Carousell

Sécuriser les réseaux internes de Carousell et assurer un accès fluide à leurs collaborateurs distants grâce à Cloudflare Zero Trust

En 2012, Quek Siu Rui, Lucas Ngoo et Marcus Tan ont eu une idée : lancer une place de marché sur smartphone et en ligne permettant de rendre l'achat de biens aussi simple qu'une session de chat et la revente de ces derniers aussi facile que le fait de prendre une photo. Cette idée s'est concrétisée sous la forme de Carousell.

Today, Carousell is one of Asia's largest C2C ecommerce marketplaces. They are one of the top lifestyle shopping apps in Singapore, Hong Kong, and Taiwan, and have a rapidly growing presence across Indonesia, Malaysia, Australia, and the Philippines. Carousell users turn to the site to buy cars, property, fashion, household appliances, assistive devices, and electronics. The site also hosts job listings and offers services across a continually expanding range of industries.

Plus d'un quart de la population de Singapour utilise Carousell et ce chiffre continue de croître à mesure que de nouveaux utilisateurs singapouriens et internationaux affluent vers le site.

Le pare-feu WAF et le réseau cloud mondial de Cloudflare : un partenariat fructueux depuis 2016

En 2016, Carousell a fait appel à Cloudflare pour diffuser plus de 1 Po d'images par mois et assurer une expérience utilisateur fluide à ses clients. Lorsque le trafic a augmenté, Cloudflare a permis à Carousell de répondre à ses exigences en termes d'intensité des performances, en garantissant sa disponibilité lors des événements fortement générateurs de trafic, comme les « ventes flash » régulières de l'entreprise. En utilisant Cloudflare pour mettre en cache des pages dynamiques selon les besoins, Carousell peut sans problème faire face à des pics supérieurs à trois fois son trafic habituel, un niveau de performances que les fournisseurs de réseau CDN concurrents se sont vus incapables d'égaler, malgré des coûts plus élevés pour des volumes de données similaires.

« Notre relation avec Cloudflare a débuté sous la forme d'une solution pour nos exigences en matière de DNS et de terminaison SSL. Nous avons ensuite exploré les possibilités du cache de Cloudflare et commencé à faire migrer nos ressources, auparavant situées sur un CDN différent », explique Sanjeev Jaiswal, le Senior Director of DevOps, SR (Site Reliability, fiabilité des sites), Platform and Cybersecurity Engineering, de Carousell Group. « Nous sommes désormais à 100 % en cache sur Cloudflare. Le réseau périphérique mondial de Caching s'occupe de notre CDN, de notre pare-feu WAF, de la mise en cache, des points de terminaison SSL et de nos exigences DNS. Cloudflare nous aide à atteindre nos objectifs commerciaux, tout en nous assurant un excellent retour sur investissement. »

In addition to speeding up and scaling the platform, Cloudflare protects Carousell against volumetric security threats like DDoS attacks and resource-draining bots, as well as malicious activity like cross-site scripting (XSS). The Cloudflare Web Application Firewall (WAF) leverages collective threat intelligence to identify and prevent malicious requests, empowering Carousell to proactively defend against incoming attacks and ensure application availability.

“The Cloudflare WAF ticks all of our boxes with OWASP (Open Web Application Security Project) and Cloudflare specialized rules. We can also easily add custom rules, making Cloudflare a perfect fit for our needs,” recalls Jaiswal. “After turning on the firewall features, there was no measurable hit on latency. Cloudflare security features don’t impact our overall site performance, and our user experience doesn’t degrade as we put more checks in place. That is one of the biggest ongoing benefits we see using Cloudflare.”

Résoudre les défis en matière de sécurité des effectifs grâce à Cloudflare Zero Trust

Since 2019, Carousell has progressively embraced remote work to navigate the COVID-19 pandemic and to support an increasing international employee and contractor workforce. In light of these fundamental changes, Carousell began a strategic reexamination of its own organizational security. This meant a renewed focus on protecting internal infrastructure while providing secure employee access to corporate applications.

« Nous observons chaque processus avec un regard neuf, grâce à l'intégration d'une équipe de sécurité élargie, à la collaboration avec des auditeurs externes afin de mettre en place de nouvelles politiques de sécurité, de même qu'à notre participation à un programme de primes aux bugs en compagnie de chercheurs en sécurité et de hackers éthiques », déclare Jaiswal. « L'objectif ici consiste à tirer nos propres conclusions de ces initiatives, ainsi qu'à améliorer l'accès à l'infrastructure et aux applications de Carousell, tout en affinant notre approche de la gestion des identités et des privilèges. »

Avant de faire appel à Cloudflare, Carousell évaluait un concurrent, doublé d'un précurseur, dans la catégorie de l'accès réseau Zero Trust (ZTNA). La complexité présentée par ce fournisseur s'est toutefois avérée prohibitive, tant du point de vue de l'adoption que de l'utilisateur final.

