En 2012, Quek Siu Rui, Lucas Ngoo y Marcus Tan tuvieron la idea de crear un mercado de comercio electrónico en el que el proceso de compra fuese tan sencillo como chatear, y en el que se pudiese vender con tan solo sacar una foto. Carousell es esa idea hecha realidad.
Today, Carousell is one of Asia's largest C2C ecommerce marketplaces. They are one of the top lifestyle shopping apps in Singapore, Hong Kong, and Taiwan, and have a rapidly growing presence across Indonesia, Malaysia, Australia, and the Philippines. Carousell users turn to the site to buy cars, property, fashion, household appliances, assistive devices, and electronics. The site also hosts job listings and offers services across a continually expanding range of industries.
Más de una cuarta parte de la población de Singapur utiliza Carousell, y esa cifra sigue creciendo a medida que más usuarios singapurenses e internacionales visitan el sitio.
En 2016, Carousell recurrió a Cloudflare para entregar más de 1 petabyte de imágenes al mes y proporcionar una experiencia de usuario eficaz a sus clientes. A medida que aumentaba el tráfico, Cloudflare permitió a Carousell cumplir con sus exigentes requisitos de rendimiento, garantizando el tiempo activo durante los eventos de picos de tráfico, como las rebajas frecuentes de la empresa. Al utilizar Cloudflare para almacenar en caché las páginas dinámicas en función de las necesidades, Carousell es capaz de gestionar picos de más de 3 veces su tráfico habitual sin esfuerzo, un nivel de rendimiento que los proveedores de CDN de la competencia no podían igualar a pesar de los costes más elevados para volúmenes de datos similares.
"Nuestra relación con Cloudflare comenzó cuando solicitamos una solución para nuestros requisitos de DNS y terminación de SSL. Luego comenzamos a explorar la caché de Cloudflare y empezamos a trasladar nuestros activos desde una CDN diferente", explica Sanjeev Jaiswal, director sénior de DevOps, fiabilidad del sitio, plataforma e ingeniería de ciberseguridad de Carousell Group. "Ahora el 100 % de nuestro contenido está en caché. La red global de Cloudflare se encarga de nuestros requisitos de CDN, WAF, caché, puntos finales SSL y DNS. Cloudflare nos ayuda a cumplir nuestros objetivos empresariales y nos ofrece un rendimiento excelente de nuestra inversión".
Además de acelerar y escalar la plataforma, Cloudflare protege a Carousell de las amenazas de seguridad volumétricas, tales como los ataques DDoS, los bots que consumen recursos y la actividad maliciosa, como el scripting entre sitios (XSS). El WAF de Cloudflare aprovecha la información colectiva de amenazas para identificar y prevenir las solicitudes maliciosas, lo que permite a Carousell defenderse de forma proactiva contra los ataques entrantes y garantizar la disponibilidad de la aplicación.
“The Cloudflare WAF ticks all of our boxes with OWASP (Open Web Application Security Project) and Cloudflare specialized rules. We can also easily add custom rules, making Cloudflare a perfect fit for our needs,” recalls Jaiswal. “After turning on the firewall features, there was no measurable hit on latency. Cloudflare security features don’t impact our overall site performance, and our user experience doesn’t degrade as we put more checks in place. That is one of the biggest ongoing benefits we see using Cloudflare.”
Desde 2019, Carousell ha implementado progresivamente el trabajo remoto para hacer frente a los desafíos de la COVID-19, y apoyar a un equipo de trabajo cada vez más internacional de usuarios y proveedores. En vista de estos cambios fundamentales, Carousell comenzó una nueva evaluación estratégica de su propia seguridad organizacional. Este proceso supuso renovar el enfoque en la protección de la infraestructura interna, y garantizar a los usuarios un acceso seguro a las aplicaciones corporativas.
"Estamos analizando nuestra estrategia a través de un nuevo prisma. Hemos incorporado un equipo de seguridad más amplio, estamos trabajando con auditores externos para establecer nuevas políticas de seguridad y participamos en un programa de recompensas por errores con investigadores de seguridad y hackers éticos", afirma Jaiswal. "El objetivo es aprender de estas iniciativas, mejorar las capacidades del sitio y el acceso a la infraestructura y las aplicaciones de Carousell, al tiempo que ajustamos nuestro enfoque de gestión de identidades y privilegios".
Antes de Cloudflare, la empresa evaluó a un competidor y nuevo operador en la categoría de acceso a la red Zero Trust (ZTNA). Sin embargo, su complejidad resultó prohibitiva tanto desde el punto de vista de la implementación como del usuario final.
"Carousell no tenía una gran arquitectura en términos de seguridad o facilidad de acceso. Era muy engorroso, y no queríamos repetir ese nivel de complejidad en el futuro", sostiene Jaiswal". "La implementación de la otra solución que consideramos era demasiado complicada. Requería varias parámetros de línea de comandos para un simple acceso SSH a un solo dispositivo. En comparación, la solución Cloudflare Zero Trust era fácil de implementar y estaba muy bien definida", añade.
