implementing-zero-standing-privilege-with-cyberark
部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。
Best use case
implementing-zero-standing-privilege-with-cyberark is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。
Teams using implementing-zero-standing-privilege-with-cyberark should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-zero-standing-privilege-with-cyberark/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-zero-standing-privilege-with-cyberark Compares
| Feature / Agent | implementing-zero-standing-privilege-with-cyberark | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用 CyberArk 实施零常设权限
## 概述
零常设权限(ZSP)是一种安全模型,在该模型中,任何用户或身份都不保留持久的特权访问权限。相反,提升的访问权限以即时(JIT)方式动态配置,并在使用后自动撤销。CyberArk 通过其 Secure Cloud Access(SCA)模块实现 ZSP,该模块在云环境(AWS、Azure、GCP)中创建临时的、范围受限的角色,这些角色仅在会话期间存在。TEA 框架(时间、权限和审批)管理每个特权访问会话。
## 前提条件
- CyberArk Identity Security Platform(Privilege Cloud 或自托管版本)
- CyberArk Secure Cloud Access(SCA)许可证
- 具有管理员访问权限的云提供商账户(AWS、Azure、GCP)用于集成
- ITSM 集成(ServiceNow、Jira)用于审批工作流
- 已配置安全保险箱管理的 CyberArk Vault
## 核心概念
### TEA 框架(时间、权限、审批)
| 组件 | 描述 | 配置 |
|-----------|-------------|---------------|
| **时间(Time)** | 特权会话的持续时间 | 最短 15 分钟,最长 8 小时,默认 1 小时 |
| **权限(Entitlements)** | 会话期间授予的权限 | 动态范围 IAM 角色/策略 |
| **审批(Approvals)** | 访问前的授权工作流 | 自动批准、经理审批或多级审批 |
### ZSP 架构
```
用户通过 CyberArk 申请访问
│
├── CyberArk 根据策略评估请求:
│ ├── 用户是否有资格访问?
│ ├── 请求是否符合 TEA 策略?
│ └── 是否需要审批?
│
├── [如需审批] → 路由到审批人(ITSM/ChatOps)
│
├── 获批后:
│ ├── CyberArk 在目标云中创建临时 IAM 角色
│ ├── 将权限限定为最小所需权限
│ ├── 设置会话 TTL(时间绑定)
│ └── 配置临时凭据
│
├── 用户通过会话访问云资源
│ ├── 记录和录制所有操作
│ └── 监控会话是否违反策略
│
└── 会话到期:
├── 临时角色已删除
├── 临时凭据已撤销
└── 零常设权限保持
```
### CyberArk 组件
| 组件 | 职责 |
|-----------|------|
| Identity Security Platform | 中央管理和策略引擎 |
| Privilege Cloud Vault | 存储特权凭据和密钥 |
| Secure Cloud Access | 创建/销毁临时云角色 |
| Endpoint Privilege Manager | 控制本地管理员和应用提权 |
| Privileged Session Manager | 录制和监控特权会话 |
## 实施步骤
### 第 1 步:集成云提供商
**AWS 集成:**
1. 在 AWS IAM 中为 CyberArk 创建集成角色
2. 配置允许 CyberArk 代入角色的跨账户信任策略
3. 创建定义最大允许权限的 IAM 策略
4. 在 CyberArk SCA 中注册 AWS 账户
```json
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::CYBERARK_ACCOUNT:role/CyberArkSCARole"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "cyberark-external-id"
}
}
}]
}
```
**Azure 集成:**
1. 在 Microsoft Entra ID 中将 CyberArk 注册为企业应用程序
2. 授予 CyberArk 应用权限:Directory.ReadWrite.All、RoleManagement.ReadWrite.Directory
3. 创建具有限定范围权限的自定义 Azure 角色
4. 在 CyberArk SCA 中注册 Azure 订阅
**GCP 集成:**
1. 在 GCP 中为 CyberArk 创建服务账户
2. 授予 IAM 管理员和服务账户管理员角色
3. 配置工作负载联合身份认证以实现跨云访问
4. 在 CyberArk SCA 中注册 GCP 项目
### 第 2 步:定义访问策略
创建将职能映射到云权限的策略:
```yaml
# CyberArk SCA 策略示例
policy_name: "developer-aws-read-access"
description: "开发者对 AWS 生产环境的只读访问"
target_cloud: "aws"
target_accounts: ["123456789012", "987654321098"]
time_policy:
max_duration: "4h"
default_duration: "1h"
business_hours_only: true
timezone: "America/New_York"
entitlement_policy:
aws_managed_policies:
- "arn:aws:iam::aws:policy/ReadOnlyAccess"
deny_actions:
- "iam:*"
