Skill

configuring-zscaler-private-access-for-ztna

Configures Zscaler Private Access (ZPA) for ZTNA: deploy App Connectors on Linux VMs, define app segments, set identity/device posture access policies, integrate IdP to replace VPNs with zero-trust access.

Linux

Bash

security

infrastructure

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

- 以应用程序级零信任访问取代传统 VPN 集中器时

Supporting Assets

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

Similar Skills

configuring-zscaler-private-access-for-ztna

5.9k

Deploys Zscaler Private Access (ZPA) App Connectors on Linux VMs, defines application segments, and configures identity-based access policies for ZTNA replacing VPNs.

7 files

cybersecurity-skills

configuring-zscaler-private-access-for-ztna

Configures Zscaler Private Access (ZPA) for ZTNA replacing VPNs: deploys App Connectors on Linux VMs, defines application segments, sets identity- and posture-based access policies, integrates IdPs.

asi

implementing-zero-trust-network-access-with-zscaler

Implements Zero Trust Network Access (ZTNA) with Zscaler Private Access: deploys Client/App Connectors, configures app segments, access policies, IdP integration to replace VPNs. For securing private apps without network exposure.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

为 ZTNA 配置 Zscaler Private Access

适用场景

以应用程序级零信任访问取代传统 VPN 集中器时
为远程用户提供对内部应用程序的安全访问，而无需网络级连接时
实施最小权限访问，用户只能看到已授权应用程序时
需要使内部应用程序对未经授权的用户和互联网不可见时
使用 Zscaler Internet Access（ZIA）将 ZTNA 与现有 SASE 架构集成时

不适用于需要原始 UDP 访问的应用程序（ZPA 主要支持 TCP），提供等同于站点到站点 VPN 的完整网络级访问（改用 ZPA AppProtection 或分支连接器），或组织需要纯本地访问控制而无云依赖的场景。

前置条件

Zscaler Private Access 订阅（Business 或 Transformation 版本）
已配置身份提供商：Okta、Microsoft Entra ID、Ping Identity 或 SAML 2.0 IdP
App Connector 虚拟机要求：Linux 虚拟机（CentOS 7/8、RHEL 7/8、Ubuntu 18.04+、Amazon Linux 2），最少 2 vCPU、4GB RAM
从 App Connector 到 ZPA 云的 443 端口出站连接（无需入站端口）
从 App Connector 到内部应用程序 FQDN 的 DNS 解析
在用户端点上部署的 Zscaler Client Connector

工作流程

步骤 1：在应用程序网络中部署 App Connector

App Connector 建立到 ZPA 云的仅出站隧道，提供对内部应用程序的访问。

# 在 Linux 虚拟机上下载并安装 App Connector
# 从 ZPA 管理门户 > 管理 > App Connector 获取配置密钥

# 适用于 RHEL/CentOS
sudo yum install -y https://yum.private.zscaler.com/yum/el7/zpa-connector-latest.rpm

# 适用于 Ubuntu/Debian
curl -sS https://dist.private.zscaler.com/apt/pubkey.gpg | sudo apt-key add -
echo "deb https://dist.private.zscaler.com/apt stable main" | sudo tee /etc/apt/sources.list.d/zpa.list
sudo apt update && sudo apt install -y zpa-connector

# 使用配置密钥配置连接器
sudo /opt/zscaler/bin/zpa-connector configure \
  --provision-key "从门户获取的配置密钥"

# 启动连接器服务
sudo systemctl enable zpa-connector
sudo systemctl start zpa-connector

# 验证连接器状态
sudo systemctl status zpa-connector
sudo /opt/zscaler/bin/zpa-connector status

步骤 2：定义服务器组和应用程序段

将内部应用程序映射到服务器组并创建应用程序段。

ZPA 管理门户配置：

1. 服务器组：
   导航至：管理 > App Connector > 服务器组
   - 名称："DC-East-Servers"
   - App Connector 组："DC-East-Connectors"
   - 服务器：
     - hr-portal.internal.corp（10.1.1.50，TCP 443）
     - finance-app.internal.corp（10.1.1.51，TCP 443）
     - git.internal.corp（10.1.2.10，TCP 22、443）

2. 应用程序段：
   导航至：资源 > 应用程序段 > 添加应用程序段
   - 名称："HR 应用"
   - 域名/URL：hr-portal.internal.corp
   - TCP 端口：443
   - 服务器组：DC-East-Servers
   - 健康报告：连续
   - 绕过类型：从不（强制所有流量通过 ZPA）

