Carousell

Cloudflare Zero Trust로 Carousell의 내부 네트워크를 보호하고, 직원들이 원격으로 원활하게 액세스할 수 있음

2012년 Quek Siu Rui, Lucas Ngoo, Marcus Tan에게는 하나의 아이디어가 있었습니다. 스마트폰으로 채팅하는 것만큼 쉽게 상품을 살 수 있고 사진 한 장 찍는 것만큼 쉽게 팔 수 있는 마켓플레이스를 웹 기반으로 만드는 것이었습니다. Carousell은 그 아이디어를 현실로 만들었습니다.

오늘날 Carousell은 아시아에서 가장 큰 규모의 C2C 전자상거래 마켓플레이스로 성장했습니다. Carousell은 싱가포르, 홍콩, 대만에서 최고의 라이프스타일 쇼핑 앱 중 하나이며 인도네시아, 말레이시아, 호주, 필리핀에서도 빠르게 성장하고 있습니다. Carousell 이용자는 자동차, 부동산, 패션, 가전 제품, 보조 장치, 전자 제품 등을 구매하려고 사이트에 방문합니다. 이 사이트에서는 또한 구인 목록을 호스팅하며 서비스를 제공하는 업종의 범위를 지속해서 확장하고 있습니다.

싱가포르 인구의 1/4 이상이 Carousell을 이용하며, 점점 더 많은 싱가포르와 세계의 이용자가 이 사이트에 들어오면서 숫자가 점점 더 늘어나고 있습니다.

Cloudflare WAF와 전역 클라우드 네트워크, 2016년부터 시작된 성공적인 파트너십

2016년에 Carousell은 Cloudflare를 이용하여 매달 1PB의 이미지를 서비스하면서 고객에게 원활한 사용자 경험을 제공했습니다. 트래픽이 늘어남에 따라 Cloudflare는 Carousell이 높은 성능 요구 사항을 충족하도록 하면서 해당 회사의 정기 반짝 세일과 같은 고 트래픽 이벤트 동안에도 가동 시간을 보장했습니다. Cloudflare를 이용하여 필요에 따라 동적 페이지를 캐시하면서 Carousell은 일반적인 트래픽량이 3배 이상 급증해도 이를 부담 없이 처리할 수 있습니다. 이는 경쟁 관계인 CDN 공급자들이 비슷한 데이터량에 대해 더 높은 비용을 치르고도 따라잡지 못한 수준의 성능이었습니다.

"Cloudflare와의 관계는 우리가 DNS 및 SSL 종료 요건을 위한 솔루션을 찾다가 시작되었습니다. 당시 우리는 Cloudflare Cache를 탐색하기 시작했고 다른 CDN에 있던 우리 자산을 이전하기 시작했습니다." Carousell 그룹의 DevOps, SR(사이트 안정성), 플랫폼, 사이버보안 엔지니어링 부문 선임 이사인 Sanjeev Jaiswal은 이렇게 설명합니다. "이제 캐싱은 100% 완료되었습니다. Cloudflare의 글로벌 에지 네트워크에서 우리의 CDN, WAF, 캐싱, SSL 엔드포인트, DNS 요건이 처리됩니다. Cloudflare는 우리가 사업 목표를 달성하도록 도와주고 투자대비 높은 수익을 올릴 수 있도록 해줍니다."

플랫폼의 속도를 높이고 규모를 확대하는 것에 더해 Cloudflare는 DDoS 공격 및 리소스 소모 봇 등의 볼류메트릭 보안 위협과 교차 사이트 스크립팅(XSS)과 같은 악의적 활동으로부터 Carousell을 보호했습니다. Cloudflare 웹 애플리케이션 방화벽(WAF)은 공동 위협 인텔리전스를 활용하여 악의적 요청을 식별 및 방지하면서, Carousell이 유입 공격을 능동적으로 방어하고 응용 프로그램 가용성을 보장하도록 힘을 실어주었습니다.

