Carousell

Zero Trust von Cloudflare sichert die internen Netzwerke von Carousell ab und gewährleistet einen reibungslosen Remote-Zugang für Mitarbeitende

Im Jahr 2012 hatten Quek Siu Rui, Lucas Ngoo und Marcus Tan eine Idee: ein Smartphone- und Web-basierter Marktplatz, auf dem das Kaufen und Verkaufen per Chat und Schnappschüssen kinderleicht funktioniert. Mit Carousell haben sie dieses Konzept in die Realität umgesetzt.

Heute ist Carousell einer der größten Online-C2C-Marktplätze Asiens. Die Firma gehört zu den führenden Lifestyle-Shopping-Apps in Singapur, Hongkong und Taiwan; ihre Präsenz in Indonesien, Malaysia, Australien und auf den Philippinen wächst rasant. Auf der Carousell-Website wechseln Autos, Immobilien, Mode, Haushalts- und Hilfsgeräte sowie Elektronik den Besitzer. Außerdem finden sich dort Stellenanzeigen und Inserate für Dienstleistungen aus einer stetig wachsenden Zahl an Branchen.

Gut ein Viertel der Bevölkerung in Singapur nutzt Carousell und dieser Anteil wächst, denn immer mehr Einwohner des Stadtstaats und Nutzer aus anderen Ländern entdecken die Website für sich.

Die Cloudflare-WAF und das globale Cloud-Netzwerk: eine erfolgreiche Partnerschaft seit 2016

Im Jahr 2016 hat sich Carousell an Cloudflare gewandt, um monatlich mehr als 1 PB an Bildinhalten bereitzustellen und eine reibungslose Nutzererfahrung zu bieten. Dank Cloudflare konnte Carousell die mit einem Anstieg des Traffics einhergehenden hohen Anforderungen an die Performance erfüllen, indem zu Zeiten starken Datenverkehrsaufkommens – etwa während regelmäßiger Blitz-Verkaufsaktionen – die Erreichbarkeit sichergestellt wurde. Carousell nutzt Cloudflare bei Bedarf zum Zwischenspeichern dynamischer Seiten und kann so mühelos mehr als das Dreifache des normalen Traffic-Volumens bewältigen. Eine Performance auf diesem Niveau konnten andere CDN-Provider trotz höherer Kosten und ähnlicher Datenmengen nicht vorweisen.

„Am Anfang unserer Beziehung zu Cloudflare stand eine Lösung für unseren DNS- und SSL-Entschlüsselungsbedarf. Dann haben wir begonnen, uns mit Cloudflare Cache zu beschäftigen und unsere Assets von einem anderen CDN zu migrieren“, erläutert Sanjeev Jaiswal, Senior Director of DevOps, SR (Site Reliability), Platform and Cybersecurity Engineering bei der Carousell Group. „Jetzt werden unsere Inhalte zu 100 % zwischengespeichert. Das globale Edge-Netzwerk von Cloudflare erfüllt unsere Bedürfnisse im Hinblick auf CDN, WAF, Caching, SSL-Endpunkte und DNS. Cloudflare hilft uns, unsere geschäftlichen Ziele zu erreichen, und bietet ein hervorragendes Kosten-Nutzen-Verhältnis.“

Cloudflare hat nicht nur eine Beschleunigung und Skalierung der Plattform ermöglicht, sondern schützt sie auch vor volumetrischen Bedrohungen wie DDoS-Angriffen und ressourcenintensiven Bots sowie vor schädlichen Aktivitäten wie Cross-Site Scripting (XSS). Mithilfe gebündelter Bedrohungsinformation aus verschiedenen Quellen erkennt und stoppt die Web Application Firewall (WAF) bösartige Anfragen. Das gibt Carousell die Möglichkeit, sich durch vorausschauendes Handeln vor Angriffen zu schützen und die Anwendungsverfügbarkeit zu gewährleisten.

