LendingTree to internetowy rynek umożliwiający pożyczkobiorcom prywatnym i biznesowym nawiązywanie kontaktu z wieloma pożyczkodawcami w celu znalezienia optymalnych warunków uzyskania kredytów hipotecznych, pożyczek studenckich i firmowych, kart kredytowych, rachunków depozytowych i ubezpieczeń. LendingTree współpracuje z ponad 400 instytucjami finansowymi na całym świecie. Ponad 15 milionów aktywnych użytkowników korzysta z usług LendingTree w celu monitorowania swoich kredytów, uzyskiwania pożyczek i zarządzania kondycją finansową.
Gdy John Turner, kierownik ds. bezpieczeństwa aplikacji, dołączył do zespołu LendingTree, firma doświadczała wielu problemów związanych z kosztami i wydajnością swojego dostawcy zabezpieczeń. Zapewniana przez niego ochrona przed atakami DDoS była rozliczana taryfowo, co powodowało, że firma LendingTree ponosiła ogromne koszty związane z przekroczeniami limitu. Co więcej, rozwiązanie to blokowało również prawidłowy ruch sieciowy.
„Ich rozwiązanie nie było inteligentne, lecz statyczne”, wyjaśnia Turner. „Musieliśmy ręcznie określać arbitralne limity żądań na minutę. Po przekroczeniu tej liczby dostawca przekierowywał ruch, obsługiwał go dla nas i wystawiał nam rachunek za nadwyżki”.
Te ograniczenia powodowały zawsze poważne problemy, gdy LendingTree rozpoczynało kampanię marketingową. „Za każdym razem, gdy uruchamialiśmy nowy spot telewizyjny lub nową kampanię w mediach społecznościowych, żądania przekraczały arbitralny limit, którego określenie wymuszał na nas dostawca, w wyniku czego interpretował on taki wzrost jako atak DDoS i blokował prawidłowy ruch”, wspomina Turner. „Nie tylko traciliśmy potencjalnych klientów, ale także pieniądze, które wydaliśmy na ich przyciągnięcie do naszej witryny, a nasz dostawca wystawiał nam rachunek za «ochronę przed atakami DDoS»”.
Turner zwrócił się do Cloudflare ze względu na swoje wcześniejsze doświadczenie we współpracy z tą firmą. „W trakcie mojej pracy konsultingowej wielokrotnie polecałem Cloudflare klientom. Wiedziałem, że produkty Cloudflare działają dobrze i oferują dobrą wartość”, podkreśla. W LendingTree Turner zdecydował się wdrożyć pakiety Cloudflare z zakresu wydajności i bezpieczeństwa, w tym Bot Management, WAF i ochronę przed atakami DDoS, a także rozwiązanie Workers, bezserwerową platformą Cloudflare.
Ochrona przed atakami DDoS w Cloudflare nie jest taryfowana i oferuje przepustowość 51 Tb/s, dzięki czemu LendingTree nie musi martwić się koniecznością ustalania arbitralnych limitów ruchu. Firma uzyskała również od Cloudflare wiele innych korzyści w zakresie bezpieczeństwa, w tym narzędzia do zarządzania botami.
Złośliwe boty wykorzystujące interfejsy API LendingTree kosztowały firmę dużo pieniędzy, nie tylko w zakresie kosztów przepustowości, ale także utraconych okazji biznesowych. Ze względu na wyrafinowanie botów i fakt, że pobierały one dane finansowe, Turner stwierdził, że niektóre z nich musiały zostać wdrożone przez konkurencję. Firma LendingTree nie mogła całkowicie zamknąć interfejsów API, ponieważ jej partnerzy musieli mieć do nich dostęp w celu uzyskania aktualnych informacji o oprocentowaniu.
„Nasz rachunek za konkretną usługę API wzrósł z 10 tys. do 75 tys. dolarów miesięcznie — praktycznie z dnia na dzień. W następnym miesiącu wzrósł do 150 tys. dolarów”, wyjaśnia Turner. „Mój zespół musiał spędzać dużo czasu na badaniu tych ataków i pisaniu niestandardowych reguł, aby je powstrzymać. Ponieważ atakujący stale dostosowywali swoją taktykę, napisane przez nas reguły były skuteczne tylko przez krótki czas”.
