Carousell

透過 Cloudflare Zero Trust，保護 Carousell 的內部網路，並提供順暢的遠端員工存取

在 2012 年，Quek Siu Rui、Lucas Ngoo 和 Marcus Tan 構想出以智慧型手機和 Web 為基礎的市場，讓人們在購買及銷售商品時，就像平時的聊天及拍照一樣輕鬆簡單。Carousell 就是在這個概念下催生出來的產物。

Today, Carousell is one of Asia's largest C2C ecommerce marketplaces. They are one of the top lifestyle shopping apps in Singapore, Hong Kong, and Taiwan, and have a rapidly growing presence across Indonesia, Malaysia, Australia, and the Philippines. Carousell users turn to the site to buy cars, property, fashion, household appliances, assistive devices, and electronics. The site also hosts job listings and offers services across a continually expanding range of industries.

在新加坡，有超過四分之一的人口使用 Carousell，並且隨著更多新加坡人及國際使用者紛紛投入網站，這一數據仍在持續增長。

Cloudflare WAF 與全球雲端網路：自 2016 年以來建立的成功合作夥伴關係

在 2016 年，Carousell 向 Cloudflare 求助，希望他們能夠提供每月超過 1 PB 的影像服務，並為其客戶提供順暢的使用者體驗。隨著流量增加，Cloudflare 協助 Carousell 滿足了密集的效能需求，同時在高流量事件期間（像是公司定期舉辦的限時搶購）確保了正常的運作時間。採用 Cloudflare 依需求快取動態頁面後，Carousell 即可在沒有壓力的情況下處理高於平時流量 3 倍的暴增情況；雖然類似資料量的成本增加，但提供的效能層級是與之競爭的 CDN 提供者無法比擬的。

「我們與 Cloudflare 的關係一開始是作為解決 DNS 和 SSL 終止需求的方案。之後，我們開始深入了解 Cloudflare Cache，並著手將資產從不同的 CDN 移過來」，Carousell DevOps、SR（網站可靠性）、平台及網路安全工程的資深總監 Sanjeev Jaiswal 解釋道。「我們現在實現了 100% 快取。Cloudflare 的全球邊緣網路照顧到我們在 CDN、WAF、快取、SSL 端點及 DNS 方面的需求。Cloudflare 協助我們達成業務目標，並讓我們獲得了卓越的投資回報。」

In addition to speeding up and scaling the platform, Cloudflare protects Carousell against volumetric security threats like DDoS attacks and resource-draining bots, as well as malicious activity like cross-site scripting (XSS). The Cloudflare Web Application Firewall (WAF) leverages collective threat intelligence to identify and prevent malicious requests, empowering Carousell to proactively defend against incoming attacks and ensure application availability.

“The Cloudflare WAF ticks all of our boxes with OWASP (Open Web Application Security Project) and Cloudflare specialized rules. We can also easily add custom rules, making Cloudflare a perfect fit for our needs,” recalls Jaiswal. “After turning on the firewall features, there was no measurable hit on latency. Cloudflare security features don’t impact our overall site performance, and our user experience doesn’t degrade as we put more checks in place. That is one of the biggest ongoing benefits we see using Cloudflare.”

透過 Cloudflare Zero Trust 解決員工安全性挑戰

Since 2019, Carousell has progressively embraced remote work to navigate the COVID-19 pandemic and to support an increasing international employee and contractor workforce. In light of these fundamental changes, Carousell began a strategic reexamination of its own organizational security. This meant a renewed focus on protecting internal infrastructure while providing secure employee access to corporate applications.

