Kathmandu

Weniger Verwaltungsaufwand bei Kathmandu dank Zugriffsverwaltung, Sicherheit und serverloser Datenverarbeitung aus dem Hause Cloudflare

Kathmandu, eine internationale Einzelhandelskette mit Hauptsitz im neuseeländischen Christchurch, bietet Funktionsbekleidung und Ausrüstung für Reisende und Naturliebhaber. „Wer die Welt sehen oder seine Freizeit in der freien Natur verbringen will, findet bei uns alles, was er dafür braucht“, erklärt James Deane, Web Development Manager bei Kathmandu. Die Produkte des Unternehmens sind in nicht weniger als 130 Ländern erhältlich und ähnlich vielfältig ist auch sein Kundenkreis, zu dem der Entdecker urbaner Lebenswelten ebenso gehört wie der Weltenbummler und der Outdoor-Enthusiast. Durch die Übernahme von Rip Curl, einer renommierten australischen Marke für Surfprodukte, konnte Kathmandu im Herbst 2019 den Unternehmenswert auf rund eine Milliarde USD steigern.

Die Herausforderung: Ersatz für eine komplizierte Performance- und Sicherheitsplattform

Vor der Zusammenarbeit mit Cloudflare nutzte Kathmandu die Performance- und Sicherheitsservices von Akamai. „Diese Lösung war alles andere als benutzerfreundlich“, erinnert sich Deane. „Mir steht ja nur ein kleines Team von Computeringenieuren zur Verfügung. Unsere To-Do-Liste ist schier endlos. Wir haben einfach nicht die Zeit, uns mit einer unnötig komplizierten Performance-Plattform herumzuschlagen.“ Darüber hinaus benötigte Kathmandu zusätzlichen Schutz vor bestimmten Cyberbedrohungen. „Online-Händler geraten bevorzugt ins Fadenkreuz von Cyberkriminellen und Unternehmen wie wir, die Magento einsetzen, sind besonders bedroht. Auch im Internet gibt es organisierte Kriminalität und bestimmte Gruppen von Hackern haben sich auf Internethändler spezialisiert, die Magento einsetzen.“

Nach einem Vergleich mehrerer Lösungen entschied sich Kathmandu letztlich für Cloudflare. Ausschlaggebend waren dabei die überzeugenden Features und Möglichkeiten, aber auch die hohe Benutzerfreundlichkeit. „Dass Cloudflare das Rennen machen würde, war nicht überraschend: Die Lösung erfüllt alle unsere Anforderungen und bietet sogar noch mehr, ohne sich dabei als unnötig kompliziert zu erweisen.“ Die von Kathmandu eingekaufte Lösung umfasst die zentralen Sicherheits- und Performance-Komponenten von Cloudflare, inklusive CDN und WAF. Später fügte das Unternehmen noch Cloudflare Access und Cloudflare Workers hinzu.

Cloudflare Access: Sicherer und unkomplizierter Zugriff auf interne Applikationen

Zur Absicherung des Zugriffs auf bestimmte interne Anwendungen nutzte Kathmandu vor der Zusammenarbeit mit Cloudflare HTTP-Authentifizierung, in anderen Fällen kam Azure AD zum Einsatz. Leider weist die HTTP-Authentifizierung Sicherheitslücken auf: Login-Daten werden nicht verschlüsselt und können deshalb leicht in falsche Hände geraten. Bei Azure AD wiederum erwies sich die Ausweitung auf interne Applikationen und Mitarbeiter externer Dienstleister als problematisch. „Wir wollten die Möglichkeit haben, unseren Partnern den Zugriff auf unsere Applikationen zu erlauben. Auf die mit Azure AD notwendigen umfassenden Anpassungen, von Servereinstellungen bis hin zur Verwaltung von Konfigurationsdateien, wollten wir dabei aber verzichten. Cloudflare Access verzahnt sich mit Azure AD dergestalt, dass alle diese komplexen Vorgänge abstrahiert werden und am Netzwerkrand stattfinden“, so Deane.

