implementing-zero-trust-with-beyondcorp
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
Best use case
implementing-zero-trust-with-beyondcorp is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
Teams using implementing-zero-trust-with-beyondcorp should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-zero-trust-with-beyondcorp/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-zero-trust-with-beyondcorp Compares
| Feature / Agent | implementing-zero-trust-with-beyondcorp | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 使用 BeyondCorp 实施零信任 ## 概述 Google BeyondCorp Enterprise 通过消除可信网络边界的概念来实现零信任(Zero Trust)安全模型。BeyondCorp 不依赖 VPN 和网络位置,而是根据用户身份、设备安全态势和上下文属性对每个请求进行认证和授权。身份感知代理(IAP)作为执行点,拦截对受保护资源的所有请求,并根据 Access Context Manager 策略对其进行评估。本技能涵盖为 Web 应用配置 IAP、根据设备信任和网络属性定义访问级别,以及审计访问策略的合规性。 ## 前置条件 - 具有 BeyondCorp Enterprise 许可证的 Google Cloud 项目 - 已启用 IAP API(iap.googleapis.com) - 已启用 Access Context Manager API(accesscontextmanager.googleapis.com) - 需要保护的 GCP 资源(Compute Engine、App Engine 或 GKE 服务) - 已在受管设备上部署 Endpoint Verification(端点验证) - Python 3.9+,安装 google-cloud-iap 库 ## 步骤 ### 步骤 1:在目标资源上启用 IAP 在 Compute Engine、App Engine 或 HTTPS 负载均衡器后端配置 Identity-Aware Proxy。 ### 步骤 2:定义访问级别 基于 IP 范围、设备属性(操作系统版本、加密、屏幕锁定)和地理位置创建 Access Context Manager 访问级别。 ### 步骤 3:绑定访问策略 将访问级别作为 IAP 条件应用,以对受保护资源强制执行上下文感知访问决策。 ### 步骤 4:审计和监控 查询 IAP 审计日志,验证策略执行情况,识别零信任覆盖缺口。 ## 预期输出 JSON 报告,包含受 IAP 保护的资源、访问级别定义、策略绑定审计结果和零信任覆盖率指标。
Related Skills
performing-active-directory-forest-trust-attack
使用 impacket 枚举和审计 Active Directory 林信任关系,进行 SID 过滤分析、信任密钥提取、跨林 SID 历史滥用检测和跨域 Kerberos 票据评估。
implementing-zero-trust-with-hashicorp-boundary
使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。
implementing-zero-trust-network-access
通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。
implementing-zero-trust-network-access-with-zscaler
使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构
implementing-zero-trust-in-cloud
本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。
implementing-zero-trust-for-saas-applications
使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。
implementing-zero-trust-dns-with-nextdns
将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。
implementing-zero-standing-privilege-with-cyberark
部署 CyberArk Secure Cloud Access,通过基于时间、权限和审批控制的即时访问,在混合云和多云环境中消除常设权限。
implementing-zero-knowledge-proof-for-authentication
零知识证明(ZKP)允许证明者在不泄露秘密本身的情况下证明对某个秘密(如密码或私钥)的了解。本技能实现 Schnorr 身份识别协议和使用离散对数问题的简化 ZKPP,使服务器永远不需要获取用户密码即可完成认证。
implementing-web-application-logging-with-modsecurity
配置带有 OWASP 核心规则集(CRS)的 ModSecurity WAF,实现 Web 应用程序日志记录, 调整规则以减少误报,分析审计日志进行攻击检测,并为应用程序特定威胁实现自定义 SecRules。 分析师配置 SecRuleEngine、SecAuditEngine 和 CRS 偏执级别,以在安全覆盖范围和运营稳定性之间取得平衡。 适用于涉及 WAF 配置、ModSecurity 规则调整、Web 应用审计日志或 CRS 部署的场景。
implementing-vulnerability-sla-breach-alerting
为漏洞修复 SLA 违规构建自动化告警,包含基于严重程度的时间线、升级工作流和合规性报告仪表板。
implementing-vulnerability-remediation-sla
漏洞修复 SLA(服务级别协议)根据严重程度、资产重要性和漏洞利用可用性定义修补或缓解已识别漏洞的强制时限。有效的 SLA 计划推动责任落实、确保一致的修复时间线,并为漏洞管理成熟度提供可衡量的 KPI。