Rozwiązanie Cloudflare Bot Management przyniosło LendingTree natychmiastowe rezultaty. „W ciągu 48 godzin od włączenia Cloudflare Bot Management ataki na konkretny punkt końcowy interfejsu API spadły o 70%”, wspomina Turner.
W przeciwieństwie do rozwiązań stosowanych przez LendingTree wcześniej, Cloudflare Bot Management nie utrudnia prawidłowego zautomatyzowanego ruchu. „Wśród setek tysięcy żądań znaleźliśmy tylko jeden przypadek, w którym prawidłowe żądanie zostało oznaczone jako złośliwe”, mówi Turner.
Turner otrzymał również potwierdzenie, że co najmniej jeden konkurent rzeczywiście wykorzystywał interfejs API LendingTree. „Gdy tylko powstrzymaliśmy wykorzystywanie interfejsu API, stawki jednego z konkurentów natychmiast wzrosły”, wspomina. „Potem zobaczyłem artykuł prasowy informujący, że nagle wszyscy poza LendingTree zaczęli podawać wysokie stawki oprocentowania kredytów hipotecznych. Zdecydowanie podejrzewamy, że konkurenci wykorzystywali nasz interfejs API i nasze własne dane, aby podkopać naszą pozycję”.
Turner twierdzi, że wykorzystuje bezserwerową platformę Cloudflare Workers do szybkiego rozwiązywania problemów z kodowaniem na brzegu sieci. „Platforma Workers to mój szwajcarski scyzoryk. Mam dla niej wiele zastosowań”, wyjaśnia. „Pozwala mi łatwo rozwiązywać problemy, których nie można szybko naprawić poprzez przepisanie kodu”. Te przypadki użycia obejmują wstrzykiwanie nagłówków współdzielenia zasobów między źródłami, przepisywanie parametrów, inspekcję pakietów, przeprowadzanie testów A/B oraz badanie i routing przychodzącego ruchu TLS.
„Platforma Workers sprawdza przychodzące żądania, aby potwierdzić, że są to żądania TLS 1.0, a następnie je przekierowuje”, wyjaśnia Turner. „Dzięki Workers byłem w stanie ustalić, że duża część tego ruchu pochodziła z naszych własnych serwerów, które komunikowały się przez Internet, mimo że znajdują się obok siebie w tym samym centrum danych. Nie mógłbym zidentyfikować tego problemu bez platformy Workers. Możliwość wykonywania kodu na brzegu sieci i odpowiedniego przekierowywania ruchu pozwala nam zaoszczędzić czas i pieniądze”.
Niedawno Turner wykorzystał platformę Workers do wstrzyknięcia nagłówków współdzielenia zasobów między źródłami (cross-origin resource sharing, CORS) i rozwiązania problemu z komunikacją między systemami LendingTree a jedną z witryn partnerskich obsługiwaną przez AOL. „Użyliśmy platformy Workers do zidentyfikowania problemu i przywrócenia działania usługi w ciągu kilku minut — bez przestojów i jakichkolwiek zmian w kodzie”, wspomina Turner. „Bez Workers musielibyśmy refaktoryzować kod i zmieniać serwery, co zajęłoby tygodnie”.
Platforma Workers zmieniła sposób, w jaki LendingTree przeprowadza testy A/B. Przed jej wdrożeniem firma LendingTree musiała przeprowadzać wszystkie testy A/B po swojej stronie, używając serwerów proxy NGINX. „Mieliśmy cały wewnętrznie napisany system do testów A/B”, mówi Turner. Teraz LendingTree zaczyna używać platformy Cloudflare Workers do przeprowadzania testów A/B na brzegu sieci, co skutkuje lepszą wydajnością przy mniejszej złożoności.
„Platforma Cloudflare Workers zmieniła zasady gry dla LendingTree. Możemy uruchamiać kod JavaScript asynchronicznie w ramach sesji klienta lub obok niej, manipulować danymi i podejmować decyzje bez wpływu na wydajność czy dostępność”, mówi Turner. „Żadne inne rozwiązanie nie oferuje takiej funkcjonalności”.
Firma LendingTree zintegrowała w całej organizacji szereg narzędzi Cloudflare z zakresu bezpieczeństwa i wydajności.