Deane beschloss, Cloudflare Access im Rahmen eines Pilotprojekts mit den Entwicklungs- und Testanwendungen von Kathmandu einzusetzen. „Das war zwar kein besonders umfassender, aber trotzdem ein ganz entscheidender Anwendungsfall. Wir pflegen weltumspannende Kooperationen. Was die Entwicklung betrifft, befindet sich zum Beispiel einer unserer wichtigsten Partner in Weißrussland. Unsere Test- und Entwicklungsumgebung muss weltweit und trotzdem immer auch sicher erreichbar sein.”

Die Vorbereitungen für das Pilotprojekt waren nach einer halben Stunde komplett abgeschlossen und das Feedback der Endnutzer fiel überaus positiv aus. Angesichts dieses Erfolgs begann Deane, Access im gesamten Unternehmen einzuführen. Heute nutzen bei Kathmandu sowohl Kooperationspartner als auch die Belegschaft am Standort oder im Homeoffice Access, um sich zu authentifizieren. „Gerade im Vergleich zu Azure AD erweist sich Access als eine nahtlose Lösung – davon sind unsere Mitarbeiter und Dienstleister gleichermaßen begeistert. Zum Nutzerkreis gehören Laien ebenso wie technische Experten. Es ist nicht ganz einfach, einerseits für die nötige Sicherheit zu sorgen und andererseits zu gewährleisten, dass auch Anwender ohne technisches Fachwissen zurechtkommen. Unser Information Security Manager findet, dass Access diesen Balanceakt zwischen Sicherheit und Benutzerfreundlichkeit hervorragend hinbekommt.“

Derzeit lotet Deane aus, wie man Access einsetzen könnte, um die Backend-Systeme von Kathmandu zu schützen. „Als E-Commerce-Unternehmen kommen wir an Magento nicht vorbei. Wir wickeln Transaktionen im Wert von zig Millionen Dollar und für Millionen von Kunden ab. Jetzt arbeiten wir daran, Access mit Single Sign-on (SSO), Multi-Faktor-Authentifizierung (MFA) und Azure AD zu kombinieren.”

Cloudflare WAF: Transparenz, Sicherheit und Performance

Dass sich Kathmandu für Cloudflare entschieden hat, lag nicht zuletzt auch an der WAF. „Letztlich läuft doch alles auf die Frage hinaus: Wie gut ist eigentlich unsere Plattform geschützt?“, sagt Deane.

Für Kathmandu war es besonders wichtig, von Bots erzeugten Traffic filtern zu können. Allein bei der australischen E-Commerce-Website – dem Aushängeschild des Unternehmens – gehen täglich im Durchschnitt mehrere Tausend dieser bösartigen Anfragen ein. „Besonders problematisch sind unter anderem Bot-Angriffe auf dynamische Komponenten der Website, zum Beispiel auf eine Produkt- oder die Checkout-Seite. Diese Seiten sind nicht im Cache, sodass jede Anfrage einen Datenbankzugriff erforderlich macht. Kommt es dann zu einer Flut von Anfragen, fällt die Datenbank aus, der Betrieb der Website ist gestört und unsere Kunden können nichts mehr bestellen“, erklärt Deane.

Mit der WAF von Cloudflare gehört dieses Problem der Vergangenheit an. Mitte August 2020 wurde Kathmandu mit 29 Millionen Anfragen bombardiert, alle mit der gleichen IP-Adresse. „Dank der automatischen Blockierung durch die WAF war das Problem schnell gelöst und für den Fall, dass trotzdem noch die eine oder andere Anfrage durchrutschen sollte, hatte mein Team die Möglichkeit, eine ergänzende IP-Blockierung selbst einzurichten“, erinnert sich Deane. „Wir profitieren sehr von der Transparenz, die uns die WAF bietet. Jeder in meinem Team kann das WAF-Portal aufrufen und jederzeit sehen, was gerade vor sich geht. Wir können herausfinden, wo das Problem liegt, und sofort reagieren.“

