Carousell

Sécuriser les réseaux internes de Carousell et assurer un accès fluide à leurs collaborateurs distants grâce à Cloudflare Zero Trust

En 2012, Quek Siu Rui, Lucas Ngoo et Marcus Tan ont eu une idée : lancer une place de marché sur smartphone et en ligne permettant de rendre l'achat de biens aussi simple qu'une session de chat et la revente de ces derniers aussi facile que le fait de prendre une photo. Cette idée s'est concrétisée sous la forme de Carousell.

Carousell constitue aujourd'hui l'une des plus grandes places de marché dédiées à l'e-commerce C2C en Asie. S'il s'agit déjà de l'une des principales applications de shopping lifestyle à Singapour, à Hong Kong et à Taïwan, elle affiche également une croissance très rapide en Indonésie, en Malaisie, en Australie et aux Philippines. Les utilisateurs de Carousell se rendent sur le site pour acheter des voitures, des propriétés immobilières, des articles de mode, des appareils électroménagers ou d'assistance, ainsi que des produits électroniques. Le site publie également des offres d'emploi et propose des services couvrant un éventail de secteurs en croissance constante.

Plus d'un quart de la population de Singapour utilise Carousell et ce chiffre continue de croître à mesure que de nouveaux utilisateurs singapouriens et internationaux affluent vers le site.

Le pare-feu WAF et le réseau cloud mondial de Cloudflare : un partenariat fructueux depuis 2016

En 2016, Carousell a fait appel à Cloudflare pour diffuser plus de 1 Po d'images par mois et assurer une expérience utilisateur fluide à ses clients. Lorsque le trafic a augmenté, Cloudflare a permis à Carousell de répondre à ses exigences en termes d'intensité des performances, en garantissant sa disponibilité lors des événements fortement générateurs de trafic, comme les « ventes flash » régulières de l'entreprise. En utilisant Cloudflare pour mettre en cache des pages dynamiques selon les besoins, Carousell peut sans problème faire face à des pics supérieurs à trois fois son trafic habituel, un niveau de performances que les fournisseurs de réseau CDN concurrents se sont vus incapables d'égaler, malgré des coûts plus élevés pour des volumes de données similaires.

« Notre relation avec Cloudflare a débuté sous la forme d'une solution pour nos exigences en matière de DNS et de terminaison SSL. Nous avons ensuite exploré les possibilités du cache de Cloudflare et commencé à faire migrer nos ressources, auparavant situées sur un CDN différent », explique Sanjeev Jaiswal, le Senior Director of DevOps, SR (Site Reliability, fiabilité des sites), Platform and Cybersecurity Engineering, de Carousell Group. « Nous sommes désormais à 100 % en cache sur Cloudflare. Le réseau périphérique mondial de Caching s'occupe de notre CDN, de notre pare-feu WAF, de la mise en cache, des points de terminaison SSL et de nos exigences DNS. Cloudflare nous aide à atteindre nos objectifs commerciaux, tout en nous assurant un excellent retour sur investissement. »

En plus d'accélérer la plateforme et de soutenir son évolutivité, Cloudflare protège Carousell contre les menaces volumétriques, comme les attaques DDoS et les bots draineurs de ressources, ainsi que contre les activités malveillantes, comme le Cross-Site Scripting (XSS, script de site à site). Le pare-feu d'applications web (WAF) de Cloudflare tire parti d'un système d'information collective sur les menaces pour identifier et éviter les requêtes malveillantes, afin de permettre à Carousell de se défendre de manière proactive contre les attaques entrantes et d'assurer la disponibilité de ses applications.

« Le pare-feu WAF de Cloudflare coche toutes nos cases à l'aide de règles spécialisées proposées par l'OWASP (Open Web Application Security Project) et Cloudflare. Nous pouvons en outre ajouter facilement des règles personnalisées. Cloudflare constitue donc la réponse parfaite à nos besoins », rappelle Jaiswal. « Nous n'avons observé aucune incidence négative mesurable sur la latence après avoir activé les fonctionnalités du pare-feu. Les fonctionnalités de sécurité de Cloudflare n'affectent pas les performances générales de notre site et notre expérience utilisateur ne se dégrade pas, même lorsque nous ajoutons de nouvelles mesures de contrôle. Il s'agit là de l'un des plus grands avantages que nous pouvons constater à l'utilisation de Cloudflare. »

Résoudre les défis en matière de sécurité des effectifs grâce à Cloudflare Zero Trust

Depuis 2019, Carousell a progressivement adopté le télétravail afin de faire face à la pandémie de COVID-19, mais aussi de soutenir des effectifs croissants, tant en termes d'employés que de sous-traitants. À la lumière de ces changements fondamentaux, Carousell a lancé un réexamen stratégique de sa propre sécurité organisationnelle. L'opération impliquait des efforts renouvelés sur la protection de l'infrastructure interne, mais aussi sur les moyens à mettre en œuvre pour permettre aux collaborateurs d'accéder de manière sécurisée aux applications de l'entreprise.

« Nous observons chaque processus avec un regard neuf, grâce à l'intégration d'une équipe de sécurité élargie, à la collaboration avec des auditeurs externes afin de mettre en place de nouvelles politiques de sécurité, de même qu'à notre participation à un programme de primes aux bugs en compagnie de chercheurs en sécurité et de hackers éthiques », déclare Jaiswal. « L'objectif ici consiste à tirer nos propres conclusions de ces initiatives, ainsi qu'à améliorer l'accès à l'infrastructure et aux applications de Carousell, tout en affinant notre approche de la gestion des identités et des privilèges. »

Avant de faire appel à Cloudflare, Carousell évaluait un concurrent, doublé d'un précurseur, dans la catégorie de l'accès réseau Zero Trust (ZTNA). La complexité présentée par ce fournisseur s'est toutefois avérée prohibitive, tant du point de vue de l'adoption que de l'utilisateur final.

