如何在云环境中实现移动化、高效化的云管理？从云WAF到第三方域名，这些趋势如何共同推动数据安全与系统优化？｜总第280周

0x1本周话题

话题一：请教一下，多套云waf以及多套三方域名，这种如何集中管理合适一些？

A1:尽量收敛到一个平台，如果是强安全考虑，应该是异构模式，而不是分散模式.

A2:有没有一些较好的来源平台能够支撑？之前用过一些多云资产管理的，偏向于服务器类的，域名、waf、证书管理的没见过。

A3:域名可以搞融合dns类的产品，几家云厂商都有类似的半免费产品。也可以自己写，只要有API，哼哧哼哧就出来了。

A4:你这多套WAF你如何保证你的防护一致性？我的建议是赶紧说服领导整合成一套。寄望整合平台管理多个其实不是一个好的做法。要不就自己整一个。

A5:如果多云是客观事实，那waf没法一套。业务需求，没得办法，在国外多云管理是一个创业方向。

A6:云WAF为什么不能走一套？

A7:waf可以选择其中一个，A云的waf，B云C云都可以用。

Q：有一些流量包很大，我想让waf把大的包也监测，我的waf应该咋搞？我想到的就是把waf变成分布式，另一个有没有能够实现挂起的机制？

A8:大多WAF面对大包只能抛弃。

Q：云d的能够实现解大包吗？

A9:对。云WAF就是一个A而已，所以，一般而言不需要整多套云WAF，首先你就无法保证多套云WAF的防御能力，更不用讲管理了。

A10:能不能处理大包，这个应该和waf的产品有关吧。看看支不支持流式处理。就算不支持，你可以旁路镜像出来，让旁路设备分析。

A11:可以的，选择都走A或者T，回源地址配一下就好了。

A12:私有云怎么部署的云D？请求体大小限制是多少？

A13:不同waf到底用一套还是多套，主要取决于预算，不同云之间的带宽费用有时候比再部署一套还要贵。

A14:第一处理超大包会增加WAF的CPU和内存负载，可能导致延迟升高。第二，大包处理都有限制，没有可能无限制。你是想DDOS自己吗？

A15:就是有些包，客户也想检测。如果真需要，就旁路镜像出来，让旁路设备分析，或者OSS分片支持才可以。

A16:这个需要研究一下，看看有没有这个条件。

话题二：《美团内部已经开始推广使用Cursor，大厂也开始重视AI编程了》

A1:大模型如火如荼，甲方的态势感知、代码审查应该都能用上，咋感觉安全圈好像很安静。

A2:去年一所举办的管理网络安全论坛，讨论很多。现在都是私域讨论很热烈很深入。公开的几乎没有，三五年前那种公开讨论和分享的已经绝迹了。

A3:因为真的效果很好，当下都在埋头拼干，过段时间就有了。什么时候把大模型服务器价格干到白菜价，要不然一般人用不起。

A4:凡是一项新技术出现，应该首先赋能业务、提高生产效率和收入，而不是赋能安全和风险控制。要真是这样，业务和效率是不会有提升的。大公司不说了，中小公司搞了点算力，你说老板会让你先用于业务，还是用于态势感知、代码审查？

