Carousell

通过 Cloudflare Zero Trust 保护 Carousell 的内部网络,并提供无缝的远程员工访问

2012 年,Quek Siu Rui、Lucas Ngoo 和 Marcus Tan 想到了一个主意:一个基于智能手机和 Web 的市场,使购买商品就像聊天一样容易,让出售商品像拍照一样轻松。Carousell 把以上想法变成了现实。

今天,Carousell 是亚洲最大的 C2C 电子商务市场之一。它是新加坡、香港和台湾最受欢迎的生活方式购物应用之一,并在印尼、马来西亚、澳大利亚和菲律宾迅速发展。Carousell 用户通过该网站购买汽车、房产、时装、家用电器、辅助设备和电子产品。该网站也提供招聘信息和各种服务,涉及行业范围正在不断扩大。

超过四分之一的新加坡人口使用 Carousell,随着越来越多的新加坡和国际用户被吸引到该网站,这个数字还在继续增长。

Cloudflare WAF 和全球云网络——始于 2016 年的成功合作

2016 年,Carousell 转向 Cloudflare,每月服务超过 1 PB 的图像,为其客户提供流畅的用户体验。随着流量的增加,Cloudflare 使 Carousell 能够满足其高强度的性能要求,确保在公司定期闪卖等高流量活动期间的正常运行。通过使用 Cloudflare 按需缓存动态页面,Carousell 能够毫无压力地处理 3 倍于其典型流量的峰值——竞争 CDN 提供商同样数据量的费用更高,但无法达到这一性能水平。

Carousell Group 的 DevOps、SRE(站点可靠性)、平台与网络安全工程高级总监 Sanjeev Jaiswal 表示:“我们与 Cloudflare 最初合作是为我们的 DNS 和 SSL 终止要求提供一个解决方案。随后,我们开始探索 Cloudflare Cache,并开始将我们的资源从另一个 CDN 迁移过来。”现在我们的 100% 内容已经被缓存。Cloudflare 的全球边缘网络处理我们的 CDN、WAF、缓存、SSL 端点和 DNS 需求。Cloudflare 帮助我们实现业务目标,并为我们的投资带来了极好的回报。”

除了加速和扩展平台,Cloudflare 还保护 Carousell 免受 DDoS 攻击和消耗资源的机器人等大规模安全威胁,以及跨站脚本(XSS)等恶意活动。Cloudflare Web 应用程序防火墙 (WAF) 利用集体威胁情报来识别和阻止恶意请求,使用户能够主动防御传入的攻击并确保应用程序的可用性。

Jaiswal 回忆道,“Cloudflare WAF 提供 OWASP(开放 Web 应用安全项目)和 Cloudflare 专门规则,符合我们的全部需求。我们还可以轻松添加自定义规则,使 Cloudflare 完全符合我们的需求。在打开防火墙功能后,延迟没有受到明显的影响。Cloudflare 的安全功能不会影响我们网站的整体性能,我们的用户体验也不会因为我们执行更多检查而下降。这是我们使用 Cloudflare 所获得的最大持续好处之一。”

通过 Cloudflare Zero Trust 解决员工队伍安全挑战

2019 年以来,Carousell 逐步采用远程办公模式,以应对新冠大流行带来的挑战,并支持日益国际化的员工和承包商队伍。鉴于这些根本性的变化,Carousell 开始对自己的组织安全进行战略性的重新审视。这意味着需要重新专注于保护内部基础设施,同时为员工提供对企业应用程序的安全访问。

Jaiswal 说:“我们正在以全新的眼光看待一切,成立一个更大的安全团队,与外部审计人员合作,制定新的安全政策,并与安全研究人员和道德黑客一起参与漏洞赏金计划。我们的目标是,利用这些计划中取得的发现,以增强网站的能力,改善对 Carousell 基础设施和应用程序的访问,同时完善我们的身份和特权管理方法。”

在 Cloudflare 之前,该公司评估了一家竞争对手,其也是 Zero Trust 网络访问(ZTNA) 领域的早期进入者。但从采用和最终用户的角度来看,该供应商的复杂性都让人望而却步。

