Carousell

透過 Cloudflare Zero Trust，保護 Carousell 的內部網路，並提供順暢的遠端員工存取

在 2012 年，Quek Siu Rui、Lucas Ngoo 和 Marcus Tan 構想出以智慧型手機和 Web 為基礎的市場，讓人們在購買及銷售商品時，就像平時的聊天及拍照一樣輕鬆簡單。Carousell 就是在這個概念下催生出來的產物。

如今，Carousell 是亞洲最大的 C2C 電子商務市場之一，也是業務範圍遍佈新加坡、香港及台灣的頂尖生活風格購物應用程式之一，並且迅速擴展至印尼、馬來西亞、澳大利亞及菲律賓。Carousell 使用者會在網站上購買汽車、房地產、時尚精品、家用電器、輔具及電子產品。該網站也有職缺公告，並在持續擴展的多個產業提供服務。

在新加坡，有超過四分之一的人口使用 Carousell，並且隨著更多新加坡人及國際使用者紛紛投入網站，這一數據仍在持續增長。

Cloudflare WAF 與全球雲端網路：自 2016 年以來建立的成功合作夥伴關係

在 2016 年，Carousell 向 Cloudflare 求助，希望他們能夠提供每月超過 1 PB 的影像服務，並為其客戶提供順暢的使用者體驗。隨著流量增加，Cloudflare 協助 Carousell 滿足了密集的效能需求，同時在高流量事件期間（像是公司定期舉辦的限時搶購）確保了正常的運作時間。採用 Cloudflare 依需求快取動態頁面後，Carousell 即可在沒有壓力的情況下處理高於平時流量 3 倍的暴增情況；雖然類似資料量的成本增加，但提供的效能層級是與之競爭的 CDN 提供者無法比擬的。

「我們與 Cloudflare 的關係一開始是作為解決 DNS 和 SSL 終止需求的方案。之後，我們開始深入了解 Cloudflare Cache，並著手將資產從不同的 CDN 移過來」，Carousell DevOps、SR（網站可靠性）、平台及網路安全工程的資深總監 Sanjeev Jaiswal 解釋道。「我們現在實現了 100% 快取。Cloudflare 的全球邊緣網路照顧到我們在 CDN、WAF、快取、SSL 端點及 DNS 方面的需求。Cloudflare 協助我們達成業務目標，並讓我們獲得了卓越的投資回報。」

除了加速及擴展平台之外，Cloudflare 還讓 Carousell 免受巨量安全性威脅，像是 DDoS 攻擊和資源耗費機器人，以及跨網站指令碼 (XSS) 等惡意活動。Cloudflare Web Application Firewall (WAF) 利用集體威脅情報來識別並防止惡意請求，讓 Carousell 有能力主動防禦傳入的攻擊並確保應用程式可用性。

Jaiswal 回憶道：「Cloudflare WAF 滿足我們在 OWASP（開放式 Web 應用程式安全性專案）和 Cloudflare 特定規則方面的所有需求。我們也可以輕鬆新增自訂規則，使得 Cloudflare 完美符合公司的需求。開啟防火牆功能後，對等待時間的衝擊難以估量。Cloudflare 安全性功能不會影響整體網站效能，而且在我們設定多項檢查後，還能保有使用者體驗的品質。這是我們在採用 Cloudflare 的過程中持續見證的最大優勢之一。」

透過 Cloudflare Zero Trust 解決員工安全性挑戰

自 2019 年以來，Carousell 逐步採納遠端工作，以便應對 COVID-19 疫情並為趨向國際化的員工和承包商工作團隊提供支援。有鑒於這些基本面的變化，Carousell 針對自身的組織安全性開啟了策略性重新審查作業。這意味著在讓員工可安全存取企業應用程式的同時，重新聚焦於保護內部基礎結構。

Jaiswal 說道：「我們現在會從全新角度觀察一切，引進擴大的安全性團隊、與外部稽核人員合作推動新版安全性原則，並且與安全性研究人員和道德駭客一同參與漏洞報告獎勵計畫。目標是為了從這些措施中取得結果、增強網站功能，以及改善對 Carousell 基礎結構和應用程式的存取，同時優化身分識別和權限管理的方法。」

