LendingTree

Cloudflare 的安全性、效能及無伺服器解決方案以商業速度為 LendingTree 提供了安全保障

LendingTree 是一個線上市場，可讓消費者和企業借債人接觸多位放款人，並針對抵押、助學貸款、企業貸款、信用卡、存款帳戶及保險找出最佳條款。LendingTree 與全球 400 多家金融機構建立了合作關係。超過 1,500 萬位活躍使用者利用 LendingTree 監控他們的額度、選購貸款，並管理自身的財務狀況。

面臨困難：替換掉封鎖大量合法流量的極昂貴安全性解決方案

當應用程式安全性主管 John Turner 加入 LendingTree 的團隊時，公司正經歷與安全性廠商相關的多項成本和效能問題。廠商的 DDoS 防護計量收費，讓 LendingTree 因此產生大量的超額成本。該解決方案還會封鎖合法流量。

「他們的解決方案不夠智慧，而且是靜態方案，」Turner 解釋道，「我們必須手動指定每分鐘要求數的任意限制。在我們超過該數字後，廠商就會卸載該流量、代我們處理，並向我們收取超額費用。」

只要 LendingTree 推出行銷活動，這些限制就會造成嚴重問題。「每當我們播放新的電視廣告或推動新的社交媒體活動時，要求即會暴增並超過廠商讓我們指定的任意限制，這表示廠商會將暴增情況視為 DDoS 攻擊並封鎖合法流量，」Turner 回憶道，「我們不但損失了那些潛在客戶，更損失了我們用於讓他們造訪網站的成本，而且廠商還會向我們收取『DDoS 防護』的費用。」

Turner 求助於 Cloudflare，是因為他先前曾與這家公司合作。「我在顧問工作上多次向客戶推薦 Cloudflare。我知道 Cloudflare 的產品運作良好且物有所值，」他說道。在 LendingTree 中，Turner 決定實作 Cloudflare 的效能和安全性套件，包括機器人管理、WAF 及 DDoS 防護，同時還有 Cloudflare 的無伺服器平台 Workers。

Cloudflare 機器人管理阻止惡意機器人濫用 LendingTree 的 API

Cloudflare 的 DDoS 緩解不計量收費，且提供 51 Tbps 的緩解能力，因此 LendingTree 不必擔心設定任意流量限制的問題。LendingTree 更從 Cloudflare 獲得了許多其他的安全性優勢，包括機器人管理。

濫用 LendingTree API 的惡意機器人讓公司耗費不少資金，包括頻寬成本與機會成本。鑒於機器人的複雜性及剽竊財務資料的狀況，Turner 認為其中一些機器人是由競爭對手部署的。LendingTree 無法完全限制 API，因為其合作夥伴需要能夠存取 API 以便取得最新利率資訊。

「我們的特定 API 服務帳單幾乎一夜之間從每月 10,000 美元突增到 75,000 美元。下一個月則爬升至 150,000 美元，」Turner 解釋道。「我的團隊必須花上一段時間調查這些攻擊並編寫自訂規則，以便嘗試阻止它們。因為攻擊者手法不斷調整，所以我們編寫的規則效果有限，而且持續時間不長。」

Cloudflare 機器人管理為 LendingTree 提供了立竿見影的結果。「在啟用 Cloudflare 機器人管理的 48 小時內，針對特定 API 端點的攻擊降低了 70%，」Turner 報告道。

不同於 LendingTree 先前採用的解決方案，Cloudflare 機器人管理不會阻止合法的自動化流量。「在數十萬個要求之中，我們只發現一次將合法要求標示為惡意行為的情況」，Turner 說道。

Turner 也收到確認，證實至少有一個競爭對手確實濫用 LendingTree 的 API。「在我們阻止 API 濫用之後，某個特定競爭對手的利率立即上升，」他回憶道。「然後，我看到有新聞報道說，突然間，除了 LendingTree 之外，其他公司都開始報出很高的抵押貸款利率。我們強烈懷疑競爭對手抓取我們的 API，並使用我們自己的資料削弱我們。」

