当企业把 AI 工具引入日常工作流,一个现实问题立刻浮现——谁在用什么数据调用了模型、调用了多少、有没有违规操作?Cloudflare 最近把 Claude Compliance API 接入了自家 CASB(Cloud Access Security Broker),安全团队现在可以在 Cloudflare Dashboard 里直接查看 Claude Enterprise 的活动数据,不再需要单独登录 Anthropic 的管理后台或者手动导出日志做拼接。
CASB + Compliance API:监控逻辑怎么串起来的
Cloudflare CASB 的核心能力是替安全团队盯着 SaaS 应用——谁登录了、数据怎么流转、配置有没有松动。此前它已经覆盖了 Google Workspace、Microsoft 365、Salesforce 等主流平台。这次接入 Claude Compliance API,本质上是在 CASB 的数据采集层增加了一个新源:Anthropic 提供的合规接口把 Claude Enterprise 内部的对话统计、用量趋势、策略执行情况暴露出来,Cloudflare 拉取后统一呈现到 Dashboard 的 DLP 和 Shadow IT 视图里。
对安全团队来说,这意味着两件事:
- 统一视角:Claude 的活动不再游离在现有安全监控体系之外,可以和邮件、文档、代码仓库的审计数据放在一起看。
- 策略联动:CASB 检测到异常时(比如某个团队对话量突然飙升),可以和 Cloudflare 的 DLP 规则、Zero Trust 网络策略联动,而不是只停留在"看到问题、手动处理"的阶段。
Dashboard 里能看到什么
接入完成后,Cloudflare Dashboard 的 CASB 页面会新增 Claude Enterprise 相关的发现项(Findings),典型包括:
- 用户对话频次与用量统计——识别异常高峰或闲置账户。
- 数据分类标签命中情况——如果 DLP 规则标记了敏感数据类别,可以看到哪些对话触发了标记。
- 策略合规状态——比如是否有人尝试绕过 Anthropic 设置的 usage policy。
这些数据以时间线形式呈现,支持按团队、用户、风险等级过滤,和 Cloudflare 已有的 Shadow IT 发现逻辑一致。
实操:从开通到验证
下面用一个最小流程演示如何把 Claude Enterprise 接入 Cloudflare CASB,并用 API 验证数据确实在流转。
步骤 1:在 Cloudflare Dashboard 添加 Claude Enterprise 应用
进入 Zero Trust → CASB → Integrations,选择添加 Claude Enterprise。系统会要求你提供 Anthropic 的 OAuth 授权——这一步和添加其他 SaaS 应用一样,走标准 OAuth 流程,Cloudflare 不会拿到对话内容,只获取合规接口暴露的元数据。
步骤 2:用 API 确认集成状态
添加完成后,可以用 Cloudflare API 查看集成是否生效:
# 替换为你的 Cloudflare Account ID 和 API Token
ACCOUNT_ID="your_account_id"
API_TOKEN="your_api_token"
# 查询 CASB 已接入的应用列表
curl -s \
-H "Authorization: Bearer $API_TOKEN" \
"https://api.cloudflare.com/client/v4/accounts/$ACCOUNT_ID/casb/integrations" \
| python3 -m json.tool
返回结果中应该能看到 claude_enterprise 的条目,status 为 active。
步骤 3:拉取 Claude 合规发现项
集成激活后,CASB 会定期从 Claude Compliance API 拉取数据。你也可以手动触发一次同步并查看发现项:
# 查询 CASB Findings,过滤来源为 claude_enterprise
curl -s \
-H "Authorization: Bearer $API_TOKEN" \
"https://api.cloudflare.com/client/v4/accounts/$ACCOUNT_ID/casb/findings?app=claude_enterprise" \
| python3 -m json.tool
典型返回结构(简化):
{
"result": [
{
"id": "fnd_abc123",
"app": "claude_enterprise",
"severity": "medium",
"type": "usage_anomaly",
"description": "Team 'engineering' 对话量在过去 7 天增长 340%",
"detected_at": "2025-07-10T08:30:00Z"
}
],
"success": true
}
步骤 4:写一个简单的用量监控脚本
如果你想把 Claude 用量数据拉到内部监控系统(比如 Grafana),可以用下面这个 Python 脚本定期采集:
"""从 Cloudflare CASB API 拉取 Claude Enterprise 用量发现项,输出为 Prometheus 风格指标。"""
import os
import requests
import time
ACCOUNT_ID = os.environ["CF_ACCOUNT_ID"]
API_TOKEN = os.environ["CF_API_TOKEN"]
BASE_URL = f"https://api.cloudflare.com/client/v4/accounts/{ACCOUNT_ID}/casb"
def fetch_claude_findings():
headers = {"Authorization": f"Bearer {API_TOKEN}"}
resp = requests.get(
f"{BASE_URL}/findings",
headers=headers,
params={"app": "claude_enterprise"},
timeout=15,
)
resp.raise_for_status()
return resp.json()["result"]
def format_prometheus(findings):
lines = []
for f in findings:
severity = f.get("severity", "unknown")
lines.append(
f'casb_claude_finding{{id="{f["id"]}",type="{f["type"]}",severity="{severity}"}} 1'
)
return "\n".join(lines)
if __name__ == "__main__":
findings = fetch_claude_findings()
print(format_prometheus(findings))
运行方式:
export CF_ACCOUNT_ID="your_account_id"
export CF_API_TOKEN="your_api_token"
python3 claude_casb_monitor.py
输出可以直接被 Prometheus node exporter 的 textfile collector 采集,再在 Grafana 里做告警和可视化。
接入前需要想清楚的几件事
| 考虑点 | 说明 |
|---|---|
| 数据范围 | Compliance API 只暴露元数据(用量、策略命中、账户状态),不包含对话原文。如果你的合规要求需要审计具体 prompt 内容,还需要在 Anthropic 侧配置日志导出。 |
| 授权边界 | OAuth 授权时注意选择最小权限 scope,避免 CASB 拿到不必要的访问范围。 |
| 同步频率 | CASB 默认同步间隔是每小时一次。如果你的团队对话量极大且需要近实时告警,考虑用 API 手动拉取 + 内部脚本补充,而不是完全依赖 Dashboard 的自动刷新。 |
| 现有 DLP 规则 | 接入后检查现有 DLP 规则是否覆盖了 AI 工具场景——比如"对话中提及内部项目代号"这类规则,在 Claude 场景下可能需要调整匹配模式。 |
Cloudflare CASB 接入 Claude Compliance API,解决的是一个很具体的问题:让 AI 工具的合规监控不再游离在企业安全体系之外。如果你已经在用 Cloudflare Zero Trust 做SaaS治理,这个集成开一下 OAuth 就能跑起来;如果还没上 CASB,这倒是一个值得评估的切入点——毕竟 AI 工具的用量只会继续涨,等出了问题再补监控,成本远比现在高。