- "organizations:*"
- "sts:*"
resource_restrictions:
- "arn:aws:s3:::production-*"
approval_policy:
approval_required: true
approvers:
- type: "manager"
- type: "group"
group: "cloud-security-team"
auto_approve_conditions:
- previous_approved_same_policy: true
within_days: 7
escalation_timeout: "2h"
escalation_approver: "cloud-security-lead"
```
### 第 3 步:配置会话监控
设置特权会话录制和实时监控:
1. 为所有 ZSP 会话启用会话录制
2. 为 SSH/RDP 会话配置击键日志
3. 设置可疑活动的实时告警:
- 会话期间尝试提升权限
- 访问策略范围外的资源
- 会话时长超过正常模式的 2 倍
4. 将会话元数据转发至 SIEM
### 第 4 步:实现审批工作流
与 ITSM 工具集成以实现访问请求和审批:
- **ServiceNow**:CyberArk SCA 连接器创建 ServiceNow 工单进行审批
- **Slack/Teams**:用于在消息平台快速审批的 ChatOps 机器人
- **Jira**:用于开发相关访问请求的集成
- **自动审批**:为低风险、已批准过的请求配置规则
### 第 5 步:从常设权限迁移
```
第一阶段:发现(第 1-2 周)
├── 清点所有云账户中的常设特权角色
├── 将用户映射到其常设角色分配
├── 分析 CloudTrail/活动日志中的实际权限使用情况
└── 识别可转换为 JIT 的角色
第二阶段:策略创建(第 3-4 周)
├── 基于实际使用分析创建 ZSP 策略
├── 为每个策略定义 TEA 参数
├── 配置审批工作流
└── 使用试点用户测试策略
第三阶段:迁移(第 5-8 周)
├── 向试点组分配 ZSP 策略
├── 移除试点用户的常设权限
├── 监控访问问题并调整策略
├── 逐步扩展至更多团队
└── 移除组织范围内的所有常设权限
第四阶段:治理(持续进行)
├── 每月审查 ZSP 策略有效性
├── 每季度优化权限配置
├── 监控策略漂移或常设权限重新创建
└── 向安全领导层报告 ZSP 指标
```
## 验证清单
- [ ] 云提供商已与 CyberArk SCA 集成
- [ ] 已为所有特权访问场景定义 TEA 策略
- [ ] 审批工作流已配置并测试
- [ ] 会话录制和监控已启用
- [ ] 已识别所有待迁移的常设特权角色
- [ ] 试点组已在无常设权限的情况下成功使用 ZSP
- [ ] 已为紧急访问定义紧急访问程序
- [ ] SIEM 集成接收会话和访问日志
- [ ] 已为低风险、重复访问配置自动审批规则
- [ ] 全组织迁移计划已获批准并排期
- [ ] KPI 跟踪:常设权限分配的减少情况
## 参考资料
- [CyberArk 零常设权限](https://www.cyberark.com/what-is/zero-standing-privileges/)
- [使用 CyberArk 在 AWS 上实施 ZSP](https://aws.amazon.com/blogs/apn/how-to-implement-zero-standing-privileges-with-cyberark-for-securing-access-to-the-aws-console/)
- [CyberArk Blueprint - 零常设权限](https://docs.cyberark.com/cyberark-blueprint/latest/en/content/zero-standing-privilege.htm)
- [CyberArk Secure Cloud Access 文档](https://docs.cyberark.com/ispss-access/latest/en/content/getstarted/acc-frst-page.htm)Related Skills
performing-privileged-account-discovery
发现并清点企业基础设施中的所有特权账户,包括域管理员、本地管理员、服务账户、数据库管理员、云 IAM 角色和应用管理员账户。
performing-privileged-account-access-review
对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。
performing-privilege-escalation-on-linux
Linux 权限提升是指在已控制的系统上从低权限用户账户提升至 root 访问权限。红队通过利用错误配置、存在漏洞的服务、内核漏洞利用和弱权限来实现 root 访问。
performing-privilege-escalation-assessment
在已入侵的 Linux 和 Windows 系统上执行权限提升评估,识别从低权限访问到 root 或 SYSTEM 级别控制的路径。 测试人员枚举错误配置、存在漏洞的服务、内核漏洞、SUID 二进制文件、未加引号的服务路径和凭据存储, 以演示初始入侵的完整影响。适用于权限提升测试、本地漏洞利用、后渗透提权或操作系统级安全评估等请求场景。
performing-aws-privilege-escalation-assessment
在 AWS 环境中执行已授权的权限提升(Privilege Escalation)评估,使用 Pacu、CloudFox、Principal Mapper 和手动 IAM 策略分析技术,识别允许用户或角色提升权限的 IAM 配置错误。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-zero-trust-with-beyondcorp
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
implementing-zero-trust-in-cloud
本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。
implementing-zero-trust-for-saas-applications
使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。
implementing-zero-trust-dns-with-nextdns
将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。