LendingTree

Mit den Sicherheits-, Performance- und Serverless-Lösungen von Cloudflare ist LendingTree gut geschützt, ohne dass es dabei durch Verzögerungen zu geschäftlichen Beeinträchtigungen kommt.

LendingTree ist ein Online-Marktplatz, auf dem sich private und geschäftliche Kreditnehmer mit mehreren Kreditgebern in Verbindung setzen können, um optimale Konditionen für Hypotheken, Studenten-Darlehen, Geschäftskredite, Kreditkarten, Sparkonten und Versicherungen zu finden. LendingTree arbeitet mit über 400 Finanzinstituten in aller Welt zusammen. Mehr als 15 Millionen aktive Nutzer verwenden LendingTree, um ihre Verbindlichkeiten im Blick zu behalten, Kredite zu beantragen und ihre Finanzangelegenheiten zu verwalten.

Die Herausforderung: Ersatz für eine kostspielige Sicherheitslösung, die viel legitimen Traffic blockierte

Als John Turner zu LendingTree kam, um den Bereich Anwendungssicherheit zu leiten, hatte das Unternehmen mehrere Kosten- und Performance-Probleme mit seinem Sicherheitsanbieter. Der DDoS-Schutz des Partners war nutzungsabhängig, sodass sich LendingTree bei Traffic-Spitzen mit massiven Kosten konfrontiert sah. Die Lösung blockierte zudem legitimen Traffic.

„Die bestehende Lösung war nicht intelligent, ihr fehlte die nötige Flexibilität“, erklärt Turner. „Wir mussten manuell willkürliche Grenzwerte für Anfragen pro Minute festlegen. Sobald diese Zahl überschritten wurde, übernahm der Anbieter den Traffic, wickelte ihn für uns ab und stellte uns die Überschreitungen in Rechnung.“

Wenn LendingTree Marketingkampagnen lancierte, kam es durch diese Einschränkungen stets zu erheblichen Problemen. „Jedes Mal, wenn wir einen neuen TV-Spot oder eine neue Social-Media-Kampagne starteten, überstiegen die Anfragen das willkürliche Limit, das wir gemäß der Vorgaben des Anbieters festgelegt hatten. Der Partner interpretierte die Traffic-Spitze also als DDoS-Angriff und blockierte folglich legitimen Traffic“, berichtet Turner. „Dabei haben wir nicht nur potenzielle Kunden verloren, sondern auch das Geld, das wir ausgegeben haben, um sie auf unsere Website zu bekommen ... und unser Anbieter stellte uns diesen ‚Service‘ dann sogar noch als ‚DDoS-Schutz‘ in Rechnung.“

Aufgrund früherer Erfahrungen wandte sich Turner an Cloudflare: „In meiner Tätigkeit als Consultant habe ich meinen Kunden immer wieder Cloudflare empfohlen. Ich wusste, dass die Produkte von Cloudflare gut funktionieren und ein gutes Preis-Leistungs-Verhältnis bieten“, sagt er. Bei LendingTree entschied sich Turner, die Performance- und Sicherheitssuites von Cloudflare zu implementieren, darunter Bot Management, WAF und DDoS-Schutz, zusammen mit Workers, der serverlosen Plattform von Cloudflare.

Cloudflare Bot Management verhindert, dass bösartige Bots die APIs von LendingTree missbrauchen

Cloudflares DDoS-Schutz bietet 51 Tbit/s an Abwehrkapazität und wird nicht auf Grundlage des Datenvolumens in Rechnung gestellt, sodass sich LendingTree keine Gedanken über die Festlegung willkürlicher Traffic-Limits machen muss. LendingTree profitiert durch Cloudflare von vielen weiteren Sicherheitsvorteilen, einschließlich Bot Management.

Bösartige Bots, die die APIs von LendingTree missbrauchten, kosteten das Unternehmen früher eine Menge Geld, indem sie Bandbreite blockierten und Geschäftschancen zerstörten. Angesichts der Raffinesse der Bots und der Tatsache, dass sie Finanzdaten ausspähten, vermutete Turner, dass einige von ihnen von Konkurrenten stammten. Allerdings konnte LendingTree den Zugriff auf APIs nicht vollständig einschränken, da die Partner des Unternehmens in der Lage sein mussten, für aktuelle Zinsinformationen auf die APIs zuzugreifen.