Cloudflare Workers 讓 LendingTree 能夠在網路邊緣進行 A/B 測試並路由流量

Turner 表示他利用 Cloudflare Workers 無伺服器平台，在網路邊緣上快速解決編碼問題。「Workers 就像是我的瑞士軍刀。我將它用於多種用例，」他解釋道。「它讓我能夠輕鬆解決重寫程式碼所不能快速補救的問題。」這些使用案例包括注入跨原始來源資源共用標頭、重新編寫參數、檢查封包、執行 A/B 測試，以及審查並路由傳入 TLS 流量。

「Workers 會審查傳入要求來確認它們是 TLS 1.0，然後再路由傳送這些要求，」Turner 解釋道。「多虧有 Workers，我才能夠識別這些流量大多數都是來自我們自家的伺服器，儘管這些伺服器就位於同一資料中心內彼此相鄰的位置，它們卻透過網際網路來通訊。沒有 Workers 的協助，我無法發現這一問題。擁有在邊緣上執行程式碼並據此路由流量的能力後，我們節省了金錢和時間。」

最近，Turner 利用 Workers 注入跨原始來源資源共用 (CORS) 標頭，並解決了 LendingTree 系統與其中一個合作夥伴網站（由 AOL 營運）之間的通訊問題。「我們能夠利用 Workers 識別問題並在幾分鐘內恢復服務，不會停機，也不用變更任何程式碼，」Turner 回憶道。「沒有 Workers 的話，我們就必須重構程式碼並變更伺服器，這通常需要好幾週的時間。」

Workers 改變了 LendingTree 進行 A/B 測試的方式。在使用 Workers 之前，LendingTree 必須使用 NGINX 代理在他們那一端執行所有 A/B 測試。Turner 說：「我們擁有一整個內部編寫的 A/B 測試系統。」現在，LendingTree 開始使用 Cloudflare Workers 在網路邊緣進行 A/B 測試，進而產生更佳的效能並降低複雜性。

「Cloudflare Workers 給 LendingTree 帶來了顛覆性的變革。我們可以在用戶端工作階段內或與之同時以非同步方式執行 JavaScript，操縱資料及作出決策，而且不會影響效能或可用性，」Turner 說道。「沒有任何其他解決方案擁有這項功能。」

其他 Cloudflare 安全性和效能工具提供更多保護、最佳化及成本節省

LendingTree 在組織內整合了一些 Cloudflare 安全性和效能工具。

例如，LendingTree 將機器人管理與 Cloudflare Rate Limiting 和自訂的 WAF 規則相結合，藉此進一步強化他們針對惡意機器人的保護措施。「在過去的四至五個月中，Cloudflare Rate Limiting 阻止了我們 API 端點的濫用事件，為我們省下大約 250,000 美元，」Turner 說道。

Cloudflare WAF 是 LendingTree 安全性防禦的另一項關鍵元件。「Cloudflare WAF 的實力與它的價格極為相稱，但更為重要的是，它易於使用且運作情況相當優良，」Turner 說道。「我們不再需要專職團隊來管理 WAF 規則或掌握威脅情報源。Cloudflare WAF 替我們搞定一切。」

當 LendingTree 注意到轉換率下降時，Google 即建議公司改善其頁面載入時間。Turner 利用 Cloudflare 的效能最佳化工具進行了部分變更，然後要求 Google 重新檢查 LendingTree 的頁面載入時間。Google 的員工相當震驚。「只是運用內建的 Cloudflare 效能功能，我們就將頁面載入時間提升了高達 70%，」Turner 回憶道。「Google 的員工說，他們從未見過僅僅做出少量變更就能如此快速提升網站效能的情況。」

LendingTree 利用 Cloudflare TLS 憑證節省費用，並防止因憑證過期而導致服務中斷的情況。「我們擁有數千不同的資產。在這麼大的規模下，錯過憑證續訂作業只是時間的問題，」Turner 解釋道。「利用 Cloudflare 可自動續訂的 TLS 憑證，我們一年省下了 50,000 美元，這包括管理成本以及因憑證過期中斷服務而造成的收益損失。」

Turner 表示，LendingTree 憑藉 Cloudflare 省下的費用超過了支付 Cloudflare 服務的成本。「Cloudflare 讓我們能夠快速、安全及可靠地交付產品，以商業速度為我們提供了安全保障，」他說道。