Skill

deploying-palo-alto-prisma-access-zero-trust

Deploys Palo Alto Networks Prisma Access for SASE-based zero-trust network access using GlobalProtect Agent, ZTNA Connectors, security policies, and Strata Cloud Manager integration. For enterprise remote users and branch security.

AWS

GCP

npx claudepluginhub killvxk/cybersecurity-skills-zh

Tool Access

This skill uses the workspace's default tool permissions.

Preview

- 实施集成 ZTNA、SWG、CASB 和 FWaaS 的企业级 SASE 时

Supporting Assets

LICENSEreferences/api-reference.mdscripts/agent.py

SKILL.md

Similar Skills

deploying-palo-alto-prisma-access-zero-trust

Guides deployment of Palo Alto Prisma Access for SASE-based zero trust network access using GlobalProtect agents, ZTNA Connectors, security policies, and Strata Cloud Manager. For enterprise SASE replacing VPNs and firewalls.

asi

deploying-palo-alto-prisma-access-zero-trust

5.9k

Guides deployment of Palo Alto Prisma Access for SASE zero trust using GlobalProtect, ZTNA Connectors on AWS/Azure/GCP/VMware, and Strata Cloud Manager.

3 files

cybersecurity-skills

configuring-zscaler-private-access-for-ztna

Configures Zscaler Private Access (ZPA) for ZTNA: deploy App Connectors on Linux VMs, define app segments, set identity/device posture access policies, integrate IdP to replace VPNs with zero-trust access.

7 files

cybersecurity-skills-zh

Stats

Stars10

Forks1

Last CommitMar 17, 2026

Actions

View Source View Plugin View on GitHub View README

Help us improve

Share bugs, ideas, or general feedback.

部署 Palo Alto Prisma Access 零信任

适用场景

实施集成 ZTNA、SWG、CASB 和 FWaaS 的企业级 SASE 时
以云交付安全取代 VPN 和分支机构防火墙时
需要对远程访问流量进行高级威胁防护（WildFire、DNS Security）时
为移动用户和远程网络（分支机构）连接部署零信任时
通过 Strata Cloud Manager 将 ZTNA 与现有 Palo Alto NGFW 基础设施集成时

不适用于小型组织（用户数 < 200）（更简单的 ZTNA 解决方案即可满足需求）、仅需要 Web 应用访问而不需要完整网络安全的环境，或预算限制无法承担企业 SASE 许可证的场景。

前置条件

Prisma Access 许可证（Business Premium 或同等版本）
已配置 Strata Cloud Manager（SCM）租户
用于端点部署的 GlobalProtect Agent
ZTNA Connector 虚拟机：4 vCPU、8GB RAM、128GB 磁盘（VMware、AWS、Azure 或 GCP）
身份提供商：Okta、Entra ID、Ping Identity（SAML 2.0）
用于日志存储的 Palo Alto Cortex Data Lake

工作流程

步骤 1：在 Strata Cloud Manager 中配置 Prisma Access 基础设施

为移动用户和远程网络连接设置云基础设施。

Strata Cloud Manager > Prisma Access > 基础设施设置：

移动用户配置：
  - 服务连接：根据用户位置自动选择
  - DNS 服务器：10.1.1.10、10.1.1.11（企业 DNS）
  - 移动用户 IP 池：10.100.0.0/16
  - 认证：SAML + Okta（主）、Entra ID（备）
  - GlobalProtect 门户：portal.company.com
  - GlobalProtect 网关：自动（最近的 Prisma Access 位置）

基础设施子网：
  - 范围：172.16.0.0/16
  - 分配：每个 Prisma Access 位置 /24

步骤 2：部署 ZTNA Connector 实现私有应用访问

安装 ZTNA Connector 为内部应用程序提供安全访问。

# 在 VMware（OVA）上部署 ZTNA Connector
# 从 Strata Cloud Manager > Prisma Access > ZTNA Connectors 下载 OVA

# 通过 CloudFormation 部署到 AWS
aws cloudformation create-stack \
  --stack-name prisma-ztna-connector \
  --template-url https://prisma-access-connector-templates.s3.amazonaws.com/ztna-connector-aws.yaml \
  --parameters \
    ParameterKey=VpcId,ParameterValue=vpc-PROD \
    ParameterKey=SubnetId,ParameterValue=subnet-PRIVATE \
    ParameterKey=InstanceType,ParameterValue=m5.xlarge \
    ParameterKey=TenantServiceGroup,ParameterValue=TSG_ID \
    ParameterKey=ConnectorName,ParameterValue=dc-east-connector-01