„Unsere Rechnung für einen bestimmten API-Dienst stieg praktisch über Nacht von 10.000 USD pro Monat auf 75.000 USD. Im nächsten Monat erhöhten sich die Kosten weiter auf 150.000 USD“, berichtet Turner. „Mein Team musste viel Zeit damit verbringen, diese Angriffe zu untersuchen und maßgeschneiderte Regeln zu schreiben, um sie zu stoppen. Doch da die Angreifer ihre Taktik ständig anpassten, waren diese von uns erstellten Gegenmaßnahmen nur teilweise und nur für kurze Zeit wirksam.“

Mit Cloudflare Bot Management erzielte LendingTree sofort Verbesserungen. „Innerhalb von 48 Stunden nach der Aktivierung von Cloudflare Bot Management sanken die Angriffe auf einen bestimmten API-Endpunkt um 70 %“, schildert Turner.

Im Gegensatz zu den bisher von LendingTree eingesetzten Lösungen bleibt legitimer automatisierter Traffic mit Cloudflare Bot Management unbehelligt. „Unter Hunderttausenden von Anfragen haben wir nur einen Fall gefunden, in dem eine legitime Anfrage als bösartig markiert wurde“, sagt Turner.

Turner erhielt auch die Bestätigung, dass mindestens ein Wettbewerber tatsächlich die API von LendingTree missbraucht hatte. „Gleich nachdem wir den API-Missbrauch gestoppt hatten, sind bei einem bestimmten Konkurrenten sofort die Zinsen angestiegen“, erinnert er sich. „Dann sah ich einen News-Artikel, in dem es hieß, dass plötzlich alle außer LendingTree hohe Hypothekenzinsen angaben. Wir haben den starken Verdacht, dass unsere Konkurrenten unsere API gescrapt und unsere Daten verwendet hatten, um uns zu unterbieten.“

Cloudflare Workers ermöglicht es LendingTree, A/B-Tests durchzuführen und den Traffic am Netzwerkrand zu routen

Turner sagt, dass er die Serverless-Plattform Cloudflare Workers nutzt, um Probleme mit dem Programmiercode am Netzwerkrand schnell zu lösen. „Workers ist wie mein Schweizer Taschenmesser. Ich habe mehrere Anwendungsfälle dafür“, erklärt er. „Die Lösung ermöglicht mir, ohne großen Aufwand bestimmte Probleme zu lösen, die durch Umschreiben von Code nicht so schnell behoben werden können.“ Zu diesen Anwendungsfällen gehören das Einfügen von Headern für das Cross-Origin Resource Sharing (CORS), das Umschreiben von Parametern, das Inspizieren von Paketen, das Durchführen von A/B-Tests und das Untersuchen und Weiterleiten von eingehendem TLS-Traffic.

„Workers prüft eingehende Anfragen, um zu bestätigen, dass es sich um TLS 1.0 handelt, und leitet diese Anfragen dann weiter“, erklärt Turner. „Dank Workers konnte ich feststellen, dass ein großer Teil dieses Datenverkehrs von unseren eigenen Servern kam, die über das Internet kommunizierten, obwohl sie nebeneinander im selben Rechenzentrum stehen. Ohne Workers hätte ich dieses Problem nicht erkennen können. Die Möglichkeit, Code am Netzwerkrand auszuführen und den Traffic entsprechend zu routen, spart uns Zeit und Geld.“

Kürzlich griff Turner auf Workers zurück, um CORS-Header einzufügen und ein Kommunikationsproblem zwischen den Systemen von LendingTree und einer von AOL betriebenen Partnerseite zu lösen. „Dank Workers konnten wir das Problem identifizieren und den Dienst innerhalb von Minuten wiederherstellen, ohne Ausfallzeit und ohne Codeänderungen“, erinnert sich Turner. „Ohne Workers hätten wir den Code neu strukturieren und die Server wechseln müssen, was Wochen gedauert hätte.“

Auch die Durchführung von A/B-Tests konnte LendingTree dank Workers optimieren. Vorher musste das Unternehmen alle A/B-Tests bei sich selbst durchführen und dabei NGINX-Proxys verwenden. „Wir hatten ein komplettes, intern entwickeltes A/B-Testing-System“, sagt Turner. Doch mittlerweile setzt LendingTree auch zunehmend Cloudflare Workers ein, um A/B-Tests am Netzwerkrand durchzuführen. Dadurch steigt die Performance und die Komplexität sinkt.

„Cloudflare Workers hat LendingTree entscheidende Verbesserungen gebracht. Nun können wir JavaScript asynchron innerhalb oder neben einer Client-Sitzung ausführen, Daten manipulieren und Entscheidungen treffen, ohne dadurch die Performance oder Verfügbarkeit zu beeinträchtigen“, sagt Turner. „Keine andere Lösung bietet diese Funktionen.“

Zusätzlicher Schutz, Optimierungen und Kosteneinsparungen durch weitere Sicherheits- und Performance-Tools von Cloudflare

LendingTree hat eine Reihe von Sicherheits- und Performance-Tools von Cloudflare im gesamten Unternehmen integriert.