Carousell implementó Cloudflare Zero Trust para proteger el acceso a sus aplicaciones internas, sitios web y dominios en entornos de nube y locales. La solución disipó la preocupación de la empresa acerca del uso de métodos de acceso alternativos más arriesgados, como los controles basados en la IP y la geolocalización o las contraseñas comodín.
Con Cloudflare, Carousell concede ahora acceso a las aplicaciones basándose en la verificación con su proveedor de identidad preferido, y los administradores crean políticas de seguridad más sólidas basadas en el cargo del usuario y la pertenencia a un grupo por aplicación. En el proceso, Carousell ha podido alejarse de su tradicional VPN como único punto de acceso y ha recuperado la visibilidad de cada evento de acceso.
Carousell obtuvo beneficios inmediatos gracias a Cloudflare Zero Trust. Ahorraron tiempo y mejoraron la eficiencia tanto de los usuarios que se autentican en las aplicaciones como del equipo de seguridad que configura el acceso.
"Cloudflare agiliza las conexiones remotas de nuestros desarrolladores y mejora la productividad. En lugar de descargar perfiles de VPN, configurar el acceso y averiguar a qué recurso deben conectarse, la solución Zero Trust proporciona un único agente de fácil configuración con enrutamiento predefinido. Se conecta fácilmente a nuestros recursos de producción o no producción. Solo eso ahorra un mínimo de 15 minutos por usuario al mes", explica Jaiswal.
"En lo que respecta al equipo de ingeniería de fiabilidad del sitio, el ahorro es mucho mayor. No necesitamos solucionar problemas y mantener la disponibilidad en varios túneles VPN poco fiables para diferentes entornos de producción", continúa Jaiswal. "Cloudflare nos ahorra horas de problemas y complicaciones y nos permite tener tiempo para centrarnos en nuestros proyectos e iniciativas de mayor envergadura".
La implementación del acceso a la red Zero Trust también ha reducido el tiempo que Carousell dedica a mantener sus políticas de seguridad internas. La administración centralizada significa que las funciones de los usuarios se crean y se mantienen fácilmente, y las autorizaciones se revocan con la misma facilidad cuando el personal cambia.
"Como Cloudflare vincula las credenciales de un usuario a su función, cuando un empleado se va, es fácil para el equipo de ingeriería de fiabilidad del sitio (SRE) desactivar y eliminar las cuentas y prohibir el acceso al firewall", asegura Jaiswal. "Tener ese único punto de administración simplifica mucho las cosas".
Carousell comenzó con 500 licencias de Zero Trust, y actualmente planea expandir sus unidades de negocio hasta un total de 800-1 000 empleados con perfil técnico y no técnico.
El equipo de ingeniería de fiabilidad del sitio de Carousell también está estudiando formas de integrar la función de limitación de velocidad de Cloudflare con su infraestructura de nube existente. Pretenden sustituir un producto de la competencia que es hasta 5 veces más caro, pero que ofrece una funcionalidad casi idéntica.
Jaiswal, que a pesar de no haber trabajado nunca con las soluciones de Cloudflare tenía mucha experiencia en productos que aseguran ofrecer servicios similares, quedó especialmente impresionado con la facilidad de uso de Cloudflare y su servicio de soporte ininterrumpido al cliente.
"Basándonos en sencillos tutoriales de incorporación y materiales de formación de Cloudflare, pudimos elaborar nuestros propios vídeos internos para acelerar la curva de aprendizaje", afirma. "Y lo que es más importante, los equipos de cuentas de Cloudflare informan muy bien. No solo dan respuesta a las consultas sino que resuelven nuestros problemas e incluso anuncian planes de desarrollo futuros".
"Cloudflare ofrece de forma eficiente una compleja solución de seguridad Zero Trust que es sencilla y fiable como un mecanismo de relojería", añade Jaiswal. "Es una solución más barata, no necesita instalación y se integra a la perfección con nuestra infraestructura y entorno en la nube".
Ahorra más de 15 minutos al mes a cada desarrollador, mejorando simultáneamente la productividad de los usuarios y permitiendo al equipo de ingeniería de fiabilidad del sitio de Carousell centrarse en las iniciativas empresariales clave.
Reemplaza la VPN heredada para mejorar la productividad y garantizar a los desarrolladores un acceso eficaz a los recursos y la infraestructura internos.
Mejora la seguridad del sitio sin aumentar la latencia ni afectar a la experiencia del usuario.
Simplifica el cumplimiento de las directivas de seguridad con el seguimiento de eventos de acceso en toda la organización y una fácil auditoría desde un único punto de administración.
“Cloudflare ofrece una compleja solución de seguridad Zero Trust que es sencilla y fiable como un mecanismo de relojería. Es una solución más barata, no necesita instalación y se integra a la perfección con nuestra infraestructura y entorno en la nube.”
Sanjeev Jaiswal
Director sénior de DevOps, ingeniería de fiabilidad del sitio, plataforma e ingeniería de ciberseguridad
“Cloudflare Zero Trust agilizó las conexiones remotas de nuestros desarrolladores y mejoró la productividad al sustituir nuestra VPN tradicional por un único agente de fácil configuración y enrutamiento predefinido.”
Sanjeev Jaiswal
Director sénior de DevOps, ingeniería de fiabilidad del sitio, plataforma e ingeniería de ciberseguridad