A5:生产领域也用的蛮广泛了。

《面向未来的 AI 研发和前端领域大模型》

A6:主要是大家都用ds了，你不用就感觉落后了，虽然用了也没啥优势了，因为大家都用了。

A7:我能想到安全领域代码审计和态势感知可能比较有用。

A8:ds就像《葵花宝典》，不练就落后了。

A9:一本正经胡说八道的还挺多，引用的文献很多都是编造的，标注的链接点过去也没看到引用的内容。从文章结构，逻辑，乍一看还是能唬住人的。

Q：所以我挺好奇市政府怎么落地的？

A10:不用来写科学文章就好，策划一些活动，旅游攻略还不错。

A11:市政府都能提效80%，缩短90%。政府绝大多数文件的绝大多数内容其实就是无意义的废话，而LLM很擅长这个。

A12:有些建议意见、不需要权威解释的文本生成还是可以接受的，90%准确率。光新华社的这一个新华妙笔工具就能省掉多少人工。

Q：关键他们生成的建议是错的咋办？

A13:工作中多干点不是人干的事，就可以避免被干人事的ai替换掉。

A14:我觉得，负向业务（风险治理）的工作，按理说是永无止境做不完的AI节约下来的人力应该可以去补更多的漏洞，最终还是业务发展，编制保留，大环境不好，编制收缩。

A15:以那个新闻为例，公文分办，原本你需要读公文，判断该谁干，协调压力非常大。现在ds全自动分配，如果分错了，反馈，你轻松了，而且ai还干不掉你，需要你来仲裁。

Q：这些东西让ai来写，那为什么还要写呢？谁还愿意读，写给谁看呢？

A16:AI只能做公文规范审核，内容得你写啊，上头让报成效，报数，实绩得你提供啊，AI做个套头省你事罢了，又不是瞎编。

A17:想到一个场景，让大模型把监管制度都分析一下，看看有多少是打架的，有多少是层层加码的。

A18:zf在做了。只要不违反立法法，与上位法不冲突就没问题。现在这个浪潮，至少银行这种机构，没应用也得上，别管真的有多少用，就理解为长远规划吧。

A19:肯定有用的啊。代码辅助生成，效果很好啊，ai测试也是。安全这边这里只是数据太多，大模型性能不行而已，而且对于国内，工资太低，硬件成本又过高。

A20:看自己需要，现在应用层做点小事还是可以的。这些都是要有配套的工具和工作机制的，软硬件简单，人才是运营成本最高的那部分。

A21:分享下某群群友的一个搞笑发现：“太好笑了，我刚在看agentforce，salesforce出的agent平台。它有一个roi计算器，告诉你用agentforce替代人工客服能省多少钱。当我把携程的典型客服工资和每日接待会话量放进去，用agent替代人携程3年要倒亏接近2.6亿，还是美刀。”

A22:结合国内的裁剪版性能，倒亏金额要多两三倍。主要是你不能所有都大力出奇迹，全部都满血版跑，而是要训或者挑自己适合的小模型，ai场景现在太多，但roi不清晰，一窝蜂上，有限的资源应该给谁？这个很麻烦。

A23:满血版那就是500w起了，成本不低的。

A24:不同企业不一样，对于不懂的人或者企业来讲，是政治任务。对于相对懂且有追求的技术人来讲，这是机会，领导愿意花钱给你试新东西，多好的机会。而且没效果，也是普遍现象，所以风险很低。我觉得就是应该去拥抱，否则被别人革了命，都一头雾水。

A25:真有用，长远规划只是说从架构层面，企业已经是否做好接入和灵活切换大模型的架构准备。不然，天天给你换个模型，你原来的场景是否能延续，能不能少调一些就能继续

A26:看了大家发的pr稿，聚焦在客服、在线知识库、智能问答、内部办公等场景。

A27:没那么贵，蒸馏版32b足够好了。在不联网情况下，安全事件分析，蒸馏的32b不如智谱的230b。当然不是自己蒸馏训练，都是直接通义蒸馏32b。

A28:你们是不是自己蒸馏训练的？默认的32b会觉得他傻傻的。

A29:大模型在安全领域除了【安全告警分析】、【自动化告警处置】、【钓鱼文件分析】、【生成安全分析报告】、【安全制度问答】还有啥场景？【代码漏洞检出】有案例么？

A30:有代码修补建议。

A31:的确会胡说八道。

A32:这不算胡说八道，他都告诉你他的时间了。2024年连任，基于2023年12月的语料库，写出了2024年的结论。截止2023的语料，确实会认为2024依然连任，毕竟媒体都这个导向，作为一个概率驱动的技术，这是无法避免的。智能说推理能力强，历史上连任的多。

0x2