Eine Verbesserung des Schutzes gegen bösartige Bots erreichte man zum Beispiel durch eine Kombination aus Bot Management, Durchsatzbegrenzung und benutzerdefinierten WAF-Regeln. „In den letzten vier bis fünf Monaten haben wir mit der Durchsatzbegrenzung von Cloudflare etwa 250.000 USD gespart, weil sie den Missbrauch unserer API-Endpunkte gestoppt hat“, erläutert Turner.

Die Cloudflare WAF ist eine weitere wichtige Sicherheitskomponente bei LendingTree. „Sie ist angesichts der Fülle an gebotenen Funktionen und Tools äußerst preiswert. Noch wichtiger ist jedoch, dass sie einfach zu bedienen ist und sehr gut funktioniert“, so Turner. „Wir brauchen keine eigenen Teams mehr, um WAF-Regeln zu verwalten oder Feeds mit ständig neuen Bedrohungsdaten im Auge zu behalten. All das übernimmt die Cloudflare WAF für uns.“

Als LendingTree einen Rückgang der Konversionsrate feststellen musste, schlug Google dem Unternehmen vor, seine Seitenladezeiten zu verbessern. Turner nutzte die Performance-Optimierungstools von Cloudflare, um einige Änderungen vorzunehmen. Dann bat er Google, die Seitenladezeiten von LendingTree erneut zu überprüfen. Das Ergebnis verblüffte den Internetriesen. „Allein durch die Nutzung der integrierten Cloudflare-Performance-Funktionen konnten wir die Seitenladezeiten um bis zu 70 % verbessern“, erinnert sich Turner. „Die Ansprechpartner bei Google sagten, sie hätten noch nie erlebt, dass so drastische Performance-Steigerungen einer Webseite so schnell und nur durch einige wenige Änderungen erzielt wurden.“

LendingTree verwendet TLS-Zertifikate von Cloudflare, um Geld zu sparen und Ausfälle durch abgelaufene Zertifikate zu vermeiden. „Wir haben Tausende von verschiedenen Internet-Websites. Bei dieser Größenordnung war es nur eine Frage der Zeit, bis wir ein Zertifikat nicht rechtzeitig erneuern würden“, erklärt Turner. „Durch den Einsatz der sich automatisch erneuernden TLS-Zertifikate von Cloudflare sparen wir etwa 50.000 USD pro Jahr, sowohl an Verwaltungskosten als auch an entgangenen Einnahmen durch Ausfälle aufgrund abgelaufener Zertifikate.“

Turner sagt, dass die Einsparungen, die LendingTree durch Cloudflare erzielt, die Kosten für die Services von Cloudflare mehr als ausgleichen. „Cloudflare ermöglicht es uns, unsere Produkte schnell, sicher und zuverlässig bereitzustellen. Mit diesem Partner sind wir gut geschützt, ohne dass es durch Verzögerungen zu geschäftlichen Beeinträchtigungen kommt“, sagt er.

Verwandte Fallstudien
Wichtigste Ergebnisse
  • Mit Cloudflare Bot Management konnten die Angriffe auf einen häufig missbrauchten API-Endpunkt um 70 % reduziert werden.

  • Mit Workers konnte LendingTree ein hartnäckiges Kommunikationsproblem zwischen den eigenen Systemen und einer Partnerseite sofort lösen – ohne Ausfallzeit und ohne jeglichen Programmieraufwand.

  • Die Durchsatzbegrenzung von Cloudflare hat LendingTree innerhalb von 5 Monaten 250.000 USD gespart, indem sie den Missbrauch von API-Endpunkten gestoppt hat.

  • Durch den Einsatz der Performance-Suite von Cloudflare verbesserte LendingTree die Seitenladezeiten um bis zu 70 %.

Cloudflare Workers hat LendingTree entscheidende Verbesserungen gebracht. Nun können wir JavaScript asynchron innerhalb oder neben einer Client-Sitzung ausführen, Daten manipulieren und Entscheidungen treffen, ohne dadurch die Performance oder Verfügbarkeit zu beeinträchtigen. Keine andere Lösung bietet diese Funktionen.

John Turner
Leiter Anwendungssicherheit

In den letzten vier bis fünf Monaten haben wir mit der Durchsatzbegrenzung von Cloudflare etwa 250.000 USD gespart, weil sie den Missbrauch unserer API-Endpunkte gestoppt hat.

John Turner
Leiter Anwendungssicherheit