« Carousell ne disposait pas d'une architecture particulièrement remarquable en termes de sécurité ou de facilité d'accès. Elle était tellement lourde que nous ne souhaitions pas réitérer ce niveau de complexité à l'avenir », précise Jaiswal. « L'autre solution que nous envisagions se montrait bien trop compliquée à implémenter. Elle nécessitait plusieurs paramètres de ligne de commande pour configurer un simple accès SSH à une machine donnée. En comparaison, la solution Cloudflare Zero Trust s'est révélée facile à mettre en œuvre et particulièrement bien définie », ajoute-t-il.

Carousell implemented Cloudflare Zero Trust to safeguard access to its internal applications, websites, and domains across cloud and on-premise environments. The solution eliminated the company’s concerns about using riskier alternative access methods, such as IP- and geolocation-based controls or catch-all passwords.

Grâce à Cloudflare, Carousell accorde désormais les accès aux applications en fonction d'une procédure de vérification effectuée auprès de son fournisseur d'identité préféré. De même, les administrateurs conçoivent des politiques de sécurité plus robustes basées sur le rôle de l'utilisateur et l'appartenance à un groupe, pour chaque application. Carousell a ainsi pu se détourner de l'emploi d'une solution VPN traditionnelle en tant qu'unique point d'accès et a récupéré de la visibilité sur chaque événement d'accès.

L'entreprise a constaté des avantages immédiats à l'utilisation de Cloudflare Zero Trust. Elle a économisé du temps et amélioré son efficacité, à la fois pour les collaborateurs cherchant à s'authentifier auprès des applications et pour l'équipe de sécurité qui configure les accès.

« Cloudflare rationalise les connexions à distance de nos développeurs et améliore notre productivité. Plutôt que de télécharger des profils de VPN, de configurer les accès et de déterminer à quelle ressource les utilisateurs doivent se connecter, la solution Zero Trust propose un agent unique facile à configurer et doté d'un schéma de routage prédéfini. Le processus de connexion à nos ressources de production, ainsi qu'aux autres ressources, s'effectue de manière simple et fluide. Ce seul constat nous permet d'économiser un minimum de 15 minutes par utilisateur chaque mois », affirme Jaiswal.

« Les économies réalisées s'avèrent bien plus substantielles du côté de l'équipe SRE. Nous n'avons pas besoin de dépanner et d'entretenir la disponibilité de plusieurs tunnels VPN non fiables pour différents environnements de production », poursuit Jaiswal. « En nous économisant des heures de travail difficile et de frictions, Cloudflare nous redonne du temps à consacrer à nos projets et à nos initiatives de plus grande envergure. »

La mise en œuvre de l'accès réseau Zero Trust a également permis de réduire le temps passé par Carousell à entretenir ses politiques de sécurité internes. Une administration centralisée implique une grande facilité de création et d'entretien des rôles utilisateur. Les autorisations peuvent de même être révoquées tout aussi simplement, afin de suivre les changements au niveau du personnel.

« Comme Cloudflare lie à nouveau les identifiants d'un utilisateur à son rôle, lorsqu'un collaborateur nous quitte, il suffit à l'équipe SRE de désactiver son compte (avant de supprimer purement et simplement ce dernier) pour lui interdire l'accès au pare-feu », déclare Jaiswal. « Le fait de disposer d'un point d'administration unique nous simplifie grandement le processus. »

Carousell a commencé avec 500 licences Zero Trust et cherche actuellement à étendre la solution à ses unités opérationnelles, pour un total de 800 à 1 000 collaborateurs techniques et non techniques.

L'équipe SRE de Carousell explore également différents moyens d'intégrer le service de limitation de débit de Cloudflare à son infrastructure cloud existante. Elle cherche à remplacer un produit concurrent coûtant jusqu'à cinq fois plus cher pour des fonctionnalités quasi identiques.

Jaiswal n'avait jamais travaillé avec les solutions Cloudflare par le passé, mais pouvait s'appuyer sur une grande expérience des produits prétendant offrir des services similaires. Il a néanmoins été particulièrement impressionné par la simplicité d'utilisation de Cloudflare et son service client en continu.

« Grâce aux didacticiels d'intégration et aux documents de formation de Cloudflare, d'une clarté à toute épreuve, nous avons pu mettre en place nos propres vidéos en interne afin de dynamiser la courbe d'apprentissage », précise-t-il. « Plus important encore, les équipes chargées des comptes chez Cloudflare communiquent de manière admirable, des réponses à nos questions à la résolution des problèmes, en passant par les annonces concernant la roadmap et les développements à venir. »

« Cloudflare propose avec grande efficacité une solution de sécurité Zero Trust complexe, facile à utiliser et fiable comme un mécanisme d'horlogerie », ajoute Jaiswal. « Elle est moins chère, fonctionne immédiatement et s'intègre parfaitement à notre infrastructure existante, notamment notre environnement cloud. »