LendingTree

Soluções da Cloudflare sem servidor, de segurança e desempenho protegem a LendingTree no ritmo do negócio

A LendingTree é um marketplace online que conecta consumidores e empresas a diversos financiadores a fim de encontrar as condições ideais para hipotecas, empréstimos estudantis, empréstimos comerciais, cartões de crédito, contas poupança e seguros. A LendingTree tem parcerias com mais de 400 instituições financeiras em todo o mundo. Mais de 15 milhões de usuários ativos usam a plataforma para monitorar crédito, fazer empréstimos e cuidar da saúde financeira.

Desafio: substituir uma solução de segurança muito cara que bloqueava grande parte do tráfego legítimo

Quando John Turner, líder de segurança de aplicativos, entrou na equipe da LendingTree, a empresa estava passando por diversos problemas de custo e desempenho com um fornecedor de segurança. O fornecedor tinha uma proteção contra DDoS limitada e isso fez a LendingTree incorrer em gastos enormes. Além disso, a solução também bloqueava o tráfego legítimo.

"A solução deles não era inteligente, era estática", explica Turner. "Era preciso especificar manualmente os limites de solicitações por minuto. Quando ultrapassávamos esse número, o fornecedor descarregava o tráfego, cuidava dele para nós e cobrava pelos excedentes".

Essas limitações causavam problemas consideráveis sempre que a LendingTree lançava uma campanha de marketing. "Sempre que fazíamos um comercial na TV ou uma nova campanha nas redes sociais, as solicitações chegavam a picos além do limite arbitrário especificado. Só que o fornecedor interpretava esse pico como um ataque DDoS e bloqueava o tráfego legítimo", lembra Turner. "Nós perdíamos clientes em potencial e o dinheiro gasto para fazer eles visitarem nosso site, e o fornecedor cobrava pela 'proteção contra DDoS'".

Turner procurou a Cloudflare por causa de sua experiência anterior com a empresa. "Em meu trabalho de consultoria, recomendei a Cloudflare a clientes muitas vezes. Sabia que os produtos da Cloudflare funcionavam bem e tinham um grande valor", diz ele. Na LendingTree, Turner decidiu implementar os pacotes de desempenho e segurança da Cloudflare, incluindo o Gerenciamento de Bots, o WAF e a proteção contra DDoS, além do Workers, a plataforma sem servidor da Cloudflare.

O Gerenciamento de Bots da Cloudflare impede que bots maliciosos violem as APIs da LendingTree

A Cloudflare oferece mitigação de DDoS ilimitada com 51 Tbps de capacidade, assim a LendingTree não precisa se preocupar em definir limites de tráfego arbitrários. e aproveita muitos outros benefícios de segurança da Cloudflare, incluindo o Gerenciamento de Bots.

Os bots maliciosos que exploravam as APIs da LendingTree custavam muito dinheiro à empresa, não só em termos de custos de largura de banda, mas também pela perda de oportunidades. Devido à sofisticação dos bots e ao fato de que eles extraíam dados financeiros, Turner acreditava que alguns deles eram implantados por concorrentes. A LendingTree não conseguiu restringir as APIs por completo, já que os parceiros precisavam acessá-los para ter informações atuais sobre tarifas.

"A fatura que pagávamos por um serviço específico de API foi de US$ 10 mil/mês para US$ 75 mil da noite para o dia. No mês seguinte, subiu para US$ 150 mil", explica Turner. "Minha equipe passou muito tempo investigando esses ataques e criando regras personalizadas para impedi-los. Como os invasores adaptavam suas táticas a todo momento, as regras criadas funcionavam somente durante um curto período de tempo, e quando funcionavam, não eram eficientes."

O Gerenciamento de Bots da Cloudflare deu resultados imediatos à LendingTree. "Em um período de 48 horas após a ativação do Gerenciamento de Bots da Cloudflare, os ataques contra um endpoint específico da API caíram 70%", relata Turner.

Ao contrário das soluções usadas pela LendingTree anteriormente, o Gerenciamento de Bots da Cloudflare não impede o tráfego automatizado legítimo. "Dentre centenas de milhares de solicitações, encontramos só um caso em que uma solicitação legítima foi marcada como maliciosa", diz Turner.

Turner também teve a confirmação de que pelo menos um concorrente de fato abusou da API da LendingTree. "Assim que interrompemos o abuso da API, as tarifas de um concorrente específico aumentaram imediatamente", ele lembra. "Depois li um artigo dizendo que, de repente, todos menos a LendingTree estavam cobrando taxas de hipotecas altas. Temos uma forte suspeita de que a concorrência estava explorando nossa API e usando nossos próprios dados para oferecer preços mais baixos que os nossos.

O Cloudflare Workers permite que a LendingTree faça testes A/B e roteie tráfego na borda de rede

Turner diz que usa a plataforma sem servidor Cloudflare Workers para resolver problemas de programação rapidamente na borda de rede. "O Workers é meu canivete suíço. Tenho vários casos de uso para ele", explica. "A ferramenta permite resolver facilmente problemas que não podem ser corrigidos de modo rápido com a reescrita do código". Esses casos de uso incluem a injeção de cabeçalhos de compartilhamento de recursos de origem cruzada, a reescrita de parâmetros, a inspeção de pacotes, a execução de testes A/B e a análise e o roteamento do tráfego TLS recebido.