Laut Deanes Teammitglieder sind Konfiguration und Verwaltung der WAF ein Kinderspiel. Auch eigene Firewall-Regeln lassen sich ganz einfach erstellen. „Die automatischen Regeln decken schon einen Großteil dessen ab, was wir benötigen. Trotzdem wissen wir auch sehr zu schätzen, dass uns die nötige Flexibilität zur Verfügung steht, um zusätzlich maßgeschneiderte Konfigurationen vorzunehmen. Zum Beispiel konnten wir mithilfe der WAF-Analysedaten sehen, dass viele der illegitimen Anfragen, die bei unserer australischen Seite eingingen, aus dem Ausland stammten. Also haben wir eine geografische Einschränkung konfiguriert, um Kunden aus Fleisch und Blut von den Bots unterscheiden zu können.“

Durch die Abwehr schädlicher Anfragen gewährleistet die WAF von Cloudflare, dass legitime Kunden die Internetpräsenzen von Kathmandu erreichen und wie gewohnt nutzen können. Zusammen mit dem CDN von Cloudflare, das dafür sorgt, dass Inhalte am Netzwerkrand und damit nahe am Nutzer bereitgestellt werden, gewährleistet die WAF mit ihrer Blockierung bösartiger Bots, dass den Websites von Kathmandu Traffic-Spitzen nichts anhaben können. „Als Anbieter von Funktionskleidung und Outdoor-Ausrüstung führen wir Marketingkampagnen durch, die extrem saisonal ausgerichtet sind. Sie können den Datenverkehr vorübergehend auf das Fünf- bis Zehnfache nach oben treiben“, gibt Deane zu bedenken. „Die Ausfallsicherheit, die uns Cloudflare bietet, macht da einen Riesenunterschied.“

__Der nächste Schritt: Abstraktion statt Komplexität dank Cloudflare Workers __

Für die nächste Zeit hat Deane große Pläne für den Einsatz von Workers, der Serverless-Plattform von Cloudflare. „Workers bietet eine fantastische Entwicklungserfahrung. Die Lösung ist sehr unkompliziert und ausgesprochen gut aufgebaut. Man kann wirklich in Sekundenschnelle Ergebnisse erzielen. Es ist großartig, dass uns diese Ressource zur Verfügung steht. Workers erschließt uns ganz neue Möglichkeiten.“

Deane möchte mithilfe von Workers eine Filialsuche für die Websites von Kathmandu entwickeln; außerdem will er nach Wegen suchen, die Komplexität von Magento durch Abstraktion zu reduzieren. „Wir prüfen gerade, wie wir mit Serverless-Computing mehr Effizienz erreichen können. Uns ist jede Möglichkeit willkommen, uns von Magento abzukoppeln, und ich weiß, dass wir mit serverloser Datenverarbeitung deutlich mehr machen können als mit Magento.“

Deane betont auch, dass er Cloudflare Kollegen ohne zu zögern empfehlen würde. „Da muss man gar nicht lange diskutieren – Cloudflare ist der richtige Partner, für kleine Firmen ebenso wie für Großkonzerne. Um welches Unternehmen es auch geht, mir fällt nichts ein, das gegen Cloudflare sprechen würde.“

Hier erfahren Sie mehr über die Übernahme von Rip Curl durch Kathmandu.

Related Case Studies
Key Results
  • Mit Cloudflare Access können die Mitarbeiter und Partner von Kathmandu problemlos und sicher auf Entwicklungsumgebungen und Admin-Menüs zugreifen. Dabei werden mehrere Identitätsquellen gleichzeitig unterstützt.

  • Cloudflare WAF wehrt bösartige Anfragen ab und gewährleistet so, dass die Internetpräsenzen von Kathmandu für legitime Kunden des Unternehmens erreichbar und funktionsfähig bleiben.

  • Die Websites von Kathmandu bieten auch dann noch eine hohe Performance und Ausfallsicherheit, wenn der Traffic saisonal bedingt auf das Fünf- bis Zehnfache steigt.

Da muss man gar nicht lange diskutieren – Cloudflare ist der richtige Partner, für kleine Firmen ebenso wie für Großkonzerne. Um welches Unternehmen es auch geht, mir fällt nichts ein, das gegen Cloudflare sprechen würde.

James Deane
Web Development Manager