# 验证连接器注册
# Strata Cloud Manager > Prisma Access > ZTNA Connectors
# 状态应显示 "Connected" 并标注最近的 Prisma Access 位置

# 部署第二个连接器实现高可用
# ZTNA Connector 自动发现最近的 Prisma Access 位置
# IPSec 隧道使用：ecp384/aes256/sha512（IKE 和 ESP）
# 带宽：每个连接器最高 2 Gbps

步骤 3：定义应用程序定义和访问策略

创建应用程序定义，通过 ZTNA Connector 指向内部应用。

Strata Cloud Manager > Prisma Access > 应用程序：

应用 1：内部 Wiki
  - FQDN：wiki.internal.corp
  - 端口：TCP 443
  - ZTNA Connector：dc-east-connector-01
  - 协议：HTTPS
  - 健康检查：已启用（HTTP GET /health）

应用 2：源代码仓库
  - FQDN：git.internal.corp
  - 端口：TCP 22、443
  - ZTNA Connector：dc-east-connector-01、dc-east-connector-02
  - 协议：HTTPS、SSH

应用 3：Finance ERP
  - FQDN：erp.internal.corp
  - 端口：TCP 443
  - ZTNA Connector：dc-east-connector-01
  - 协议：HTTPS
  - 用户认证：必须（每 2 小时重新认证）

Strata Cloud Manager > 策略 > 安全策略：

规则 1：工程团队访问开发工具
  来源：用户组 "Engineering"（来自 Okta SAML）
  目标：应用 "源代码仓库"、"内部 Wiki"
  HIP 配置文件："搭载 CrowdStrike 的托管设备"
  操作：允许
  日志：已启用
  威胁防护：最佳实践配置文件

规则 2：Finance 团队访问 ERP
  来源：用户组 "Finance"
  目标：应用 "Finance ERP"
  HIP 配置文件："合规设备 - 高安全"
  操作：允许
  SSL 解密：正向代理
  DLP 配置文件："财务数据保护"

规则 3：默认拒绝私有应用
  来源：任意
  目标：任意私有应用
  操作：拒绝
  日志：已启用

步骤 4：配置主机信息配置文件（HIP）进行设备态势检查

使用 HIP 检查定义设备态势要求。

Strata Cloud Manager > 对象 > GlobalProtect > HIP 对象：

HIP 对象："CrowdStrike 运行中"
  - 供应商：CrowdStrike
  - 产品：Falcon Sensor
  - 正在运行：是
  - 最低版本：7.10

HIP 对象："磁盘加密已启用"
  - Windows：BitLocker = 已加密
  - macOS：FileVault = 已加密

HIP 对象："操作系统补丁级别"
  - Windows：>= 10.0.22631
  - macOS：>= 14.0

HIP 配置文件："搭载 CrowdStrike 的托管设备"
  - 匹配："CrowdStrike 运行中" 且 "磁盘加密已启用"

HIP 配置文件："合规设备 - 高安全"
  - 匹配："CrowdStrike 运行中" 且 "磁盘加密已启用" 且 "操作系统补丁级别"

步骤 5：向端点部署 GlobalProtect Agent

推出 GlobalProtect Agent 实现安全连接。

# 通过 Intune 部署 GlobalProtect（Windows）
# MSI 从 Strata Cloud Manager > GlobalProtect > Agent Downloads 下载

# GlobalProtect 预部署配置
# 用于自动门户连接的 pre-deploy.xml：
cat > pre-deploy.xml << 'EOF'
<GlobalProtect>
  <Settings>
    <portal>portal.company.com</portal>
    <connect-method>pre-logon</connect-method>
    <authentication-override>
      <generate-cookie>yes</generate-cookie>
      <cookie-lifetime>24</cookie-lifetime>
    </authentication-override>
  </Settings>
</GlobalProtect>
EOF

# 验证 GlobalProtect 连接状态
# GlobalProtect 系统托盘 > 设置 > 连接详情
# 应显示：已连接到最近的 Prisma Access 网关
# IPSec 隧道已建立并启用完整威胁防护

步骤 6：配置日志和监控

设置 Cortex Data Lake 集成和监控仪表板。

Strata Cloud Manager > Prisma Access > 监控：

日志转发：
  - Cortex Data Lake：已启用（所有日志类型）
  - SIEM 转发：Splunk HEC（https://splunk-hec.company.com:8088）
  - 日志类型：流量、威胁、URL、WildFire、GlobalProtect、HIP 匹配