Jaiswal 說道：「我們現在會從全新角度觀察一切，引進擴大的安全性團隊、與外部稽核人員合作推動新版安全性原則，並且與安全性研究人員和道德駭客一同參與漏洞報告獎勵計畫。目標是為了從這些措施中取得結果、增強網站功能，以及改善對 Carousell 基礎結構和應用程式的存取，同時優化身分識別和權限管理的方法。」

在 Cloudflare 之前，該公司評估過一個競爭廠商；該廠商也是早期就加入 Zero Trust 網路存取 (ZTNA) 類別的成員。但實際從採用和終端使用者的角度看來，該廠商的複雜性令人望而卻步。

「Carousell 在安全性或易於存取等方面並沒有穩固的架構。它非常繁瑣，而且我們不想在日後升級時再重複那樣程度的複雜性。其他我們考慮過的解決方案則是複雜到難以實作。光是對單一機器的簡單 SSH 存取，就需要多個命令列參數。」Jaiswal 說。「相較之下，Cloudflare Zero Trust 解決方案非常容易實作，而且定義明確，」他補充道。

Carousell implemented Cloudflare Zero Trust to safeguard access to its internal applications, websites, and domains across cloud and on-premise environments. The solution eliminated the company’s concerns about using riskier alternative access methods, such as IP- and geolocation-based controls or catch-all passwords.

有了 Cloudflare，Carousell 現在可根據使用其偏好的識別提供者進行的驗證，授予應用程式存取權限，而且管理者可針對每個應用程式，根據使用者角色和群組成員資格，建置更穩健的安全性原則。在此過程中，Carousell 能夠擺脫作為單一存取點的傳統 VPN，並重新獲取對每次存取事件的可見度。

Carousell 看到了 Cloudflare Zero Trust 帶來的即時效益。他們為對應用程式進行驗證的員工以及設定存取權限的安全性團隊省下了時間，並提升了效率。

Jaiswal 說：「Cloudflare 簡化了我們開發人員的遠端連線並提升了生產力。無須下載 VPN 設定檔、設定存取權限，以及辨別他們需要連線至哪項資源，Zero Trust 解決方案提供了單一且易於設定的代理程式，還有預先定義的路由傳送功能。使用者可輕鬆順暢地連線至我們的生產或非生產資源，每月更為每位使用者最少省下 15 分鐘。」

「對於 SRE 團隊來說，節省的時間更多。我們不需要在多個不可靠的 VPN 通道上，針對不同生產環境進行疑難排解作業並維持可用性，」Jaiswal 接著說道，「Cloudflare 為我們省去數小時的痛苦和摩擦，並讓我們有時間專注於更大型的專案和措施。」

實作 Zero Trust 網路存取後，也減少了 Carousell 花在維護其內部安全性原則上的時間。集中管理意味著我們可以輕鬆建立及維護使用者角色，而且可在工作人員移交工作時輕鬆撤銷授權。

「因為 Cloudflare 將使用者認證與其角色重新建立關係，所以在員工離職時，SRE 團隊就能夠輕鬆停用並移除帳戶，以及禁用防火牆存取。擁有單點管理後，事情變得再簡單不過了，」Jaiswal 說道。

Carousell 最初只購買了 500 份 Zero Trust 授權，目前正打算擴展至各個業務單位的 800 至 1,000 名技術和非技術員工。

Carousell SRE 團隊也在探索一些方式，希望將 Cloudflare Rate Limiting 整合至其現有的雲端基礎結構中。他們打算替換掉一款成本高出 5 倍但功能幾乎相同的競爭產品。

雖然先前從未採用 Cloudflare 解決方案，但在使用了宣稱提供類似服務的多款產品後，Jaiswal 對 Cloudflare 的方便性和持續客戶支援方面印象深刻。

他說：「根據明確的 Cloudflare 上線課程和訓練材料，我們能夠匯集公司的內部影片並加速學習曲線。更重要的是，無論是回答疑問還是解決客戶問題，甚至是提供未來藍圖公告，Cloudflare 帳戶團隊的溝通管道可說是相當優秀。」

「Cloudflare 高效推出複雜的 Zero Trust 安全性解決方案，易於使用且如機械鐘錶般可靠。該解決方案不僅價格實惠、現成可用，還能夠順暢地整合至我們現有的雲端環境和基礎結構中，」Jaiswal 補充道