Carousell

Cloudflare Zero Trust protege las redes internas de Carousell y garantiza un acceso remoto eficaz a los usuarios

En 2012, Quek Siu Rui, Lucas Ngoo y Marcus Tan tuvieron la idea de crear un mercado de comercio electrónico en el que el proceso de compra fuese tan sencillo como chatear, y en el que se pudiese vender con tan solo sacar una foto. Carousell es esa idea hecha realidad.

Hoy, Carousell es uno de los mayores mercados de comercio electrónico C2C de Asia. Es una de las principales aplicaciones de compra de artículos de estilo de vida en Singapur, Hong Kong y Taiwán, y su presencia crece rápidamente en Indonesia, Malasia, Australia y Filipinas. Los usuarios de Carousell visitan el sitio para comprar coches, viviendas, moda, electrodomésticos, dispositivos de asistencia y productos electrónicos. El sitio también publica anuncios de empleo y ofrece servicios en una gama de sectores en continua expansión.

Más de una cuarta parte de la población de Singapur utiliza Carousell, y esa cifra sigue creciendo a medida que más usuarios singapurenses e internacionales visitan el sitio.

El WAF y la red global en la nube de Cloudflare, asociación exitosa desde 2016

En 2016, Carousell recurrió a Cloudflare para entregar más de 1 petabyte de imágenes al mes y proporcionar una experiencia de usuario eficaz a sus clientes. A medida que aumentaba el tráfico, Cloudflare permitió a Carousell cumplir con sus exigentes requisitos de rendimiento, garantizando el tiempo activo durante los eventos de picos de tráfico, como las rebajas frecuentes de la empresa. Al utilizar Cloudflare para almacenar en caché las páginas dinámicas en función de las necesidades, Carousell es capaz de gestionar picos de más de 3 veces su tráfico habitual sin esfuerzo, un nivel de rendimiento que los proveedores de CDN de la competencia no podían igualar a pesar de los costes más elevados para volúmenes de datos similares.

"Nuestra relación con Cloudflare comenzó cuando solicitamos una solución para nuestros requisitos de DNS y terminación de SSL. Luego comenzamos a explorar la caché de Cloudflare y empezamos a trasladar nuestros activos desde una CDN diferente", explica Sanjeev Jaiswal, director sénior de DevOps, fiabilidad del sitio, plataforma e ingeniería de ciberseguridad de Carousell Group. "Ahora el 100 % de nuestro contenido está en caché. La red global de Cloudflare se encarga de nuestros requisitos de CDN, WAF, caché, puntos finales SSL y DNS. Cloudflare nos ayuda a cumplir nuestros objetivos empresariales y nos ofrece un rendimiento excelente de nuestra inversión".

Además de acelerar y escalar la plataforma, Cloudflare protege a Carousell de las amenazas de seguridad volumétricas, tales como los ataques DDoS, los bots que consumen recursos y la actividad maliciosa, como el scripting entre sitios (XSS). El WAF de Cloudflare aprovecha la información colectiva de amenazas para identificar y prevenir las solicitudes maliciosas, lo que permite a Carousell defenderse de forma proactiva contra los ataques entrantes y garantizar la disponibilidad de la aplicación.

"El WAF de Cloudflare cumple todos nuestros requisitos con las reglas especializadas de OWASP (Open Web Application Security Project) y Cloudflare. También podemos añadir reglas personalizadas con mucha facilidad, por eso Cloudflare satisface plenamente nuestras necesidades", destaca Jaiswal. "Después de activar las funciones del firewall, no hubo ningún impacto medible en la latencia. Las funciones de seguridad de Cloudflare no afectan al rendimiento general de nuestro sitio, y nuestra experiencia del usuario no se ve impactada según vamos añadiendo controles. Esta es una de las mayores ventajas que vemos al utilizar Cloudflare".

Solución a los desafíos de seguridad de los usuarios con Cloudflare Zero Trust

Desde 2019, Carousell ha implementado progresivamente el trabajo remoto para hacer frente a los desafíos de la COVID-19, y apoyar a un equipo de trabajo cada vez más internacional de usuarios y proveedores. En vista de estos cambios fundamentales, Carousell comenzó una nueva evaluación estratégica de su propia seguridad organizacional. Este proceso supuso renovar el enfoque en la protección de la infraestructura interna, y garantizar a los usuarios un acceso seguro a las aplicaciones corporativas.

"Estamos analizando nuestra estrategia a través de un nuevo prisma. Hemos incorporado un equipo de seguridad más amplio, estamos trabajando con auditores externos para establecer nuevas políticas de seguridad y participamos en un programa de recompensas por errores con investigadores de seguridad y hackers éticos", afirma Jaiswal. "El objetivo es aprender de estas iniciativas, mejorar las capacidades del sitio y el acceso a la infraestructura y las aplicaciones de Carousell, al tiempo que ajustamos nuestro enfoque de gestión de identidades y privilegios".

Antes de Cloudflare, la empresa evaluó a un competidor y nuevo operador en la categoría de acceso a la red Zero Trust (ZTNA). Sin embargo, su complejidad resultó prohibitiva tanto desde el punto de vista de la implementación como del usuario final.

"Carousell no tenía una gran arquitectura en términos de seguridad o facilidad de acceso. Era muy engorroso, y no queríamos repetir ese nivel de complejidad en el futuro", sostiene Jaiswal". "La implementación de la otra solución que consideramos era demasiado complicada. Requería varias parámetros de línea de comandos para un simple acceso SSH a un solo dispositivo. En comparación, la solución Cloudflare Zero Trust era fácil de implementar y estaba muy bien definida", añade.

