今天 Cloudflare 迎來重大里程碑!不僅僅是 Security Week,更是 Cloudflare 邁入全新功能領域的重要時刻。我們的目標是全面提升使用者與產品的互動體驗,幫助使用者從我們的各項產品與服務中獲得更大價值。
我們很高興地與您分享我們如何將 AI 功能嵌入到您熟悉且喜愛的 Cloudflare 產品的管理之中。我們的第一個任務是:聚焦安全性,簡化規則和原則管理體驗。目標是自動執行對 Cloudflare WAF 中的自訂規則和 Cloudflare One 中的 Gateway 原則進行審查與背景資訊分析等耗時而繁瑣的工作,讓您能夠即時瞭解每個原則的作用、存在的漏洞,以及需要採取的改進措施。
認識 Cloudflare 的第一個 AI 主體 Cloudy
我們邁向全面 AI 驅動產品體驗的第一步是推出 Cloudy,這是 Cloudflare AI 主體的首個版本,提供助手功能,旨在幫助使用者快速理解並改善產品套件中多個方面的 Cloudflare 設定。您將開始在儀表板中看到 Cloudy 功能無縫嵌入到兩款 Cloudflare 產品中,詳見下文。
雖然 Cloudy 這個名字給人輕鬆有趣的感覺,但我們的目標更為嚴肅:將 Cloudy 和 AI 驅動的功能引入 Cloudflare 的每個角落,最佳化使用者操作和管理其最愛的 Cloudflare 產品的方式。Cloudy 現在已對所有使用 WAF 和 Gateway 產品的客戶可用,讓我們從這兩款產品說起。
WAF 自訂規則
讓我們從 AI 支援的 WAF 自訂規則開始。先為不熟悉的朋友簡單介紹一下,Cloudflare 的 Web 應用程式防火牆 (WAF) 協助保護 Web 應用程式免受 SQL 資料隱碼攻擊、Cross-site scripting (XSS) 等攻擊以及其他漏洞。
WAF 的一個具體功能是能夠建立 WAF 自訂規則。這允許使用者定制安全性原則,以根據特定屬性或安全性條件來封鎖、質詢或允許流量。
然而,如果客戶在組織中部署了數十甚至數百條規則,要清楚瞭解其安全狀態可能頗具挑戰性。規則設定隨時間而演變,通常由不同的團隊成員管理,這可能導致潛在的低效率和安全漏洞。還有什麼問題比這更適合由 Cloudy 來解決的呢?
讓我們介紹由 Workers AI 提供技術支援的 Cloudy 將如何協助您審查 WAF 自訂規則,並提供設定情況的摘要。Cloudy 也將協助您識別和解決以下問題:
識別多餘的規則:識別多個規則執行相同功能或使用類似欄位的情況,幫助您簡化設定。
最佳化執行順序:發現規則順序影響功能的情況,例如終止規則(封鎖/質詢動作)阻止執行後續規則。
分析衝突規則:偵測規則相互抵消的情況,例如一個規則封鎖另一個規則允許或記錄的流量。
識別停用的規則:突出顯示處於停用狀態的潛在重要安全性規則,幫助確保關鍵保護不會意外處於非作用狀態。
Cloudy 不僅僅是對您的規則進行總結,還會分析規則之間的關係和互動,以提供可執行的建議。對於管理複雜自訂規則集的安全團隊而言,這意味著減少花費在設定稽核上的時間,同時增強對安全防護的信心。
我們希望展示對所有使用者可用的 Cloudflare AI 主體可如何增強 Cloudflare 產品的可用性,從 WAF 自訂規則開始,卻並不會結束於此。
Cloudflare One 防火牆原則
我們也在我們的 SASE 平台 Cloudflare One 中新增了 Cloudy,企業可以使用該平台從單一儀表板管理員工和工具的安全性。
在 Cloudflare Gateway(我們的安全 Web 閘道產品)中,客戶可以設定原則來管理員工在網際網路上開展工作的方式。這些 Gateway 原則可以封鎖對惡意網站的存取、防止資料丟失違規以及控制使用者存取等。
但與 WAF 自訂規則類似,隨著時間推移,Gateway 原則設定可能變得過於複雜而無法充分發揮作用,存在已被遺忘且作用不明的陳舊原則。多個選擇器和運算子以非直觀方式工作。有些封鎖流量,有些則允許流量通過。原則包含幾個使用者群組,卻又排除了一些特定員工。我們甚至看到了可以在一個步驟中封鎖數百個 URL 的原則。總而言之,管理多年累積的 Gateway 原則可能會令人不堪重負。
那麼,何不讓 Cloudy 以簡明扼要的方式總結 Gateway 原則呢?