« Carousell ne disposait pas d'une architecture particulièrement remarquable en termes de sécurité ou de facilité d'accès. Elle était tellement lourde que nous ne souhaitions pas réitérer ce niveau de complexité à l'avenir », précise Jaiswal. « L'autre solution que nous envisagions se montrait bien trop compliquée à implémenter. Elle nécessitait plusieurs paramètres de ligne de commande pour configurer un simple accès SSH à une machine donnée. En comparaison, la solution Cloudflare Zero Trust s'est révélée facile à mettre en œuvre et particulièrement bien définie », ajoute-t-il.

Carousell a mis le service Cloudflare Zero Trust en place pour protéger l'accès à ses applications internes, à ses sites web et à ses domaines sur l'ensemble de ses environnements cloud et sur site. La solution a éliminé les inquiétudes de l'entreprise quant à l'utilisation d'autres méthodes d'accès plus risquées, comme les mesures de contrôle basées sur l'adresse IP et la géolocalisation ou les mots de passe « fourre-tout ».

Grâce à Cloudflare, Carousell accorde désormais les accès aux applications en fonction d'une procédure de vérification effectuée auprès de son fournisseur d'identité préféré. De même, les administrateurs conçoivent des politiques de sécurité plus robustes basées sur le rôle de l'utilisateur et l'appartenance à un groupe, pour chaque application. Carousell a ainsi pu se détourner de l'emploi d'une solution VPN traditionnelle en tant qu'unique point d'accès et a récupéré de la visibilité sur chaque événement d'accès.

L'entreprise a constaté des avantages immédiats à l'utilisation de Cloudflare Zero Trust. Elle a économisé du temps et amélioré son efficacité, à la fois pour les collaborateurs cherchant à s'authentifier auprès des applications et pour l'équipe de sécurité qui configure les accès.

« Cloudflare rationalise les connexions à distance de nos développeurs et améliore notre productivité. Plutôt que de télécharger des profils de VPN, de configurer les accès et de déterminer à quelle ressource les utilisateurs doivent se connecter, la solution Zero Trust propose un agent unique facile à configurer et doté d'un schéma de routage prédéfini. Le processus de connexion à nos ressources de production, ainsi qu'aux autres ressources, s'effectue de manière simple et fluide. Ce seul constat nous permet d'économiser un minimum de 15 minutes par utilisateur chaque mois », affirme Jaiswal.

« Les économies réalisées s'avèrent bien plus substantielles du côté de l'équipe SRE. Nous n'avons pas besoin de dépanner et d'entretenir la disponibilité de plusieurs tunnels VPN non fiables pour différents environnements de production », poursuit Jaiswal. « En nous économisant des heures de travail difficile et de frictions, Cloudflare nous redonne du temps à consacrer à nos projets et à nos initiatives de plus grande envergure. »

La mise en œuvre de l'accès réseau Zero Trust a également permis de réduire le temps passé par Carousell à entretenir ses politiques de sécurité internes. Une administration centralisée implique une grande facilité de création et d'entretien des rôles utilisateur. Les autorisations peuvent de même être révoquées tout aussi simplement, afin de suivre les changements au niveau du personnel.

« Comme Cloudflare lie à nouveau les identifiants d'un utilisateur à son rôle, lorsqu'un collaborateur nous quitte, il suffit à l'équipe SRE de désactiver son compte (avant de supprimer purement et simplement ce dernier) pour lui interdire l'accès au pare-feu », déclare Jaiswal. « Le fait de disposer d'un point d'administration unique nous simplifie grandement le processus. »

Carousell a commencé avec 500 licences Zero Trust et cherche actuellement à étendre la solution à ses unités opérationnelles, pour un total de 800 à 1 000 collaborateurs techniques et non techniques.

L'équipe SRE de Carousell explore également différents moyens d'intégrer le service de limitation de débit de Cloudflare à son infrastructure cloud existante. Elle cherche à remplacer un produit concurrent coûtant jusqu'à cinq fois plus cher pour des fonctionnalités quasi identiques.

Jaiswal n'avait jamais travaillé avec les solutions Cloudflare par le passé, mais pouvait s'appuyer sur une grande expérience des produits prétendant offrir des services similaires. Il a néanmoins été particulièrement impressionné par la simplicité d'utilisation de Cloudflare et son service client en continu.

« Grâce aux didacticiels d'intégration et aux documents de formation de Cloudflare, d'une clarté à toute épreuve, nous avons pu mettre en place nos propres vidéos en interne afin de dynamiser la courbe d'apprentissage », précise-t-il. « Plus important encore, les équipes chargées des comptes chez Cloudflare communiquent de manière admirable, des réponses à nos questions à la résolution des problèmes, en passant par les annonces concernant la roadmap et les développements à venir. »

« Cloudflare propose avec grande efficacité une solution de sécurité Zero Trust complexe, facile à utiliser et fiable comme un mécanisme d'horlogerie », ajoute Jaiswal. « Elle est moins chère, fonctionne immédiatement et s'intègre parfaitement à notre infrastructure existante, notamment notre environnement cloud. »