Carousell

Zero Trust von Cloudflare sichert die internen Netzwerke von Carousell ab und gewährleistet einen reibungslosen Remote-Zugang für Mitarbeitende

Im Jahr 2012 hatten Quek Siu Rui, Lucas Ngoo und Marcus Tan eine Idee: ein Smartphone- und Web-basierter Marktplatz, auf dem das Kaufen und Verkaufen per Chat und Schnappschüssen kinderleicht funktioniert. Mit Carousell haben sie dieses Konzept in die Realität umgesetzt.

Today, Carousell is one of Asia's largest C2C ecommerce marketplaces. They are one of the top lifestyle shopping apps in Singapore, Hong Kong, and Taiwan, and have a rapidly growing presence across Indonesia, Malaysia, Australia, and the Philippines. Carousell users turn to the site to buy cars, property, fashion, household appliances, assistive devices, and electronics. The site also hosts job listings and offers services across a continually expanding range of industries.

Gut ein Viertel der Bevölkerung in Singapur nutzt Carousell und dieser Anteil wächst, denn immer mehr Einwohner des Stadtstaats und Nutzer aus anderen Ländern entdecken die Website für sich.

Die Cloudflare-WAF und das globale Cloud-Netzwerk: eine erfolgreiche Partnerschaft seit 2016

Im Jahr 2016 hat sich Carousell an Cloudflare gewandt, um monatlich mehr als 1 PB an Bildinhalten bereitzustellen und eine reibungslose Nutzererfahrung zu bieten. Dank Cloudflare konnte Carousell die mit einem Anstieg des Traffics einhergehenden hohen Anforderungen an die Performance erfüllen, indem zu Zeiten starken Datenverkehrsaufkommens – etwa während regelmäßiger Blitz-Verkaufsaktionen – die Erreichbarkeit sichergestellt wurde. Carousell nutzt Cloudflare bei Bedarf zum Zwischenspeichern dynamischer Seiten und kann so mühelos mehr als das Dreifache des normalen Traffic-Volumens bewältigen. Eine Performance auf diesem Niveau konnten andere CDN-Provider trotz höherer Kosten und ähnlicher Datenmengen nicht vorweisen.

„Am Anfang unserer Beziehung zu Cloudflare stand eine Lösung für unseren DNS- und SSL-Entschlüsselungsbedarf. Dann haben wir begonnen, uns mit Cloudflare Cache zu beschäftigen und unsere Assets von einem anderen CDN zu migrieren“, erläutert Sanjeev Jaiswal, Senior Director of DevOps, SR (Site Reliability), Platform and Cybersecurity Engineering bei der Carousell Group. „Jetzt werden unsere Inhalte zu 100 % zwischengespeichert. Das globale Edge-Netzwerk von Cloudflare erfüllt unsere Bedürfnisse im Hinblick auf CDN, WAF, Caching, SSL-Endpunkte und DNS. Cloudflare hilft uns, unsere geschäftlichen Ziele zu erreichen, und bietet ein hervorragendes Kosten-Nutzen-Verhältnis.“

In addition to speeding up and scaling the platform, Cloudflare protects Carousell against volumetric security threats like DDoS attacks and resource-draining bots, as well as malicious activity like cross-site scripting (XSS). The Cloudflare Web Application Firewall (WAF) leverages collective threat intelligence to identify and prevent malicious requests, empowering Carousell to proactively defend against incoming attacks and ensure application availability.

“The Cloudflare WAF ticks all of our boxes with OWASP (Open Web Application Security Project) and Cloudflare specialized rules. We can also easily add custom rules, making Cloudflare a perfect fit for our needs,” recalls Jaiswal. “After turning on the firewall features, there was no measurable hit on latency. Cloudflare security features don’t impact our overall site performance, and our user experience doesn’t degrade as we put more checks in place. That is one of the biggest ongoing benefits we see using Cloudflare.”

Cloudflare Zero Trust löst mitarbeitendenbezogene Sicherheitsprobleme

Since 2019, Carousell has progressively embraced remote work to navigate the COVID-19 pandemic and to support an increasing international employee and contractor workforce. In light of these fundamental changes, Carousell began a strategic reexamination of its own organizational security. This meant a renewed focus on protecting internal infrastructure while providing secure employee access to corporate applications.

„Wir betrachten alles mit neuem Blick, erweitern unsere IT-Sicherheitsabteilung, arbeiten mit externen Prüfern an der Einführung neuer Sicherheitsrichtlinien und beteiligen uns an einem „Bug Bounty“-Programm mit Forschenden aus dem Bereich IT-Sicherheit und ethischen Hackern“, erläutert Jaiswal. „Anhand der aus diesen Initiativen gewonnenen Erkenntnisse wollen wir die Website-Funktionen erweitern und den Zugriff sowohl auf die Infrastruktur als auch auf die Anwendungen von Carousell verbessern sowie im gleichen Zuge unsere Identitäts- und Zugriffsrechteverwaltung verfeinern.“

Vor der Zusammenarbeit mit Cloudflare hatte das Unternehmen einen Wettbewerber in Erwägung gezogen, der sich früh dem ZTNA (Zero Trust Network Access)-Modell verschrieben hat. Doch letztlich erwies sich die betreffende Lösung sowohl hinsichtlich ihrer Einführung als auch unter Endnutzerperspektive als zu kompliziert.

