implementing-zero-standing-privilege-with-cyberark

部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。

9 stars

Best use case

implementing-zero-standing-privilege-with-cyberark is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。

Teams using implementing-zero-standing-privilege-with-cyberark should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-zero-standing-privilege-with-cyberark/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-zero-standing-privilege-with-cyberark/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-zero-standing-privilege-with-cyberark/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-zero-standing-privilege-with-cyberark Compares

Feature / Agentimplementing-zero-standing-privilege-with-cyberarkStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 CyberArk 实施零常设权限

## 概述

零常设权限(ZSP)是一种安全模型,在该模型中,任何用户或身份都不保留持久的特权访问权限。相反,提升的访问权限以即时(JIT)方式动态配置,并在使用后自动撤销。CyberArk 通过其 Secure Cloud Access(SCA)模块实现 ZSP,该模块在云环境(AWS、Azure、GCP)中创建临时的、范围受限的角色,这些角色仅在会话期间存在。TEA 框架(时间、权限和审批)管理每个特权访问会话。

## 前提条件

- CyberArk Identity Security Platform(Privilege Cloud 或自托管版本)
- CyberArk Secure Cloud Access(SCA)许可证
- 具有管理员访问权限的云提供商账户(AWS、Azure、GCP)用于集成
- ITSM 集成(ServiceNow、Jira)用于审批工作流
- 已配置安全保险箱管理的 CyberArk Vault

## 核心概念

### TEA 框架(时间、权限、审批)

| 组件 | 描述 | 配置 |
|-----------|-------------|---------------|
| **时间(Time)** | 特权会话的持续时间 | 最短 15 分钟,最长 8 小时,默认 1 小时 |
| **权限(Entitlements)** | 会话期间授予的权限 | 动态范围 IAM 角色/策略 |
| **审批(Approvals)** | 访问前的授权工作流 | 自动批准、经理审批或多级审批 |

### ZSP 架构

```
用户通过 CyberArk 申请访问
        │
        ├── CyberArk 根据策略评估请求:
        │   ├── 用户是否有资格访问?
        │   ├── 请求是否符合 TEA 策略?
        │   └── 是否需要审批?
        │
        ├── [如需审批] → 路由到审批人(ITSM/ChatOps)
        │
        ├── 获批后:
        │   ├── CyberArk 在目标云中创建临时 IAM 角色
        │   ├── 将权限限定为最小所需权限
        │   ├── 设置会话 TTL(时间绑定)
        │   └── 配置临时凭据
        │
        ├── 用户通过会话访问云资源
        │   ├── 记录和录制所有操作
        │   └── 监控会话是否违反策略
        │
        └── 会话到期:
            ├── 临时角色已删除
            ├── 临时凭据已撤销
            └── 零常设权限保持
```

### CyberArk 组件

| 组件 | 职责 |
|-----------|------|
| Identity Security Platform | 中央管理和策略引擎 |
| Privilege Cloud Vault | 存储特权凭据和密钥 |
| Secure Cloud Access | 创建/销毁临时云角色 |
| Endpoint Privilege Manager | 控制本地管理员和应用提权 |
| Privileged Session Manager | 录制和监控特权会话 |

## 实施步骤

### 第 1 步:集成云提供商

**AWS 集成:**
1. 在 AWS IAM 中为 CyberArk 创建集成角色
2. 配置允许 CyberArk 代入角色的跨账户信任策略
3. 创建定义最大允许权限的 IAM 策略
4. 在 CyberArk SCA 中注册 AWS 账户

```json
{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::CYBERARK_ACCOUNT:role/CyberArkSCARole"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "sts:ExternalId": "cyberark-external-id"
            }
        }
    }]
}
```

**Azure 集成:**
1. 在 Microsoft Entra ID 中将 CyberArk 注册为企业应用程序
2. 授予 CyberArk 应用权限:Directory.ReadWrite.All、RoleManagement.ReadWrite.Directory
3. 创建具有限定范围权限的自定义 Azure 角色
4. 在 CyberArk SCA 中注册 Azure 订阅

**GCP 集成:**
1. 在 GCP 中为 CyberArk 创建服务账户
2. 授予 IAM 管理员和服务账户管理员角色
3. 配置工作负载联合身份认证以实现跨云访问
4. 在 CyberArk SCA 中注册 GCP 项目

### 第 2 步:定义访问策略

创建将职能映射到云权限的策略:

```yaml
# CyberArk SCA 策略示例
policy_name: "developer-aws-read-access"
description: "开发者对 AWS 生产环境的只读访问"
target_cloud: "aws"
target_accounts: ["123456789012", "987654321098"]

time_policy:
  max_duration: "4h"
  default_duration: "1h"
  business_hours_only: true
  timezone: "America/New_York"

entitlement_policy:
  aws_managed_policies:
    - "arn:aws:iam::aws:policy/ReadOnlyAccess"
  deny_actions:
    - "iam:*"
    - "organizations:*"
    - "sts:*"
  resource_restrictions:
    - "arn:aws:s3:::production-*"

approval_policy:
  approval_required: true
  approvers:
    - type: "manager"
    - type: "group"
      group: "cloud-security-team"
  auto_approve_conditions:
    - previous_approved_same_policy: true
      within_days: 7
  escalation_timeout: "2h"
  escalation_approver: "cloud-security-lead"
```

