Carousell

通过 Cloudflare Zero Trust 保护 Carousell 的内部网络，并提供无缝的远程员工访问

2012 年，Quek Siu Rui、Lucas Ngoo 和 Marcus Tan 想到了一个主意：一个基于智能手机和 Web 的市场，使购买商品就像聊天一样容易，让出售商品像拍照一样轻松。Carousell 把以上想法变成了现实。

Today, Carousell is one of Asia's largest C2C ecommerce marketplaces. They are one of the top lifestyle shopping apps in Singapore, Hong Kong, and Taiwan, and have a rapidly growing presence across Indonesia, Malaysia, Australia, and the Philippines. Carousell users turn to the site to buy cars, property, fashion, household appliances, assistive devices, and electronics. The site also hosts job listings and offers services across a continually expanding range of industries.

超过四分之一的新加坡人口使用 Carousell，随着越来越多的新加坡和国际用户被吸引到该网站，这个数字还在继续增长。

Cloudflare WAF 和全球云网络——始于 2016 年的成功合作

2016 年，Carousell 转向 Cloudflare，每月服务超过 1 PB 的图像，为其客户提供流畅的用户体验。随着流量的增加，Cloudflare 使 Carousell 能够满足其高强度的性能要求，确保在公司定期闪卖等高流量活动期间的正常运行。通过使用 Cloudflare 按需缓存动态页面，Carousell 能够毫无压力地处理 3 倍于其典型流量的峰值——竞争 CDN 提供商同样数据量的费用更高，但无法达到这一性能水平。

Carousell Group 的 DevOps、SRE（站点可靠性）、平台与网络安全工程高级总监 Sanjeev Jaiswal 表示：“我们与 Cloudflare 最初合作是为我们的 DNS 和 SSL 终止要求提供一个解决方案。随后，我们开始探索 Cloudflare Cache，并开始将我们的资源从另一个 CDN 迁移过来。”现在我们的 100% 内容已经被缓存。Cloudflare 的全球边缘网络处理我们的 CDN、WAF、缓存、SSL 端点和 DNS 需求。Cloudflare 帮助我们实现业务目标，并为我们的投资带来了极好的回报。”

In addition to speeding up and scaling the platform, Cloudflare protects Carousell against volumetric security threats like DDoS attacks and resource-draining bots, as well as malicious activity like cross-site scripting (XSS). The Cloudflare Web Application Firewall (WAF) leverages collective threat intelligence to identify and prevent malicious requests, empowering Carousell to proactively defend against incoming attacks and ensure application availability.

“The Cloudflare WAF ticks all of our boxes with OWASP (Open Web Application Security Project) and Cloudflare specialized rules. We can also easily add custom rules, making Cloudflare a perfect fit for our needs,” recalls Jaiswal. “After turning on the firewall features, there was no measurable hit on latency. Cloudflare security features don’t impact our overall site performance, and our user experience doesn’t degrade as we put more checks in place. That is one of the biggest ongoing benefits we see using Cloudflare.”

通过 Cloudflare Zero Trust 解决员工队伍安全挑战

Since 2019, Carousell has progressively embraced remote work to navigate the COVID-19 pandemic and to support an increasing international employee and contractor workforce. In light of these fundamental changes, Carousell began a strategic reexamination of its own organizational security. This meant a renewed focus on protecting internal infrastructure while providing secure employee access to corporate applications.

Jaiswal 说：“我们正在以全新的眼光看待一切，成立一个更大的安全团队，与外部审计人员合作，制定新的安全政策，并与安全研究人员和道德黑客一起参与漏洞赏金计划。我们的目标是，利用这些计划中取得的发现，以增强网站的能力，改善对 Carousell 基础设施和应用程序的访问，同时完善我们的身份和特权管理方法。”

在 Cloudflare 之前，该公司评估了一家竞争对手，其也是 Zero Trust 网络访问（ZTNA） 领域的早期进入者。但从采用和最终用户的角度来看，该供应商的复杂性都让人望而却步。

Jaiswal 说：“Carousell 在安全性和易用性方面并没有一个很棒的架构。这非常麻烦，我们不想在将来重复这种程度的复杂性。我们所考虑的另一个解决方案过于复杂而无法实施。对一台计算机进行简单的 SSH 访问，它也需要多个命令行参数。相比之下，Cloudflare Zero Trust 解决方案易于实施，且定义非常明确。”

Carousell implemented Cloudflare Zero Trust to safeguard access to its internal applications, websites, and domains across cloud and on-premise environments. The solution eliminated the company’s concerns about using riskier alternative access methods, such as IP- and geolocation-based controls or catch-all passwords.

通过 Cloudflare, Carousell 现在基于其首选身份提供者的验证授予应用程序访问权，管理员根据每个应用程序的用户角色和群组成员身份构建更强大的安全策略。在此过程中，Carousell 已经能够摆脱传统 VPN 作为单一访问点的模式，并恢复了对每个访问事件中的可见性。

Carousell 看到了 Cloudflare Zero Trust 的直接好处。无论是为访问应用而进行身份验证的员工，还是配置访问的安全团队，他们都节省了时间，提高了效率。

Jaiswal 说，“Cloudflare 简化了我们开发人员的远程连接，提高了生产效率。Zero Trust 解决方案提供了一个易于配置、具有预定义路由的代理，无需下载 VPN 配置文件、配置访问并确定它们需要连接到哪些资源。无缝连接到我们的生产和非生产资源均非常简单。仅此一项，每用户每月就至少节省 15 分钟。”

Jaiswal 继续说，“对于 SRE 团队来说，节省的时间还要多得多。我们不需要为不同的生产环境在多个不可靠的 VPN 隧道上进行故障排除和维护可用性。Cloudflare 为我们节省了数小时的痛苦和摩擦，让我们有时间专注于更大的项目和计划。”

实现 Zero Trust 网络访问还减少了 Carousell 维护内部安全策略的时间。集中式管理意味着很容易创建和维护用户角色，并能在员工离职时轻松撤销授权。

Jaiswal 说，“由于 Cloudflare 将用户凭据与他们的角色关联起来，当员工离开时，SRE 团队禁用和删除帐户并禁止防火墙访问是一件很简单的事情。单点管理大大简化了工作。”

Carousell 最初拥有 500 个 Zero Trust 许可证，目前正在寻求在整个业务部门将许可证数量扩展到总计 800-1000 名技术和非技术员工。

Carousell SRE 团队还在探索将 Cloudflare 速率限制（Rate Limiting）与现有云基础设施集成的方法。他们打算取代一款价格高达 5 倍但功能几乎相同的竞争产品。

虽然 Jaiswal 过去从未使用过 Cloudflare 解决方案，但在声称提供类似服务的产品方面拥有丰富经验，因此他对 Cloudflare 的易用性和持续的客户支持感到印象深刻。

他说：“根据 Cloudflare 条理清晰的入门教程和培训资料，我们能够制作自己的内部视频来加速学习曲线。更重要的是，从回答咨询到解决我们的问题，甚至提供未来的路线图公告，Cloudflare 的客户团队沟通良好。”

Jaiswal 补充说：“Cloudflare 提供综合全面的 Zero Trust 安全解决方案，易于使用且高度可靠。其成本更低，开箱即用，与我们现有云环境和基础设施无缝集成。”