Deploys Software-Defined Perimeter (SDP) for zero-trust access using CSA v2.0 spec, SPA, mTLS, controllers, gateways, and NIST SP 800-207 verification. For identity-centric network security.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
---
Deploys Software-Defined Perimeter per CSA v2.0 with SPA, mutual TLS, controller/gateway config to enforce zero trust network access.
Deploys Software-Defined Perimeter using CSA v2.0 spec with Single Packet Authorization, mutual TLS, SDP controller/gateway for zero trust network access. Use for ZTNA setups.
Implements Zero Trust Network Access (ZTNA) with Zscaler Private Access: deploys Client/App Connectors, configures app segments, access policies, IdP integration to replace VPNs. For securing private apps without network exposure.
Share bugs, ideas, or general feedback.
domain: cybersecurity subdomain: zero-trust-architecture author: mahipal tags: [zero-trust, sdp, software-defined-perimeter, network-access, ztna] difficulty: advanced estimated_time: 4-6 hours prerequisites:
软件定义边界(Software-Defined Perimeter,SDP)通过围绕各个资源创建动态配置的、以身份为中心的边界来实现零信任。由云安全联盟(CSA)定义,SDP 通过"暗云"方法使未授权用户无法看到应用基础设施,即在认证和授权之前服务处于隐藏状态。与传统 VPN 不同,SDP 在经过验证的用户与特定应用之间建立一对一加密连接。
本技能涵盖使用 CSA v2.0 规范部署 SDP、实施单包授权(Single Packet Authorization,SPA)、配置 SDP 控制器和网关,以及根据 NIST SP 800-207 要求验证部署。
┌─────────────────────┐
│ SDP 控制器 │
│ - 认证 │
│ - 授权 │
│ - 策略管理 │
│ - 密钥管理 │
└──────────┬──────────┘
│
┌──────┴──────┐
│ │
v v
┌────────┐ ┌────────────┐
│ IH │ │ AH │
│(客户端)│ │(网关) │
│ │ │ │
│ SPA │──│ 受保护 │
│ mTLS │ │ 资源 │
└────────┘ └────────────┘
IH = 发起主机(Initiating Host,用户设备)
AH = 接受主机(Accepting Host,应用网关)
SPA = 单包授权(Single Packet Authorization)
SPA 是一种网络安全机制,SDP 网关默认丢弃所有 TCP/UDP 数据包。在建立任何连接之前,必须发送经过密码签名的单个数据包。网关验证 SPA 数据包后,才为经过身份验证的会话临时开放端口。这使网关对端口扫描器不可见。
SPA 验证后,客户端和服务器使用 X.509 证书相互认证。这种双向认证防止中间人攻击,确保两个端点都经过验证。
SDP 连接基于实时策略评估按需配置。不存在持久性网络隧道;每个会话都单独授权和加密。
部署 SDP 控制器
配置认证
定义访问策略
部署接受主机(网关)
配置应用定义
部署发起主机(客户端)
验证端到端流程
安全测试
监控与维护