„Die WAF von Cloudflare deckt mit OWASP (Open Web Application Security Project)-Regeln und Spezialregeln alle unsere Bedürfnisse ab. Es ist auch kein Problem, benutzerdefinierte Regeln hinzuzufügen. Cloudflare passt daher perfekt zu uns“, so Jaiswal weiter. „Das Aktivieren der Firewall-Funktionen hatte keine messbaren Auswirkungen auf die Latenz. Die Sicherheitsfunktionen von Cloudflare haben die Gesamtperformance unserer Website nicht beeinträchtigt und die Nutzererfahrung verschlechtert sich trotz Einführung weiterer Kontrollmechanismen nicht. Aus unserer Sicht ist das einer der größten dauerhaften Vorteile beim Einsatz von Cloudflare.“

Cloudflare Zero Trust löst mitarbeitendenbezogene Sicherheitsprobleme

Ab 2019 hat Carousell schrittweise die Arbeit im Homeoffice eingeführt, um sich den Bedingungen der Covid-19-Pandemie anzupassen und der wachsenden Zahl an im Ausland ansässigen Beschäftigten und Dienstleistern Rechnung zu tragen. Angesichts dieses grundlegenden Wandels hat Carousell mit einer strategischen Neubewertung der eigenen Betriebssicherheit begonnen. Dadurch ist der Schutz interner Infrastruktur bei gleichzeitiger Gewährleistung eines sicheren Zugriffs der Beschäftigten auf Firmenanwendungen wieder stärker in den Fokus gerückt.

„Wir betrachten alles mit neuem Blick, erweitern unsere IT-Sicherheitsabteilung, arbeiten mit externen Prüfern an der Einführung neuer Sicherheitsrichtlinien und beteiligen uns an einem „Bug Bounty“-Programm mit Forschenden aus dem Bereich IT-Sicherheit und ethischen Hackern“, erläutert Jaiswal. „Anhand der aus diesen Initiativen gewonnenen Erkenntnisse wollen wir die Website-Funktionen erweitern und den Zugriff sowohl auf die Infrastruktur als auch auf die Anwendungen von Carousell verbessern sowie im gleichen Zuge unsere Identitäts- und Zugriffsrechteverwaltung verfeinern.“

Vor der Zusammenarbeit mit Cloudflare hatte das Unternehmen einen Wettbewerber in Erwägung gezogen, der sich früh dem ZTNA (Zero Trust Network Access)-Modell verschrieben hat. Doch letztlich erwies sich die betreffende Lösung sowohl hinsichtlich ihrer Einführung als auch unter Endnutzerperspektive als zu kompliziert.

„In Bezug auf Sicherheit oder Leichtigkeit des Zugangs war die Carousell-Architektur nicht besonders gut. Wir wollten diese Schwerfälligkeit und Komplexität in unserem neuen Modell nicht reproduzieren“, so Jaiswal. „Bei der anderen von uns erwogenen Lösung war die Implementierung viel zu kompliziert. Sie hätte mehrere Befehlszeilenparameter für den einfachen SSH-Zugriff auf ein einzelnes Geräte erfordert. Die Zero Trust-Lösung von Cloudflare war im Gegensatz dazu leicht einzuführen und sehr gut definiert.“

Carousell hat Cloudflare Zero Trust implementiert, um den Zugang zu den internen Anwendungen, Websites und Domains in Cloud- und On-Premise-Umgebungen zu schützen. Sie hat die Bedenken zerstreut, die das Unternehmen hinsichtlich der Verwendung riskanterer alternativer Zugriffsmethoden wie IP- oder Geolokations-basierter Kontrollen oder Sammelpasswörtern hegte.

Dank Cloudflare kann Carousell jetzt zur Gewährung des Anwendungszugriffs den von der Firma bevorzugten Identitätsanbieter nutzen. Administratoren sind zudem in der Lage, anhand der Funktion des Nutzers im Unternehmen und dessen Gruppenzugehörigkeit für jede Anwendung individuell robustere Sicherheitsrichtlinien zu entwickeln. Dadurch konnte Carousell sich vom herkömmlichen VPN als einzigem Zugangsweg verabschieden und wieder einen Überblick über sämtliche Zugriffsereignisse erlangen.