Cloudy 對所有 Cloudflare Gateway 使用者(在這裡建立免費的 Cloudflare One 帳戶)可用,現在可為您提供任何 Gateway 原則的快速摘要。現在,管理員可以更輕鬆地快速瞭解每項原則,從而快速識別設定錯誤、多餘控製或其他待改進的領域,並自信地進行下一步操作。
基於 Workers AI 建置
這項新功能的核心是 Cloudflare Workers AI(沒錯,就是大家都在使用的同一個版本!),其利用先進的大語言模型 (LLM) 處理海量資訊;在此使用案例,就是原則和規則資料。一直以來,對於任何安全團隊而言,手動審查和分析複雜的設定都是一項極具挑戰性的任務。透過 Workers AI,我們實現了這個流程的自動化,將原始設定資料轉化為一致、清晰的摘要和可執行的建議。
運作方式
Cloudflare Workers AI 從您的 Cloudflare 設定中擷取原則和規則設定,並將其與專門設計的 LLM 提示詞組合在一起。我們利用為客戶提供的同一公開可用的 LLM 模型,然後使用一些額外的資料來進一步豐富提示詞,為其提供背景資訊。對於分析和總結原則與規則資料的這一特定任務,我們向 LLM 提供以下資訊:
原則和規則資料:這是主要資料本身,包括原則/規則的當前設定,以供 Cloudy 進行總結和提供建議。
有關產品功能的文件:我們為模型提供有關每個產品可能的原則/規則設定的其他技術詳細資料,讓模型瞭解哪些建議在其範圍之內。
豐富資料集:對於 WAF 自訂規則或 CF1 Gateway 原則引用其他「清單」的情況(例如,WAF 規則引用多個國家/地區,或 Gateway 原則利用特定內容類別),必須先將所選清單項目從 ID 轉換為純文字,以便 LLM 能夠準確解釋實際使用的原則/規則值。
輸出指令:我們向模型指定我們想要接收輸出的格式。在本使用案例中,我們使用 JSON 來實現最便捷的資料處理。
其他說明:最後,我們明確指示 LLM 確保其輸出的準確性,並將此視為最重要的考量。透過這種方式,我們確保最終輸出中不會出現幻覺。
透過對您的 WAF 自訂規則和 Gateway 原則進行自動分析,Cloudflare Workers AI 不僅可為您節省時間,還可透過降低人為錯誤風險來增強安全性。您將取得清晰、可操作的見解,從而最佳化設定、快速識別異常,並維持強大的安全狀態——而且完全無需繁瑣的手動審查。
Cloudy 的後續計畫
現已向所有 Cloudflare 客戶提供 Cloudy 的測試版預覽,但這只是我們為整個產品套件所構想的 AI 驅動功能的起點。
在 2025 年的剩餘時間裡,我們計劃在 Cloudflare 的其他領域逐步推出更多 AI 主體功能。這些新功能不僅可以幫助客戶更有效率地管理安全性,還將提供智慧建議,以最佳化效能、精簡營運並增強整體使用者體驗。
在您體驗 Cloudy 和這些全新 AI 功能後,我們很期待聽到您的想法——歡迎將回饋傳送至 cloudyfeedback@cloudflare.com,也可在 X、LinkedIn 或 Mastodon 上以 #SecurityWeek 標籤發佈您的意見!您的回饋將幫助我們制定 AI 增強路線圖,並將為使用者帶來更智慧、更有效率的工具,協助每個人獲得更安全的體驗。