Jaiswal 说:“Carousell 在安全性和易用性方面并没有一个很棒的架构。这非常麻烦,我们不想在将来重复这种程度的复杂性。我们所考虑的另一个解决方案过于复杂而无法实施。对一台计算机进行简单的 SSH 访问,它也需要多个命令行参数。相比之下,Cloudflare Zero Trust 解决方案易于实施,且定义非常明确。”

Carousell 实施了 Cloudflare Zero Trust 解决方案,以保护对其内部应用程序、网站和跨云和本地域的访问。这一解决方案消除了该公司对使用风险更高的其他访问方法的担忧,如基于 IP 和地理位置的控制或全面密码。

通过 Cloudflare, Carousell 现在基于其首选身份提供者的验证授予应用程序访问权,管理员根据每个应用程序的用户角色和群组成员身份构建更强大的安全策略。在此过程中,Carousell 已经能够摆脱传统 VPN 作为单一访问点的模式,并恢复了对每个访问事件中的可见性。

Carousell 看到了 Cloudflare Zero Trust 的直接好处。无论是为访问应用而进行身份验证的员工,还是配置访问的安全团队,他们都节省了时间,提高了效率。

Jaiswal 说,“Cloudflare 简化了我们开发人员的远程连接,提高了生产效率。Zero Trust 解决方案提供了一个易于配置、具有预定义路由的代理,无需下载 VPN 配置文件、配置访问并确定它们需要连接到哪些资源。无缝连接到我们的生产和非生产资源均非常简单。仅此一项,每用户每月就至少节省 15 分钟。”

Jaiswal 继续说,“对于 SRE 团队来说,节省的时间还要多得多。我们不需要为不同的生产环境在多个不可靠的 VPN 隧道上进行故障排除和维护可用性。Cloudflare 为我们节省了数小时的痛苦和摩擦,让我们有时间专注于更大的项目和计划。”

实现 Zero Trust 网络访问还减少了 Carousell 维护内部安全策略的时间。集中式管理意味着很容易创建和维护用户角色,并能在员工离职时轻松撤销授权。

Jaiswal 说,“由于 Cloudflare 将用户凭据与他们的角色关联起来,当员工离开时,SRE 团队禁用和删除帐户并禁止防火墙访问是一件很简单的事情。单点管理大大简化了工作。”

Carousell 最初拥有 500 个 Zero Trust 许可证,目前正在寻求在整个业务部门将许可证数量扩展到总计 800-1000 名技术和非技术员工。

Carousell SRE 团队还在探索将 Cloudflare 速率限制(Rate Limiting)与现有云基础设施集成的方法。他们打算取代一款价格高达 5 倍但功能几乎相同的竞争产品。

虽然 Jaiswal 过去从未使用过 Cloudflare 解决方案,但在声称提供类似服务的产品方面拥有丰富经验,因此他对 Cloudflare 的易用性和持续的客户支持感到印象深刻。

他说:“根据 Cloudflare 条理清晰的入门教程和培训资料,我们能够制作自己的内部视频来加速学习曲线。更重要的是,从回答咨询到解决我们的问题,甚至提供未来的路线图公告,Cloudflare 的客户团队沟通良好。”

Jaiswal 补充说:“Cloudflare 提供综合全面的 Zero Trust 安全解决方案,易于使用且高度可靠。其成本更低,开箱即用,与我们现有云环境和基础设施无缝集成。”

Carousell
相关案例研究
主要成果
  • 每位开发人员每月节省超过 15 分钟,同时提高员工生产力,解放 Carousell SRE 团队以更加专注于关键业务项目

  • 取代传统 VPN,提高生产力,并无缝地保护开发人员对内部资源和基础设施的访问

  • 增强站点安全,但不会增加站点延迟,也不会影响用户体验

  • 简化安全合规,从单一管理点跟踪整个组织范围内的访问事件并轻松进行审计

Cloudflare 提供综合全面的 Zero Trust 安全解决方案,易于使用且高度可靠。其成本更低,开箱即用,与我们现有云环境和基础设施无缝集成。

Sanjeev Jaiswal
DevOps、SRE、平台与网络安全工程高级总监

Cloudflare Zero Trust 用易于配置的单一代理和预先定义的路由取代传统 VPN,简化我们开发人员的远程连接,提高生产效率。

Sanjeev Jaiswal
DevOps、SRE、平台与网络安全工程高级总监