步骤 3：配置访问策略

根据身份和设备态势定义谁可以访问哪些应用程序段。

ZPA 管理门户 > 策略 > 访问策略：

规则 1：HR 团队访问
  - 名称："HR 门户访问"
  - 操作：ALLOW
  - 条件：
    - 用户组："HR-Department"（来自 IdP）
    - 应用程序段："HR 应用"
    - 设备态势配置文件："企业托管设备"
    - 客户端类型：Zscaler Client Connector
  - 条件：
    - SAML 属性：department = "Human Resources"
    - 设备信任级别："HIGH"（CrowdStrike ZTA 评分 > 70）

规则 4：默认拒绝
  - 名称："阻止所有其他访问"
  - 操作：DENY
  - 条件：所有用户，所有应用程序
  - 日志：已启用

步骤 4：配置设备态势配置文件

集成来自端点安全工具的设备态势信号。

ZPA 管理门户 > 管理 > 设备态势：

配置文件 1：企业托管设备
  - CrowdStrike Falcon：运行中，ZTA 评分 >= 60
  - 操作系统：Windows 10 21H2+、macOS 13+、Ubuntu 22.04+
  - 磁盘加密：已启用（BitLocker/FileVault）
  - 防火墙：已启用
  - 屏幕锁：已启用

配置文件 2：开发者工作站
  - 继承：企业托管设备
  - CrowdStrike Falcon：ZTA 评分 >= 70
  - 补丁级别：最新版本 30 天以内
  - 证书：有效的企业证书

步骤 5：为无客户端 ZTNA 启用浏览器访问

为未安装 Zscaler Client Connector 的用户配置浏览器访问。

ZPA 管理门户 > 资源 > 应用程序段：

对于"HR 应用"段：
  - 启用浏览器访问：是
  - 浏览器访问类型：HTTPS
  - 自定义域名：hr.access.company.com
  - 证书：上传自定义域名的 TLS 证书
  - 认证：通过企业 IdP 的 SAML
  - 会话超时：4 小时
  - 剪贴板控制：敏感应用禁用
  - 文件上传/下载：受限

步骤 6：配置日志和监控

设置 SIEM 集成和持续监控的日志流。

ZPA 管理门户 > 管理 > 日志流服务：

日志接收器配置：
  - 名称："Splunk-SIEM"
  - 类型：Splunk（HEC）
  - 目标：https://splunk-hec.company.com:8088
  - 日志类型：用户活动、App Connector 状态、审计日志、浏览器访问

# Splunk ZPA 访问异常搜索
index=zscaler_zpa sourcetype=zpa:useractivity
| where action="denied"
| stats count by user, application, policy_name
| where count > 10
| sort -count

核心概念

术语	定义
App Connector	轻量级 Linux 服务，从内部网络到 ZPA 云创建仅出站加密隧道，无需入站端口即可提供对应用程序的访问
应用程序段（Application Segment）	由 FQDN/IP 和端口定义的内部应用程序逻辑分组，映射到服务器组以强制执行访问策略
服务器组（Server Group）	与 App Connector 组关联的应用服务器集合，可响应应用程序段的请求
访问策略（Access Policy）	定义哪些用户/组在什么条件下（设备态势、时间、位置）可以访问哪些应用程序段的规则
Zscaler Client Connector	安装在用户设备上的端点代理，将流量路由到 ZPA 云以进行策略执行和应用访问
浏览器访问（Browser Access）	允许通过 Web 浏览器访问应用程序的无客户端 ZTNA 选项，无需安装 Zscaler Client Connector

工具与系统

Zscaler Private Access（ZPA）：云原生 ZTNA 平台，以基于身份的应用访问取代 VPN
Zscaler Client Connector：跨平台端点代理，通过 ZPA 路由流量以执行策略
ZPA App Connector：部署在应用程序网络中的仅出站隧道端点
ZPA Admin Portal：策略、段和连接器配置的基于 Web 的管理控制台
ZPA 日志流服务（LSS）：实时日志导出到 SIEM 平台（Splunk、Sentinel、QRadar）
CrowdStrike ZTA 集成：用于条件访问策略执行的设备态势评分

输出格式

ZPA ZTNA 部署报告
==================================================
组织：FinanceCorp
部署日期：2026-02-23

基础设施：
  App Connector：4 个（2x DC-East，2x DC-West）
  连接器状态：全部正常
  连接器版本：24.1.2

应用覆盖范围：
  应用程序段：20
  总应用数：45
  服务器组：4
  段组：6

访问策略：
  总规则数：12
  允许规则：11
  拒绝规则：1（默认拒绝）
  设备态势配置文件：3

用户访问（过去 30 天）：
  活跃用户：487 / 500
  总会话数：124,567
  允许会话：123,890（99.5%）
  拒绝会话：677（0.5%）
  浏览器访问会话：2,341

VPN 迁移：
  已迁移到 ZPA 的用户：487 / 500
  VPN 下线日期：2026-03-15