Reveal**:网络可视化引擎,映射混合环境中的应用程序依赖关系
- **Guardicore Centra**:用于策略创建、监控和事件调查的管理控制台
- **Guardicore Agents**:部署在工作负载上的轻量级 Agent,采集进程级网络遥测数据
- **Guardicore Insight**:用于合规报告和分段效果评估的分析引擎

## 常见场景

### 场景:电商平台的 PCI DSS 微分段

**场景背景**:一家电商公司必须将其持卡人数据环境(Cardholder Data Environment,CDE)与企业网络其余部分隔离,以满足 PCI DSS 合规要求。CDE 跨越本地和 AWS 上的 200 台服务器。

**方法**:
1. 在所有 200 台 CDE 服务器和 300 台非 CDE 服务器上部署 Guardicore Agent
2. 运行 Reveal 持续 2 周,映射进出 CDE 的所有通信模式
3. 识别并修复异常流量(如开发服务器连接到生产 CDE)
4. 创建环形隔离策略,默认阻断所有非 CDE 到 CDE 的流量
5. 为已验证的 CDE 通信路径创建明确的允许策略
6. 在 Reveal 模式下测试 1 周,验证没有合法流量被阻断
7. 切换到执行模式并监控违规情况
8. 生成 PCI DSS 分段验证报告,展示已执行的控制措施

**常见陷阱**:在旧系统(Windows Server 2012)上部署 Agent 可能需要手动安装。环形隔离策略必须考虑管理流量(监控、补丁、备份)。从宽泛的允许规则开始,逐步收紧。应用程序负责人必须在执行前验证依赖关系图。

## 输出格式

```
微分段部署报告
==================================================
组织:E-Commerce Corp
报告日期:2026-02-23

AGENT 部署情况:
  工作负载总数:            500
  已安装 Agent:           487 (97.4%)
  活跃 Agent:             482 (98.9%)
  无 Agent(流日志):       13

策略覆盖情况:
  策略总数:                45
  允许规则:                38
  拒绝规则:                 7
  Reveal 模式:              3
  已执行:                  42

流量分析(7 天):
  观察到的总流量:        2,456,789
  匹配允许规则:          2,441,234 (99.4%)
  匹配拒绝规则:             15,555 (0.6%)
  未分类流量:                    0

PCI CDE 隔离情况:
  CDE 工作负载:               200
  环形隔离违规:                 0(近 30 天)
  授权 CDE 入口点:              4
  已阻断横向移动路径:           95%
```

Related Skills

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构

implementing-zero-trust-in-cloud

9
from killvxk/cybersecurity-skills-zh

本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。

implementing-zero-trust-for-saas-applications

9
from killvxk/cybersecurity-skills-zh

使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。

implementing-zero-trust-dns-with-nextdns

9
from killvxk/cybersecurity-skills-zh

将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。

implementing-zero-standing-privilege-with-cyberark

9
from killvxk/cybersecurity-skills-zh

部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。

implementing-zero-knowledge-proof-for-authentication

9
from killvxk/cybersecurity-skills-zh

零知识证明(ZKP)允许证明者在不泄露秘密本身的情况下证明对某个秘密(如密码或私钥)的了解。本技能实现 Schnorr 身份识别协议和使用离散对数问题的简化 ZKPP,使服务器永远不需要获取用户密码即可完成认证。

implementing-web-application-logging-with-modsecurity

9
from killvxk/cybersecurity-skills-zh

配置带有 OWASP 核心规则集(CRS)的 ModSecurity WAF,实现 Web 应用程序日志记录, 调整规则以减少误报,分析审计日志进行攻击检测,并为应用程序特定威胁实现自定义 SecRules。 分析师配置 SecRuleEngine、SecAuditEngine 和 CRS 偏执级别,以在安全覆盖范围和运营稳定性之间取得平衡。 适用于涉及 WAF 配置、ModSecurity 规则调整、Web 应用审计日志或 CRS 部署的场景。

implementing-vulnerability-sla-breach-alerting

9
from killvxk/cybersecurity-skills-zh

为漏洞修复 SLA 违规构建自动化告警,包含基于严重程度的时间线、升级工作流和合规性报告仪表板。

implementing-vulnerability-remediation-sla

9
from killvxk/cybersecurity-skills-zh

漏洞修复 SLA(服务级别协议)根据严重程度、资产重要性和漏洞利用可用性定义修补或缓解已识别漏洞的强制时限。有效的 SLA 计划推动责任落实、确保一致的修复时间线,并为漏洞管理成熟度提供可衡量的 KPI。