implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
Best use case
implementing-zero-trust-network-access-with-zscaler is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
Teams using implementing-zero-trust-network-access-with-zscaler should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-zero-trust-network-access-with-zscaler/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-zero-trust-network-access-with-zscaler Compares
| Feature / Agent | implementing-zero-trust-network-access-with-zscaler | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用 Zscaler 实施零信任网络访问(Zero Trust Network Access)
---
domain: cybersecurity
subdomain: zero-trust-architecture
author: mahipal
tags: [zero-trust, ztna, zscaler, network-access, vpn-replacement]
difficulty: advanced
estimated_time: 4-6 hours
prerequisites:
- 了解零信任原则(NIST SP 800-207)
- 熟悉身份提供商(Okta、Azure AD、Ping Identity)
- 掌握网络安全基础知识
- 拥有 Zscaler Private Access(ZPA)租户访问权限
---
## 概述
零信任网络访问(ZTNA)通过实施基于身份、上下文感知的私有应用访问控制,替代传统 VPN 架构,无需将用户接入企业网络。Zscaler Private Access(ZPA)是领先的 ZTNA 解决方案,通过 Zscaler Zero Trust Exchange 云平台在经过身份验证的用户和内部应用之间代理安全连接。
本技能涵盖 ZPA 的端到端部署,包括连接器设置、应用分段、策略配置以及与身份提供商集成实现持续验证。
## 架构
### Zscaler Private Access 组件
1. **客户端连接器(Client Connector)**:用户终端上的轻量级 Agent,向最近的 ZPA Service Edge 建立出站 TLS 隧道
2. **ZPA Service Edge**:云托管代理(或本地部署的 Private Service Edge),在策略评估后打通用户到应用的连接
3. **App Connector**:部署在应用环境中的轻量级虚拟机,向 Service Edge 创建出站隧道
4. **ZPA 管理门户**:用于定义应用、分段和访问策略的集中管理控制台
### 连接流程
```
用户设备(Client Connector)
|
v [出站 TLS 隧道]
ZPA Service Edge(策略评估 + IdP 认证)
|
v [出站 TLS 隧道]
App Connector --> 内部应用
```
核心原则:无需入站连接。Client Connector 和 App Connector 均仅发起出站连接,消除了传统 VPN 的攻击面。
## 核心概念
### 应用分段(Application Segments)
通过 IP 地址、FQDN、端口和协议定义特定应用或应用组,实现精细化微分段,而非宽泛的网络访问。
### 访问策略(Access Policies)
策略结合用户身份、组成员关系、设备态势以及情境信号(位置、时间),授予或拒绝对应用分段的访问。
### 服务组(Server Groups)
服务特定应用分段的 App Connector 逻辑分组,支持高可用性和地理分布。
### 浏览器访问(Browser Access)
ZPA 支持 Web 应用的无客户端浏览器访问,为非受管设备和第三方用户实现 ZTNA,无需安装 Client Connector。
## 操作流程
### 阶段 1:基础搭建
1. **配置身份提供商集成**
- 在 ZPA 管理门户中导航至"管理 > IdP 配置"
- 添加与您的 IdP(Azure AD、Okta、Ping)的 SAML 2.0 或 OIDC 集成
- 配置 SCIM 预配以自动同步用户/组
- 测试 SSO 认证流程
2. **部署 App Connector**
- 在每个应用环境(数据中心、AWS VPC、Azure VNet)中置备 App Connector 虚拟机
- 从 ZPA 管理门户下载预配密钥
- 使用预配密钥安装并注册 App Connector
- 确认连接器状态在管理门户中显示为"健康"
- 每个环境至少部署两个连接器以实现高可用
3. **创建服务组**
- 按地理位置或应用层级对 App Connector 进行分组
- 配置健康检查间隔和故障转移行为
### 阶段 2:应用分段
4. **定义应用分段**
- 为每个应用或逻辑分组创建分段
- 指定域名/IP、端口和协议