在 Cloudflare 之前，該公司評估過一個競爭廠商；該廠商也是早期就加入 Zero Trust 網路存取 (ZTNA) 類別的成員。但實際從採用和終端使用者的角度看來，該廠商的複雜性令人望而卻步。

「Carousell 在安全性或易於存取等方面並沒有穩固的架構。它非常繁瑣，而且我們不想在日後升級時再重複那樣程度的複雜性。其他我們考慮過的解決方案則是複雜到難以實作。光是對單一機器的簡單 SSH 存取，就需要多個命令列參數。」Jaiswal 說。「相較之下，Cloudflare Zero Trust 解決方案非常容易實作，而且定義明確，」他補充道。

Carousell 實作了 Cloudflare Zero Trust，以便在雲端和內部部署環境中保障對其內部應用程式、網站及網域的存取。該解決方案消除了公司對於使用更高風險替代存取方式的憂慮，例如基於 IP 和地理位置的控制錯誤或能夠存取所有內容的密碼。

有了 Cloudflare，Carousell 現在可根據使用其偏好的識別提供者進行的驗證，授予應用程式存取權限，而且管理者可針對每個應用程式，根據使用者角色和群組成員資格，建置更穩健的安全性原則。在此過程中，Carousell 能夠擺脫作為單一存取點的傳統 VPN，並重新獲取對每次存取事件的可見度。

Carousell 看到了 Cloudflare Zero Trust 帶來的即時效益。他們為對應用程式進行驗證的員工以及設定存取權限的安全性團隊省下了時間，並提升了效率。

Jaiswal 說：「Cloudflare 簡化了我們開發人員的遠端連線並提升了生產力。無須下載 VPN 設定檔、設定存取權限，以及辨別他們需要連線至哪項資源，Zero Trust 解決方案提供了單一且易於設定的代理程式，還有預先定義的路由傳送功能。使用者可輕鬆順暢地連線至我們的生產或非生產資源，每月更為每位使用者最少省下 15 分鐘。」

「對於 SRE 團隊來說，節省的時間更多。我們不需要在多個不可靠的 VPN 通道上，針對不同生產環境進行疑難排解作業並維持可用性，」Jaiswal 接著說道，「Cloudflare 為我們省去數小時的痛苦和摩擦，並讓我們有時間專注於更大型的專案和措施。」

實作 Zero Trust 網路存取後，也減少了 Carousell 花在維護其內部安全性原則上的時間。集中管理意味著我們可以輕鬆建立及維護使用者角色，而且可在工作人員移交工作時輕鬆撤銷授權。

「因為 Cloudflare 將使用者認證與其角色重新建立關係，所以在員工離職時，SRE 團隊就能夠輕鬆停用並移除帳戶，以及禁用防火牆存取。擁有單點管理後，事情變得再簡單不過了，」Jaiswal 說道。

Carousell 最初只購買了 500 份 Zero Trust 授權，目前正打算擴展至各個業務單位的 800 至 1,000 名技術和非技術員工。

Carousell SRE 團隊也在探索一些方式，希望將 Cloudflare Rate Limiting 整合至其現有的雲端基礎結構中。他們打算替換掉一款成本高出 5 倍但功能幾乎相同的競爭產品。

雖然先前從未採用 Cloudflare 解決方案，但在使用了宣稱提供類似服務的多款產品後，Jaiswal 對 Cloudflare 的方便性和持續客戶支援方面印象深刻。

他說：「根據明確的 Cloudflare 上線課程和訓練材料，我們能夠匯集公司的內部影片並加速學習曲線。更重要的是，無論是回答疑問還是解決客戶問題，甚至是提供未來藍圖公告，Cloudflare 帳戶團隊的溝通管道可說是相當優秀。」

「Cloudflare 高效推出複雜的 Zero Trust 安全性解決方案，易於使用且如機械鐘錶般可靠。該解決方案不僅價格實惠、現成可用，還能夠順暢地整合至我們現有的雲端環境和基礎結構中，」Jaiswal 補充道