"Cloudflare WAF는 공개 웹 응용 프로그램 보안 프로젝트(Open Web Application Security Project, OWASP)와 Cloudflare 특수 규칙으로 우리의 요구 사항을 모두 충족시켜줍니다. 우리는 또한 사용자 설정 규칙을 쉽게 추가하여 Cloudflare가 우리 필요에 꼭 맞는 것이 되도록 만들 수 있습니다." Jaiswal의 회상입니다. "방화벽 기능을 켜도 대기 시간에 있어 측정 가능한 성능 저하는 없었습니다. Cloudflare 보안 기능은 전체 사이트 성능에 영향을 주지 않으며, 더 많은 검사를 시행해도 사용자 경험은 저하되지 않습니다. 이것이 Cloudflare를 이용하면서 우리가 경험하는 가장 크고 지속적인 이점 중 하나입니다."

Cloudflare Zero Trust로 인력 보안 문제 해결하기

2019년부터 Carousell은 COVID-19 팬데믹 상황을 헤쳐나가고 증가하는 해외 직원 및 협력업체 인력을 지원하기 위해 계속해서 원격 근무를 수용했습니다. 이러한 근본적인 변화 가운데 Carousell은 조직의 보안을 전략적으로 재점검하기 시작했습니다. 점검의 초점은 직원이 기업 응용 프로그램에 안전하게 액세스하도록 보장하고 내부 인프라를 보호하는 것에 맞추어졌습니다.

"우리는 모든 것을 새로운 시각으로 살펴보고 있습니다. 확장된 보안 팀을 온보딩하고 외부 감사인과 협력하여 새로운 보안 정책을 시행하며 보안 연구자 및 윤리적 해커들과 버그 바운티 프로그램에 참여하면서 말입니다." Jaiswal은 말합니다. "목표는 이러한 이니셔티브에서 발견한 사항을 적용하여 사이트 기능을 향상하고 Carousell 인프라 및 응용 프로그램에 대한 액세스를 개선하면서 ID 및 권한 관리에 대한 접근 방식을 조정하는 것입니다."

이 회사에서는 Cloudflare를 이용하기 전에 경쟁업체이자 초기에 Zero Trust 네트워크 액세스(ZTNA) 분야로 진입한 업체를 고려했습니다. 그러나 해당 공급업체의 솔루션이 복잡했기 때문에 채택하기 어렵고 최종 사용자의 입장에서도 바람직하지 않다고 판단했습니다.

"Carousell은 보안이나 액세스의 간편함 측면에서 훌륭한 아키텍처를 갖추고 있지 못했습니다. 매우 번거로운 구조였기 때문에 간소화하려는 마당에서 그러한 수준의 복잡성을 반복하고 싶지 않았습니다."라고 Jaiswal은 말했습니다. "우리가 고려했던 다른 솔루션은 구현하기에 너무 복잡했습니다. 하나의 장치에 단순한 SSH 액세스만 하는 데도 여러 명령줄 매개 변수가 필요했습니다. 그에 비해 Cloudflare Zero Trust 솔루션은 구현하기 쉬웠고 아주 잘 정의되어 있었습니다." 그는 이렇게 덧붙였습니다.

Carousell은 클라우드 및 온프레미스 환경 전체에서 내부 응용 프로그램, 웹 사이트, 도메인에 대한 액세스를 보호하기 위해 Cloudflare Zero Trust를 구현했습니다. 이 솔루션은 IP 및 지리적 위치에 기반한 컨트롤이나 범용 비밀번호와 같이 다른 더 위험한 액세스 방법을 사용하는 것에 대한 회사의 우려를 모두 없애주었습니다.

Cloudflare와 함께 하면서 Carousell은 이제 선호하는 ID 공급자 확인에 기반하여 응용 프로그램 액세스 권한을 부여하며, 관리자는 사용자 역할 및 그룹 멤버십을 기반으로 하여 앱별로 더욱 강력한 보안 정책을 구축합니다. 이 과정에서 Carousell은 단일 액세스 지점으로서의 기존 VPN에서 벗어나 모든 액세스 이벤트에 대한 가시성을 되찾았습니다.