Für Carousell hat sich die Umstellung auf die Zero Trust-Lösung von Cloudflare sofort ausgezahlt. Sowohl die Beschäftigten, die sich bei Anwendungen authentifizieren, als auch das IT-Sicherheitsteam, das den Zugang konfiguriert, spart Zeit und kann effizienter arbeiten.

„Cloudflare optimiert den Remote-Zugriff unserer Entwickler und erhöht die Produktivität. Früher mussten sie VPN-Profile herunterladen, Zugriffsrechte konfigurieren und ermitteln, mit welcher Ressource sie sich verbinden müssen. Nun bietet ihnen die Zero Trust-Lösung einen einzigen, leicht zu konfigurierenden Agenten mit vordefiniertem Routing. Der Zugriff auf unsere Betriebs- und Nicht-Betriebsressourcen erfolgt mühelos. Allein schon dadurch sparen wir pro Nutzer mindestens 15 Minuten im Monat“, so Jaiswal.

„Noch weitaus größer sind die Einsparungen aber beim SRE-Team. Wir müssen uns nicht mit der Fehlerbehebung beschäftigen oder uns um die Aufrechterhaltung mehrerer unzuverlässiger VPN-Tunnel für verschiedene Betriebsumgebungen kümmern“, fügt er hinzu. „Cloudflare erspart uns Stunden mühsamer Arbeit und Reibungsverluste. Dadurch haben wir mehr Zeit, uns auf größere Projekte und Initiativen zu konzentrieren.“

Seit der Einführung des Zero Trust Network Access ist auch der Zeitaufwand für die Pflege interner Sicherheitsrichtlinien bei Carousell gesunken. Bei einer zentral organisierten Verwaltung können Benutzerrollen unkompliziert erstellt und auf dem aktuelle Stand gehalten werden. Genauso leicht lassen sich Zugriffsrechte widerrufen, wenn die Personalfluktuation dies erforderlich macht.

„Cloudflare verknüpft die Anmeldedaten der Anwender mit ihrer Benutzerrolle. Dadurch ist es für die SRE-Abteilung ganz leicht, Profile zu deaktivieren und zu löschen und den Zugriff auf die Firewall zu unterbinden, wenn jemand aus dem Unternehmen ausscheidet“, erkärt Jaiswal. „Dass es nur diese eine Verwaltungsschnittstelle gibt, vereinfacht die Sache ganz erheblich.“

Carousell hat mit 500 Zero Trust-Lizenzen begonnen und will dies nun auf 800–1.000 Beschäftigte verschiedener Geschäftseinheiten aus dem technischen Bereich und anderen Abteilungen ausweiten.

Das SRE-Team von Carousell untersucht außerdem gerade, wie sich die Durchsatzbegrenzung von Cloudflare in die bestehende Cloud-Infrastruktur des Unternehmens integrieren lässt. Geplant ist, ein Konkurrenzprodukt zu ersetzen, das bis zu fünfmal teurer ist, aber so gut wie identische Services bietet.

Jaiswal hatte noch nicht mit Cloudflare-Lösungen gearbeitet, verfügte aber über reichlich Erfahrung mit vergleichbaren Konkurrenzprodukten. Ihn beeindruckte besonders die Benutzerfreundlichkeit und der kontinuierliche Kunden-Support von Cloudflare.

„Mithilfe gut verständlicher Onboarding- und Schulungs-Tutorials von Cloudflare waren wir in der Lage, eigene interne Videos zu erstellen und so den Lernprozess zu beschleunigen“, erklärt er. „Wichtiger noch: Die Kundenbetreuenden von Cloudflare kommunizieren sehr gut, ob es nun um die Beantwortung von Fragen, die Lösung von Problemen oder sogar über Auskünfte zu geplanten Produkteinführungen geht.“

„Cloudflare stellt auf effiziente Weise eine komplexe Sicherheitslösung nach dem Zero Trust-Prinzip bereit, die benutzerfreundlich und absolut zuverlässig ist“, ergänzt Jaiswal. „Sie ist günstiger, sofort einsatzbereit und fügt sich nahtlos in unsere bestehende Cloud-Umgebung und Infrastruktur ein.“