Kathmandu

Cloudflare 的访问管理、安全性和无服务器解决方案最大程度地减轻了 Kathmandu 工程团队的管理负担

Kathmandu 总部位于新西兰克赖斯特彻奇,是旅行和户外活动服装与装备的国际零售商。“我们的产品使人们能够环游世界,并有齐全的装备进行户外体验,”Web 开发经理 James Deane 解释说。Kathmandu 的商品运往 130 个国家/地区,服务的客户群非常多样化,从城市探险者到户外探险者,再到环球旅行者,以及介于这几者之间的每一个人。在 2019 年秋天,Kathmandu 收购了闻名世界的澳大利亚冲浪产品品牌 Rip Curl,市值增至约 10 亿美元。

挑战:替换笨拙的性能与安全平台

在与 Cloudflare 合作之前,Kathmandu 使用了 Akamai 的性能与安全服务。Deane 回忆道,“太难使用了。我有一个很小的工程团队,负责许许多多的工作,没时间维护一个过于复杂的性能平台。”Kathmandu 还需要额外防范特定的网络威胁。“在线零售商是网络犯罪的巨大目标,特别是像我们这样使用 Magento 平台的零售商。有组织网络犯罪集团不遗余力地攻击 Magento 商店。”

在比较了几家供应商之后,Kathmandu 出于功能组合、能力和可用性考虑而选择了 Cloudflare。“Cloudflare 对我们来说是一个显而易见的选择,因为它可以满足我们的所有需求,而且也不会增加复杂性。”Kathmandu 签下了 Cloudflare 的核心安全和性能套件,其中包括 Cloudflare CDN 和 WAF。后来,该公司添加了 Cloudflare Access 和 Workers。

Cloudflare Access 保护对内部应用程序的访问且不增加复杂性

在与 Cloudflare 合作之前,Kathmandu 使用 HTTP 身份验证来保护对某些内部应用程序的访问,同时使用 Azure AD 来保护对其他内部应用程序的访问。遗憾的是,HTTP 身份验证存在安全缺口;登录凭据未经加密,因此有暴露危险。事实证明,Azure AD 很难扩展到内部应用程序和外部合同用户。Dean 回忆道,“我们希望能够使合作伙伴访问我们的应用程序,而无需进行 Azure AD 要求的所有配置工作,以及改动服务器和管理配置文件等。Cloudflare Access 与 Azure AD 相集成,将这种复杂性全部抽象到了边缘。”

Deane 决定在 Kathmandu 的开发和测试应用程序上试用Cloudflare Access。他解释说:“那是一个很小但至关重要的用例。我们的合作伙伴遍布全球。其中一个主要开发合作伙伴位于白俄罗斯。确保我们开发/测试环境的全球可访问性至关重要。”

试点项目从头到尾只用 30 分钟便完成了设置,最终用户的反应也很乐观。基于这一成功,Deane 开始将 Access 推广到公司的其余部分。如今,合作伙伴以及远程和现场办公工作人员都使用 Access 进行身份验证。“员工和合作伙伴都高度赞扬 Access 与 Azure AD相比的顺畅性。我们的用户中既有技术高手,也有非专业人士。要在确保安全的同时不让非技术用户感到困难,绝非易事。Access 兼顾了安全性与可用性,让我们的信息安全经理非常满意。”

Deane 目前正在研究如何使用 Access 来保护 Kathmandu 的后端系统。“Magento 是通往电子商务王国的钥匙。我们为数百万客户处理数千万澳元的交易。我们正在努力将 Access 与单点登录(SSO)、多因素身份验证(MFA)和 Azure AD 集成在一起。”

Cloudflare WAF 提供可见性并增强安全性和性能

在 Kathmandu 决定与 Cloudflare 合作的过程中,WAF 发挥了关键作用。Deane 说道:“最终,一切都归结到我们平台的安全态势。”

Kathmandu 特别渴望过滤掉机器人流量。平均而言,Kathmandu 的澳大利亚旗舰电子商务网站每天吸引数千个此类恶意请求。Deane 解释说,“我们最大的一个问题是机器人攻击网站的动态部分,例如产品页面或结帐页面。由于这些页面不会被缓存,每个请求都会命中数据库。一旦遭遇大量请求,数据库会出现故障,站点将无法运作,客户也就不能完成交易了。”

Cloudflare WAF 解决了这个问题。8 月中旬,Kathmandu 的网站遭到来自同一 IP 地址的 2900 万个请求的轰炸。Deane 回忆道:“WAF 的自动阻止功能解决了问题,我的团队还布置一个附加 IP 阻止功能,以防有任何东西蒙混过关。WAF 赋予我们的可见度带来了巨大改变。我们团队中的任何人都可以访问 WAF 门户,并且查看在任何给定时刻发生的情况,我们可以看到进行中的状况并立即做出反应。”

Deane 的团队发现,即使在编写自定义防火墙规则时,WAF 也非常易于配置和管理。“自动化规则可以满足我们的大多数需求,但拥有编写自定义规则的灵活性也非常不错。例如,WAF 分析帮助我们确定了来自澳大利亚以外访问者对澳大利亚站点的许多不良请求,因此我们配置了基于地理位置的质询,从机器人中筛选出人类用户。”

通过阻止不良请求,Cloudflare WAF 确保 Kathmandu 的站点对合法客户保持可用并可操作。通过使用 WAF 阻止不良机器人,并利用 Cloudflare CDN 在靠近用户的网络边缘交付内容,Kathmandu 的站点能够轻松承受流量高峰。Deane 表示,“由于我们销售户外服装和装备,我们会开展极为季节性的营销活动,期间流量水平将达到正常水平的五到十倍。Cloudflare 赋予我们的弹性带来了巨大不同。”

接下来,Kathmandu 将使用 Cloudflare Workers 来消除复杂性

展望未来,Deane 针对 Cloudflare 的无服务器平台 Workers 制定了宏伟计划。“Workers 中的开发体验无比精彩。非常简单明了,组合性也极为出色。从无到有只需数秒。拥有这样的资源真是美好;Workers 将为我们带来巨大改变。”

Deane 计划使用 Workers 为 Kathmandu 的网站构建增强版实体店查找器,并且设法消除 Magento 的复杂性。“我们正在研究无服务器可以提高效率的地方。任何能与 Magento 分离的地方都不错,我也知道无服务器的能力远不止我们能够通过 Magento 做的事。”

Deane 表示,他会毫不犹豫地向同仁推荐 Cloudflare。“无论是小企业还是大公司,使用 Cloudflare 都是不二之选。我想不到一个理由能说服任何企业不去使用 Cloudflare。”

如需进一步了解 Kathmandu 与 Rip Curl 并购,请阅读这篇博文

Kathmandu
相关案例研究
主要成果
  • Cloudflare Access 为 Kathmandu 员工和合作伙伴提供了一种简单、安全的方式,来访问开发人员环境和管理面板,一次性支持多个身份来源。

  • 通过阻止不良请求,Cloudflare WAF 确保 Kathmandu 的站点对合法客户保持可用并可操作。

  • Kathmandu 站点即使在季节性流量高峰比正常流量水平高 5 至 10 倍时也能保持可靠和高效。

无论是小企业还是大公司,使用 Cloudflare 都是不二之选。我想不到一个理由能说服任何企业不去使用 Cloudflare。

James Deane
网络开发经理