Carousell은 Cloudflare Zero Trust를 이용하면 즉각적으로 이점을 누릴 수 있음을 알아보았습니다. Cloudflare Zero Trust 덕분에 응용 프로그램에 인증하는 직원과 그러한 액세스를 구성하는 보안 팀 모두가 시간을 절약하고 효율을 개선할 수 있었습니다.

"Cloudflare로 우리 개발자들은 원격 연결을 간소화하고 생산성을 개선합니다. VPN 프로필을 다운로드하고 액세스를 구성하며 어떤 리소스에 연결해야 할지 파악하는 대신, Zero Trust 솔루션은 쉽게 구성할 수 있는 하나의 에이전트를 미리 정의된 라우팅과 함께 제공합니다. 프로덕션 또는 비프로덕션 리소스에 쉽게 원활한 연결이 가능합니다. 이것만 해도 매달 사용자 1명당 최소 15분이 절약됩니다." Jaiswal은 말합니다.

"SRE 팀 입장에서는 훨씬 더 절약됩니다. 우리는 이제 다양한 프로덕션 환경을 위하여 신뢰할 수 없는 여러 VPN 터널의 문제를 해결하고 가용성을 유지할 필요가 없습니다." 계속해서 Jaiswal이 말합니다. "Cloudflare에 덕분에 엄청난 시간을 절약하고 문제 발생을 줄일 수 있었습니다. 절약한 시간을 활용해서 더 큰 프로젝트 및 이니셔티브에 집중할 수 있게 되었지요."

Zero Trust 네트워크 액세스를 구현함으로써 Carousell은 내부 보안 정책 유지에 쓰는 시간도 줄일 수 있었습니다. 중앙 집중화 관리를 하면 사용자 역할 생성과 유지 관리가 쉬워지며, 직원이 이직하면 권한을 취소하는 것도 쉬워집니다.

"Cloudflare는 사용자의 자격 증명을 역할과 연계하기 때문에 직원이 퇴사할 때도 SRE 팀이 쉽게 계정을 비활성화하고 제거하며 방화벽 액세스를 금지할 수 있습니다." Jaiswal이 말합니다. "단일 관리 지점을 이용하므로 작업이 크게 간편해집니다."

Carousell은 500개의 Zero Trust 라이선스로 시작되었으며 현재는 사업 부서 전체에 걸쳐 총 800~1000명의 기술 및 비기술 직원으로 확장할 계획입니다.

또한 Carousell SRE 팀에서는 Cloudflare 속도 제한을 기존의 클라우드 인프라와 통합하는 방법을 모색하고 있습니다. 이 팀은 5배나 더 비싸면서도 거의 동등한 기능을 제공하는 경쟁사 제품을 대체할 계획입니다.

전에 Cloudflare 솔루션으로 작업해본 적은 없었지만, 비슷한 서비스를 제공한다는 많은 제품을 경험해본 당사자로서 Jaiswal은 특히 Cloudflare의 간편한 사용과 지속되는 고객 지원에 감탄했습니다.

"Cloudflare의 명쾌한 온보딩 튜토리얼과 교육 자료를 기초로 우리 자체의 내부용 동영상을 만들면서 학습 속도가 빨라졌습니다." 그가 말합니다. "더욱 중요한 것은 Cloudflare 고객 팀이 쿼리에 대한 답변, 문제 해결, 향후 로드맵 발표 제공에 이르기까지 뛰어난 소통 능력으로 응대해준다는 점입니다."

"Cloudflare는 사용하기 쉽고 시계처럼 믿을만하면서도 복합적인 Zero Trust 보안 솔루션을 효율적으로 제공합니다." Jaiswal이 덧붙입니다. "저렴하고 별도의 조치 없이 바로 작동할 수 있으며 기존의 클라우드 환경과 인프라와도 원활하게 통합할 수 있습니다."