- 将分段与适当的服务组关联
- 按需启用或禁用浏览器访问
5. **创建分段组**
- 将应用分段整理为逻辑分组(例如 HR 应用、财务应用)
- 使用分段组简化策略管理
### 阶段 3:策略配置
6. **配置访问策略**
- 定义将用户组映射到应用分段的规则
- 应用条件:设备态势、客户端类型、SAML 属性
- 按优先级排列规则(最严格优先)
- 为拒绝访问场景创建拒绝规则
7. **启用设备态势检查**
- 配置要求操作系统补丁级别、磁盘加密、杀毒软件状态的态势配置文件
- 与终端管理系统集成(CrowdStrike、Microsoft Intune、Carbon Black)
- 将态势配置文件与访问策略关联
### 阶段 4:客户端部署
8. **部署 Client Connector**
- 使用注册令牌打包 Zscaler Client Connector
- 通过 MDM(Intune、Jamf、SCCM)或手动安装部署
- 配置转发配置文件,将私有应用流量路由至 ZPA
- 测试用户认证和应用访问
### 阶段 5:监控与优化
9. **启用日志记录和监控**
- 配置日志流式传输至 SIEM(Splunk、Sentinel、QRadar)
- 为策略违规、连接器健康状况和认证失败设置告警
- 查看 ZPA Insights 仪表板获取使用分析
10. **迭代优化**
- 分析访问日志,识别影子 IT 和未经授权的访问尝试
- 根据实际流量模式优化应用分段
- 从试点应用逐步扩展至全企业部署
## 验证清单
- [ ] 身份提供商集成通过 SSO 和 SCIM 同步测试
- [ ] 所有环境中 App Connector 均已部署并显示健康状态
- [ ] 应用分段已定义正确的 IP/FQDN、端口、协议
- [ ] 访问策略对每个用户组实施最小权限
- [ ] 设备态势检查能阻断不合规终端
- [ ] 所有受管终端已部署 Client Connector
- [ ] 通过测试事件确认日志流式传输至 SIEM
- [ ] 通过禁用每个服务组中的一个 App Connector 测试故障转移
- [ ] 为需要第三方访问的 Web 应用配置浏览器访问
- [ ] 已记录 VPN 退役计划及回滚流程
## 参考资料
- NIST SP 800-207:零信任架构
- CISA 零信任成熟度模型 v2.0 - 网络支柱
- Zscaler Private Access 架构指南
- CSA 软件定义边界与零信任规范 v2.0Related Skills
testing-for-broken-access-control
系统性测试 Web 应用程序中的访问控制缺陷,包括权限提升、缺失的功能级检查以及不安全的直接对象引用。
securing-remote-access-to-ot-environment
本技能涵盖为操作员、工程师和供应商实施OT/ICS环境的安全远程访问,同时防止可能危害工业运营的未授权访问。涉及跳板服务器架构、多因素认证、会话记录、特权访问管理、供应商远程访问控制,以及符合IEC 62443和NERC CIP-005远程访问要求。
scanning-network-with-nmap-advanced
使用 Nmap 的脚本引擎、时序控制、规避技术和输出解析,对授权目标网络执行高级网络侦察, 发现主机、枚举服务、检测漏洞并识别操作系统。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-privileged-account-access-review
对特权账户进行系统性审查,验证访问权限,识别过多权限,并在 PAM 基础设施中执行最小权限原则。
performing-ot-network-security-assessment
本技能涵盖对运营技术(OT)网络(包括SCADA系统、DCS架构和工业控制系统通信路径)进行全面安全评估。内容涉及Purdue参考模型各层、识别IT/OT融合风险、评估区域间防火墙规则,以及映射工业协议流量(Modbus、DNP3、OPC UA、EtherNet/IP),以检测关键基础设施中的错误配置、未授权连接和攻击面。
performing-network-traffic-analysis-with-zeek
部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。
performing-network-traffic-analysis-with-tshark
使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)
performing-network-packet-capture-analysis
使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。
performing-network-forensics-with-wireshark
使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。
performing-initial-access-with-evilginx3
在红队演练中,使用 EvilGinx3 中间人(Adversary-in-the-Middle)钓鱼框架执行授权的初始访问,捕获会话令牌并绕过多因素认证(MFA)。
performing-external-network-penetration-test
依照 PTES 方法论,通过侦察、扫描、漏洞利用和报告等阶段,对面向互联网的基础设施执行全面的外部网络渗透测试,识别可利用漏洞。