„In Bezug auf Sicherheit oder Leichtigkeit des Zugangs war die Carousell-Architektur nicht besonders gut. Wir wollten diese Schwerfälligkeit und Komplexität in unserem neuen Modell nicht reproduzieren“, so Jaiswal. „Bei der anderen von uns erwogenen Lösung war die Implementierung viel zu kompliziert. Sie hätte mehrere Befehlszeilenparameter für den einfachen SSH-Zugriff auf ein einzelnes Geräte erfordert. Die Zero Trust-Lösung von Cloudflare war im Gegensatz dazu leicht einzuführen und sehr gut definiert.“

Carousell implemented Cloudflare Zero Trust to safeguard access to its internal applications, websites, and domains across cloud and on-premise environments. The solution eliminated the company’s concerns about using riskier alternative access methods, such as IP- and geolocation-based controls or catch-all passwords.

Dank Cloudflare kann Carousell jetzt zur Gewährung des Anwendungszugriffs den von der Firma bevorzugten Identitätsanbieter nutzen. Administratoren sind zudem in der Lage, anhand der Funktion des Nutzers im Unternehmen und dessen Gruppenzugehörigkeit für jede Anwendung individuell robustere Sicherheitsrichtlinien zu entwickeln. Dadurch konnte Carousell sich vom herkömmlichen VPN als einzigem Zugangsweg verabschieden und wieder einen Überblick über sämtliche Zugriffsereignisse erlangen.

Für Carousell hat sich die Umstellung auf die Zero Trust-Lösung von Cloudflare sofort ausgezahlt. Sowohl die Beschäftigten, die sich bei Anwendungen authentifizieren, als auch das IT-Sicherheitsteam, das den Zugang konfiguriert, spart Zeit und kann effizienter arbeiten.

„Cloudflare optimiert den Remote-Zugriff unserer Entwickler und erhöht die Produktivität. Früher mussten sie VPN-Profile herunterladen, Zugriffsrechte konfigurieren und ermitteln, mit welcher Ressource sie sich verbinden müssen. Nun bietet ihnen die Zero Trust-Lösung einen einzigen, leicht zu konfigurierenden Agenten mit vordefiniertem Routing. Der Zugriff auf unsere Betriebs- und Nicht-Betriebsressourcen erfolgt mühelos. Allein schon dadurch sparen wir pro Nutzer mindestens 15 Minuten im Monat“, so Jaiswal.

„Noch weitaus größer sind die Einsparungen aber beim SRE-Team. Wir müssen uns nicht mit der Fehlerbehebung beschäftigen oder uns um die Aufrechterhaltung mehrerer unzuverlässiger VPN-Tunnel für verschiedene Betriebsumgebungen kümmern“, fügt er hinzu. „Cloudflare erspart uns Stunden mühsamer Arbeit und Reibungsverluste. Dadurch haben wir mehr Zeit, uns auf größere Projekte und Initiativen zu konzentrieren.“

Seit der Einführung des Zero Trust Network Access ist auch der Zeitaufwand für die Pflege interner Sicherheitsrichtlinien bei Carousell gesunken. Bei einer zentral organisierten Verwaltung können Benutzerrollen unkompliziert erstellt und auf dem aktuelle Stand gehalten werden. Genauso leicht lassen sich Zugriffsrechte widerrufen, wenn die Personalfluktuation dies erforderlich macht.

„Cloudflare verknüpft die Anmeldedaten der Anwender mit ihrer Benutzerrolle. Dadurch ist es für die SRE-Abteilung ganz leicht, Profile zu deaktivieren und zu löschen und den Zugriff auf die Firewall zu unterbinden, wenn jemand aus dem Unternehmen ausscheidet“, erkärt Jaiswal. „Dass es nur diese eine Verwaltungsschnittstelle gibt, vereinfacht die Sache ganz erheblich.“

Carousell hat mit 500 Zero Trust-Lizenzen begonnen und will dies nun auf 800–1.000 Beschäftigte verschiedener Geschäftseinheiten aus dem technischen Bereich und anderen Abteilungen ausweiten.

Das SRE-Team von Carousell untersucht außerdem gerade, wie sich die Durchsatzbegrenzung von Cloudflare in die bestehende Cloud-Infrastruktur des Unternehmens integrieren lässt. Geplant ist, ein Konkurrenzprodukt zu ersetzen, das bis zu fünfmal teurer ist, aber so gut wie identische Services bietet.

Jaiswal hatte noch nicht mit Cloudflare-Lösungen gearbeitet, verfügte aber über reichlich Erfahrung mit vergleichbaren Konkurrenzprodukten. Ihn beeindruckte besonders die Benutzerfreundlichkeit und der kontinuierliche Kunden-Support von Cloudflare.

„Mithilfe gut verständlicher Onboarding- und Schulungs-Tutorials von Cloudflare waren wir in der Lage, eigene interne Videos zu erstellen und so den Lernprozess zu beschleunigen“, erklärt er. „Wichtiger noch: Die Kundenbetreuenden von Cloudflare kommunizieren sehr gut, ob es nun um die Beantwortung von Fragen, die Lösung von Problemen oder sogar über Auskünfte zu geplanten Produkteinführungen geht.“

„Cloudflare stellt auf effiziente Weise eine komplexe Sicherheitslösung nach dem Zero Trust-Prinzip bereit, die benutzerfreundlich und absolut zuverlässig ist“, ergänzt Jaiswal. „Sie ist günstiger, sofort einsatzbereit und fügt sich nahtlos in unsere bestehende Cloud-Umgebung und Infrastruktur ein.“