Carousell implementó Cloudflare Zero Trust para proteger el acceso a sus aplicaciones internas, sitios web y dominios en entornos de nube y locales. La solución disipó la preocupación de la empresa acerca del uso de métodos de acceso alternativos más arriesgados, como los controles basados en la IP y la geolocalización o las contraseñas comodín.

Con Cloudflare, Carousell concede ahora acceso a las aplicaciones basándose en la verificación con su proveedor de identidad preferido, y los administradores crean políticas de seguridad más sólidas basadas en el cargo del usuario y la pertenencia a un grupo por aplicación. En el proceso, Carousell ha podido alejarse de su tradicional VPN como único punto de acceso y ha recuperado la visibilidad de cada evento de acceso.

Carousell obtuvo beneficios inmediatos gracias a Cloudflare Zero Trust. Ahorraron tiempo y mejoraron la eficiencia tanto de los usuarios que se autentican en las aplicaciones como del equipo de seguridad que configura el acceso.

"Cloudflare agiliza las conexiones remotas de nuestros desarrolladores y mejora la productividad. En lugar de descargar perfiles de VPN, configurar el acceso y averiguar a qué recurso deben conectarse, la solución Zero Trust proporciona un único agente de fácil configuración con enrutamiento predefinido. Se conecta fácilmente a nuestros recursos de producción o no producción. Solo eso ahorra un mínimo de 15 minutos por usuario al mes", explica Jaiswal.

"En lo que respecta al equipo de ingeniería de fiabilidad del sitio, el ahorro es mucho mayor. No necesitamos solucionar problemas y mantener la disponibilidad en varios túneles VPN poco fiables para diferentes entornos de producción", continúa Jaiswal. "Cloudflare nos ahorra horas de problemas y complicaciones y nos permite tener tiempo para centrarnos en nuestros proyectos e iniciativas de mayor envergadura".

La implementación del acceso a la red Zero Trust también ha reducido el tiempo que Carousell dedica a mantener sus políticas de seguridad internas. La administración centralizada significa que las funciones de los usuarios se crean y se mantienen fácilmente, y las autorizaciones se revocan con la misma facilidad cuando el personal cambia.

"Como Cloudflare vincula las credenciales de un usuario a su función, cuando un empleado se va, es fácil para el equipo de ingeriería de fiabilidad del sitio (SRE) desactivar y eliminar las cuentas y prohibir el acceso al firewall", asegura Jaiswal. "Tener ese único punto de administración simplifica mucho las cosas".

Carousell comenzó con 500 licencias de Zero Trust, y actualmente planea expandir sus unidades de negocio hasta un total de 800-1 000 empleados con perfil técnico y no técnico.

El equipo de ingeniería de fiabilidad del sitio de Carousell también está estudiando formas de integrar la función de limitación de velocidad de Cloudflare con su infraestructura de nube existente. Pretenden sustituir un producto de la competencia que es hasta 5 veces más caro, pero que ofrece una funcionalidad casi idéntica.

Jaiswal, que a pesar de no haber trabajado nunca con las soluciones de Cloudflare tenía mucha experiencia en productos que aseguran ofrecer servicios similares, quedó especialmente impresionado con la facilidad de uso de Cloudflare y su servicio de soporte ininterrumpido al cliente.

"Basándonos en sencillos tutoriales de incorporación y materiales de formación de Cloudflare, pudimos elaborar nuestros propios vídeos internos para acelerar la curva de aprendizaje", afirma. "Y lo que es más importante, los equipos de cuentas de Cloudflare informan muy bien. No solo dan respuesta a las consultas sino que resuelven nuestros problemas e incluso anuncian planes de desarrollo futuros".

"Cloudflare ofrece de forma eficiente una compleja solución de seguridad Zero Trust que es sencilla y fiable como un mecanismo de relojería", añade Jaiswal. "Es una solución más barata, no necesita instalación y se integra a la perfección con nuestra infraestructura y entorno en la nube".

Carousell
Casos prácticos relacionados
Resultados clave
  • Ahorra más de 15 minutos al mes a cada desarrollador, mejorando simultáneamente la productividad de los usuarios y permitiendo al equipo de ingeniería de fiabilidad del sitio de Carousell centrarse en las iniciativas empresariales clave.

  • Reemplaza la VPN heredada para mejorar la productividad y garantizar a los desarrolladores un acceso eficaz a los recursos y la infraestructura internos.

  • Mejora la seguridad del sitio sin aumentar la latencia ni afectar a la experiencia del usuario.

  • Simplifica el cumplimiento de las directivas de seguridad con el seguimiento de eventos de acceso en toda la organización y una fácil auditoría desde un único punto de administración.

Cloudflare ofrece una compleja solución de seguridad Zero Trust que es sencilla y fiable como un mecanismo de relojería. Es una solución más barata, no necesita instalación y se integra a la perfección con nuestra infraestructura y entorno en la nube.

Sanjeev Jaiswal
Director sénior de DevOps, ingeniería de fiabilidad del sitio, plataforma e ingeniería de ciberseguridad

Cloudflare Zero Trust agilizó las conexiones remotas de nuestros desarrolladores y mejoró la productividad al sustituir nuestra VPN tradicional por un único agente de fácil configuración y enrutamiento predefinido.

Sanjeev Jaiswal
Director sénior de DevOps, ingeniería de fiabilidad del sitio, plataforma e ingeniería de ciberseguridad