"O Workers examina as solicitações recebidas para confirmar se são TLS 1.0 e as direciona", explica Turner. "Graças ao Workers, descobri que grande parte desse tráfego vinha de nossos próprios servidores, que se comunicavam pela internet mesmo estando um ao lado do outro no mesmo data center. Sem o Workers, não conseguiríamos identificar esse problema. Poder executar código na borda e direcionar o tráfego corretamente economiza dinheiro e tempo".

Recentemente, Turner usou o Workers para injetar cabeçalhos de compartilhamento de recursos de origem cruzada (CORS) e resolver um problema de comunicação entre os sistemas da LendingTree e o site de um parceiro, operado pela AOL. "Usamos o Workers para identificar o problema e restaurar o serviço em questão de minutos, sem tempo de inatividade e sem alterações no código", lembra Turner. "Sem o Workers, teríamos que reescrever o código e mudar os servidores, e isso levaria semanas".

O Workers mudou o jeito como a LendingTree faz testes A/B. Antes de usar o Workers, a LendingTree precisava executar todos os testes A/B internamente, usando proxies NGINX. "Tínhamos todo um sistema de testes A/B escrito por nós mesmos", diz Turner. Agora a LendingTree está começando a usar o Cloudflare Workers para fazer testes A/B na borda de rede, o que aumenta o desempenho e reduz a complexidade do processo.

"O Cloudflare Workers foi um divisor de águas para a LendingTree. Com ele, é possível executar JavaScript de modo assíncrono durante ou paralelamente a sessão de um cliente, manipular dados e tomar decisões sem afetar o desempenho ou a disponibilidade", diz Turner. "Nenhuma outra solução oferece essa funcionalidade".

Outras ferramentas de segurança e desempenho da Cloudflare oferecem mais proteção, otimização e economia de custos

A LendingTree integrou várias ferramentas de segurança e desempenho da Cloudflare em toda a organização.

Por exemplo, a empresa reforçou ainda mais a proteção contra bots maliciosos combinando o Gerenciamento de Bots com o Rate Limiting da Cloudflare e as regras personalizadas de WAF. "Nos últimos quatro a cinco meses, o Rate Limiting da Cloudflare economizou cerca de US$ 250 mil ao impedir o abuso de nossos endpoints do API", diz Turner.

O WAF da Cloudflare é outro componente fundamental das defesas de segurança da LendingTree. "O WAF da Cloudflare tem um preço incrível para tudo que oferece, mas o mais importante é que é fácil de usar e funciona muito bem", diz Turner. "Já não precisamos de equipes dedicadas ao gerenciamento de regras do WAF ou acompanhar os feeds de inteligência contra ameaças. O WAF da Cloudflare faz isso para nós".

Quando a LendingTree notou que as conversões estavam em baixa, o Google sugeriu que a empresa melhorasse os tempos de carregamento da página. Turner usou as ferramentas de otimização de desempenho da Cloudflare para fazer algumas alterações e, em seguida, pediu ao Google que verificasse novamente os tempos de carregamento de página da LendingTree. Os funcionários do Google ficaram espantados. "Apenas com os recursos de desempenho incorporados da Cloudflare, melhoramos os tempos de carregamento da página em até 70%", lembra Turner. "Os funcionários do Google disseram que nunca viram o desempenho de um site aumentar tão rapidamente só com algumas alterações".

A LendingTree usa os certificados TLS da Cloudflare para economizar dinheiro e evitar interrupções devido ao vencimento de certificados. "Temos milhares de propriedades diferentes. Nessa escala, era apenas uma questão de tempo até perdermos a renovação de um certificado", explica Turner. "Com os certificados TLS da Cloudflare, que são renovados automaticamente, economizamos cerca de US$ 50 mil por ano, tanto em custos administrativos quanto em receitas perdidas por interrupções devido a certificados vencidos".

Turner diz que a economia que a LendingTree tem com a Cloudflare é superior ao custo dos serviços da Cloudflare. "Ao nos permitir entregar nossos produtos de forma rápida, segura e confiável, a Cloudflare protege o ritmo dos negócios", diz ele.

LendingTree
Estudos de caso relacionados
Principais resultados
  • O Gerenciamento de Bots da Cloudflare reduziu os ataques contra endpoints do API frequentemente abusados em 70%.

  • Com o Workers, a LendingTree resolveu imediatamente um problema de comunicação entre seus sistemas e o site de um parceiro sem tempo de inatividade e sem alterações de código.

  • O Rate Limiting da Cloudflare economizou US$ 250 mil para a LendingTree em cinco meses ao impedir o abuso de endpoints do API.

  • Com o pacote de desempenho da Cloudflare, a LendingTree aprimorou os tempos de carregamento de página em até 70%.

O Cloudflare Workers foi um divisor de águas para a LendingTree. Com ele, é possível executar JavaScript de modo assíncrono durante ou paralelamente a sessão de um cliente, manipular dados e tomar decisões sem afetar o desempenho ou a disponibilidade. Nenhuma outra solução oferece essa funcionalidade.

John Turner
Líder de segurança de aplicativos

Nos últimos quatro a cinco meses, o Rate Limiting da Cloudflare economizou cerca de US$ 250 mil ao impedir o abuso de nossos endpoints do API.

John Turner
Líder de segurança de aplicativos