### 第 3 步:配置会话监控

设置特权会话录制和实时监控:

1. 为所有 ZSP 会话启用会话录制
2. 为 SSH/RDP 会话配置击键日志
3. 设置可疑活动的实时告警:
   - 会话期间尝试提升权限
   - 访问策略范围外的资源
   - 会话时长超过正常模式的 2 倍
4. 将会话元数据转发至 SIEM

### 第 4 步:实现审批工作流

与 ITSM 工具集成以实现访问请求和审批:

- **ServiceNow**:CyberArk SCA 连接器创建 ServiceNow 工单进行审批
- **Slack/Teams**:用于在消息平台快速审批的 ChatOps 机器人
- **Jira**:用于开发相关访问请求的集成
- **自动审批**:为低风险、已批准过的请求配置规则

### 第 5 步:从常设权限迁移

```
第一阶段:发现(第 1-2 周)
    ├── 清点所有云账户中的常设特权角色
    ├── 将用户映射到其常设角色分配
    ├── 分析 CloudTrail/活动日志中的实际权限使用情况
    └── 识别可转换为 JIT 的角色

第二阶段:策略创建(第 3-4 周)
    ├── 基于实际使用分析创建 ZSP 策略
    ├── 为每个策略定义 TEA 参数
    ├── 配置审批工作流
    └── 使用试点用户测试策略

第三阶段:迁移(第 5-8 周)
    ├── 向试点组分配 ZSP 策略
    ├── 移除试点用户的常设权限
    ├── 监控访问问题并调整策略
    ├── 逐步扩展至更多团队
    └── 移除组织范围内的所有常设权限

第四阶段:治理(持续进行)
    ├── 每月审查 ZSP 策略有效性
    ├── 每季度优化权限配置
    ├── 监控策略漂移或常设权限重新创建
    └── 向安全领导层报告 ZSP 指标
```

## 验证清单

- [ ] 云提供商已与 CyberArk SCA 集成
- [ ] 已为所有特权访问场景定义 TEA 策略
- [ ] 审批工作流已配置并测试
- [ ] 会话录制和监控已启用
- [ ] 已识别所有待迁移的常设特权角色
- [ ] 试点组已在无常设权限的情况下成功使用 ZSP
- [ ] 已为紧急访问定义紧急访问程序
- [ ] SIEM 集成接收会话和访问日志
- [ ] 已为低风险、重复访问配置自动审批规则
- [ ] 全组织迁移计划已获批准并排期
- [ ] KPI 跟踪:常设权限分配的减少情况

## 参考资料

- [CyberArk 零常设权限](https://www.cyberark.com/what-is/zero-standing-privileges/)
- [使用 CyberArk 在 AWS 上实施 ZSP](https://aws.amazon.com/blogs/apn/how-to-implement-zero-standing-privileges-with-cyberark-for-securing-access-to-the-aws-console/)
- [CyberArk Blueprint - 零常设权限](https://docs.cyberark.com/cyberark-blueprint/latest/en/content/zero-standing-privilege.htm)
- [CyberArk Secure Cloud Access 文档](https://docs.cyberark.com/ispss-access/latest/en/content/getstarted/acc-frst-page.htm)

Related Skills

performing-privileged-account-discovery

9
from killvxk/cybersecurity-skills-zh

发现并清点企业基础设施中的所有特权账户,包括域管理员、本地管理员、服务账户、数据库管理员、云 IAM 角色和应用管理员账户。

performing-privileged-account-access-review

9
from killvxk/cybersecurity-skills-zh

对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。

performing-privilege-escalation-on-linux

9
from killvxk/cybersecurity-skills-zh

Linux 权限提升是指在已控制的系统上从低权限用户账户提升至 root 访问权限。红队通过利用错误配置、存在漏洞的服务、内核漏洞利用和弱权限来实现 root 访问。

performing-privilege-escalation-assessment

9
from killvxk/cybersecurity-skills-zh

在已入侵的 Linux 和 Windows 系统上执行权限提升评估,识别从低权限访问到 root 或 SYSTEM 级别控制的路径。 测试人员枚举错误配置、存在漏洞的服务、内核漏洞、SUID 二进制文件、未加引号的服务路径和凭据存储, 以演示初始入侵的完整影响。适用于权限提升测试、本地漏洞利用、后渗透提权或操作系统级安全评估等请求场景。

performing-aws-privilege-escalation-assessment

9
from killvxk/cybersecurity-skills-zh

在 AWS 环境中执行已授权的权限提升(Privilege Escalation)评估,使用 Pacu、CloudFox、Principal Mapper 和手动 IAM 策略分析技术,识别允许用户或角色提升权限的 IAM 配置错误。

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构

implementing-zero-trust-in-cloud

9
from killvxk/cybersecurity-skills-zh

本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。

implementing-zero-trust-for-saas-applications

9
from killvxk/cybersecurity-skills-zh

使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。

implementing-zero-trust-dns-with-nextdns

9
from killvxk/cybersecurity-skills-zh

将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。