Na przykład dodatkowo wzmocniła swoją ochronę przed złośliwymi botami, łącząc rozwiązanie Bot Management z usługą Cloudflare Rate Limiting i niestandardowymi regułami WAF. „W ciągu ostatnich czterech do pięciu miesięcy rozwiązanie Cloudflare Rate Limiting pozwoliło nam zaoszczędzić około 250 tys. dolarów w wyniku powstrzymania wykorzystywania naszych punktów końcowych interfejsu API”, mówi Turner.
Cloudflare WAF jest kolejnym krytycznym elementem systemu zabezpieczeń LendingTree. „Rozwiązanie Cloudflare WAF ma bardzo dobrą cenę, biorąc pod uwagę to, co oferuje, ale co ważniejsze, jest łatwe w użyciu i działa bardzo dobrze”, mówi Turner. „Nie potrzebujemy już dedykowanych zespołów do zarządzania regułami WAF ani do śledzenia kanałów z analizami zagrożeń. Cloudflare WAF zajmuje się wszystkim za nas”.
Gdy firma LendingTree zauważyła spadek współczynnika konwersji, Google zasugerowało poprawienie czasu ładowania stron. Turner użył narzędzi Cloudflare do optymalizacji wydajności, aby wprowadzić pewne zmiany, a następnie poprosił Google o ponowne sprawdzenie czasu ładowania stron LendingTree. Pracownicy Google byli zdumieni. „Wykorzystując jedynie wbudowane funkcje Cloudflare związane z wydajnością, poprawiliśmy czas ładowania stron nawet o 70%”, wspomina Turner. „Pracownicy Google powiedzieli, że nigdy wcześniej nie widzieli, by wydajność witryny wzrosła tak szybko po wprowadzeniu kilku zmian”.
LendingTree korzysta z certyfikatów TLS Cloudflare, aby zaoszczędzić pieniądze i zapobiec przestojom z powodu wygasłych certyfikatów. „Mamy tysiące różnych zasobów internetowych. Przy tej skali przeoczenie konieczności odnowienia certyfikatu było tylko kwestią czasu”, wyjaśnia Turner. „Korzystając z certyfikatów TLS Cloudflare, które są odnawiane automatycznie, oszczędzamy około 50 tys. dolarów rocznie — zarówno na kosztach administracyjnych, jak i przychodach utraconych w wyniku przestojów spowodowanych wygasłymi certyfikatami”.
Turner twierdzi, że oszczędności, jakie LendingTree czerpie z rozwiązań Cloudflare, z nawiązką pokrywają ich koszt. „Umożliwiając nam szybkie, bezpieczne i niezawodne dostarczanie naszych produktów, Cloudflare zapewnia nam bezpieczeństwo dopasowane do tempa działania naszej firmy”.
Rozwiązanie Cloudflare Bot Management ograniczyło ataki na często wykorzystywany punkt końcowy interfejsu API o 70%.
Korzystając z platformy Workers, firma LendingTree błyskawicznie rozwiązała problem z komunikacją między swoimi systemami a jedną z witryn partnerskich — bez przestojów i jakichkolwiek zmian w kodzie.
Rozwiązanie Cloudflare Rate Limiting pozwoliło LendingTree zaoszczędzić 250 tys. USD w ciągu pięciu miesięcy za sprawą powstrzymania wykorzystywania punktów końcowych interfejsu API.
Dzięki pakietowi rozwiązań Cloudflare z zakresu wydajności firma LendingTree poprawiła czas ładowania stron nawet o 70%.
“Platforma Cloudflare Workers zmieniła zasady gry dla LendingTree. Możemy uruchamiać kod JavaScript asynchronicznie w ramach sesji klienta lub obok niej, manipulować danymi i podejmować decyzje bez wpływu na wydajność czy dostępność. Żadne inne rozwiązanie nie oferuje takiej funkcjonalności.”
John Turner
Kierownik ds. bezpieczeństwa aplikacji
“W ciągu ostatnich czterech do pięciu miesięcy rozwiązanie Cloudflare Rate Limiting pozwoliło nam zaoszczędzić około 250 tys. dolarów w wyniku powstrzymania wykorzystywania naszych punktów końcowych interfejsu API.”
John Turner
Kierownik ds. bezpieczeństwa aplikacji