仪表板监控：
  - 移动用户：活跃连接、位置、带宽
  - ZTNA Connector：健康状态、延迟、隧道状态
  - 安全事件：已阻断威胁、DLP 违规、HIP 失败
  - 应用使用情况：热门应用、活跃用户、拒绝访问尝试

告警：
  - ZTNA Connector 宕机：邮件 + PagerDuty
  - HIP 失败率 > 10%：邮件通知 IT
  - 移动用户检测到威胁：SOC 告警

核心概念

术语	定义
Prisma Access	Palo Alto 的云交付 SASE 平台，从单一架构提供 FWaaS、SWG、CASB、DLP 和 ZTNA
ZTNA Connector	基于虚拟机的连接器，从内部网络到 Prisma Access 建立 IPSec 隧道，用于私有应用访问
GlobalProtect	端点 Agent，提供与 Prisma Access 的安全连接，包含 HIP 检查和始终在线 VPN
Host Information Profile（HIP）	授权访问前评估端点安全状态（EDR、加密、补丁）的设备态势检查
Strata Cloud Manager	Prisma Access、NGFW 和 Prisma Cloud 安全策略的统一管理控制台
Cortex Data Lake	适用于 Palo Alto 安全遥测的基于云的日志存储和分析平台

工具与系统

Prisma Access：集成 ZTNA、SWG、CASB、DLP、FWaaS 的云交付 SASE
Strata Cloud Manager（SCM）：跨 Palo Alto 安全产品的统一策略管理
GlobalProtect Agent：具有 HIP 数据采集功能的端点连接 Agent
ZTNA Connector：用于内部应用访问的仅出站隧道连接器
Cortex Data Lake：具有分析和威胁检测能力的集中式日志存储
WildFire：集成到 Prisma Access 的基于云的恶意软件分析和防护

常见场景

场景：5000 名用户的企业 SASE 迁移

场景背景：一家拥有 5000 名用户、分布在 15 个办公室的制造企业，正在将 VPN、SWG 和分支防火墙整合到 Prisma Access SASE 中。用户需要访问 50 多个内部应用，并且无论在何处都需要一致的安全保障。

方法：

在 3 个数据中心部署 ZTNA Connector（每个数据中心 2 个实现高可用）以访问内部应用
配置 GlobalProtect 使用预登录连接实现始终在线安全
在 SCM 中定义 50 多个包含 FQDN 和端口映射的应用程序定义
创建 HIP 配置文件：标准（加密 + AV）、增强（+ CrowdStrike + 补丁）
构建安全策略，将用户组映射到应用程序并附带 HIP 要求
启用威胁防护配置文件（防间谍软件、防病毒、WildFire、URL 过滤）
通过 SCCM 分阶段向所有 5000 个端点部署 GlobalProtect Agent
配置 Cortex Data Lake 向 Splunk 转发日志供 SOC 监控
下线 VPN 集中器和分支防火墙设备

常见陷阱：ZTNA Connector 至少需要 4 vCPU 和 8GB RAM，配置不足会导致延迟。GlobalProtect 预登录需要机器证书在用户登录前进行认证。HIP 检查间隔应最少为 60 秒以避免性能影响。在全面部署前需规划 4-6 周的试点周期。

输出格式

Prisma Access ZTNA 部署报告
==================================================
组织：ManufactureCorp
部署日期：2026-02-23

基础设施：
  ZTNA Connector：6（2x DC-East、2x DC-West、2x DC-EU）
  Prisma Access 位置：8（自动选择）
  GlobalProtect 门户：portal.manufacturecorp.com

应用访问：
  已定义应用：52
  活跃 ZTNA 连接：3,247
  平均延迟：12ms

端点部署：
  GlobalProtect 已部署：4,812 / 5,000（96.2%）
  HIP 合规：4,567 / 4,812（94.9%）
  HIP 失败：245（主要原因：缺失补丁 120，加密问题 85）

安全状态（过去 30 天）：
  已阻断威胁：1,234
  DLP 违规：89
  URL 已拦截：45,678
  WildFire 提交：2,345