LendingTree 是一个在线市场,帮助消费者和企业借款人与多家放款人联系,寻求抵押贷款、助学贷款、商业贷款、信用卡、定期存款账户和保险的最佳条款。LendingTree 与全世界 400 多家金融机构建立了合作伙伴关系。1500 多万个活跃用户使用 LendingTree 监控其信用、挑选贷款,并管理其财务健康状况。
在应用程序安全负责人 John Turner 加入 LendingTree 的团队时,公司正遇到与安全供应商之间的多个成本和性能问题。供应商的 DDoS 防护按用量计费,这为 LendingTree 带来庞大的超额成本。该解决方案还会阻止合法流量。
Turner 解释说:“他们的解决方案不够智能,而且是静态的。我们必须对每分钟的请求数手动指定任意的限制。一旦我们超过该数字,供应商就会将该流量分流,为我们进行处理,并向我们收取超额费。”
每当 LendingTree 推出营销活动时,这些限制都会导致严重的问题。Turner 回忆说:“每当我们播出电视宣传片或开展新的社交媒体活动时,请求数量就会激增而超出供应商让我们指定的任意限制,这意味着供应商会将激增的情况视为 DDoS 攻击,并阻止合法流量。我们不仅失去了这些潜在客户,还损失了为让他们访问我们的网站而花费的资金,而供应商还要向我们收取‘DDoS 防护’的费用。”
Turner 转向 Cloudflare,是因为他之前有与该公司合作的经历。他说:“在我的咨询工作中,我曾多次向客户推荐 Cloudflare。我知道 Cloudflare 的产品成效卓著,能够带来很好的价值。”在 LendingTree,Turner 决定实施 Cloudflare 的性能和安全性套件,包括机器人管理、WAF 和 DDoS 防护,同时还有 Cloudflare 的无服务器平台 Workers。
Cloudflare 的 DDoS 缓解不按用量计费,并提供了 51 Tbps 的缓解容量,这样 LendingTree 就不必担心设置任意流量限制的问题。LendingTree 还从 Cloudflare 处获得了许多其他安全性优势,包括机器人管理。
滥用 LendingTree API 的恶意机器人为公司带来了大量金钱损失,这不仅仅涉及带宽成本,还有机会成本。鉴于机器人的复杂性以及它们会抓取金融数据的这一特性,Turner 认为其中一些机器人是竞争对手部署的。LendingTree 无法完全限制 API,因为其合作伙伴需要能够访问它们来获取最新利率信息。
Turner 解释说:“我们对于特定 API 服务的账单几乎一夜之间从每月 10,000 美元突增到 75,000 美元。下一个月,又上升到 150,000 美元。我的团队需要花费大量时间来调查这些攻击,并编写自定义规则来试图加以阻止。由于攻击者不断在调整其策略,我们编写的规则 只能在短时间内部分有效。”
Cloudflare 机器人管理让 LendingTree 看到了立竿见影的效果。Turner 报告说:“启用 Cloudflare 机器人管理 48 小时内,针对特定 API 端点的攻击减少了 70%。”
不同于 LendingTree 之前使用的解决方案,Cloudflare 机器人管理不会阻止合法的自动流量。Turner 说:“我们发现,在数十万个请求中,只有一例是合法请求被标记为恶意的情况。”
Turner 还收到确认,称至少一个竞争对手确实在滥用 LendingTree 的 API。他回忆说:“我们阻止 API 滥用之后,某个竞争对手的利率立即上升了。接着,我看到有新闻报道说,突然之间,除了 LendingTree 之外,大家都开始报出很高的抵押贷款利率。我们强烈怀疑竞争对手在抓取我们的 API 并使用我们自己的数据来削价抢我们的业务。”
Turner 说,他利用 Cloudflare Workers 无服务器平台,快速在网络边缘解决编码问题。他解释说:“Workers 就是我的瑞士军刀。我把它用于多种用例。它让我能够轻松解决重写代码所不能快速补救的问题。”这些用例包括注入跨域资源共享标头、重写参数、检查数据包、执行 A/B 测试,以及检查和路由传入 TLS 流量。
Turner 解释说:“Workers 会检查传入请求,确认它们是 TLS 1.0,然后再路由这些请求。利用 Workers,我能够识别出其中大量流量是来自我们自己的服务器,尽管这些服务器就位于同一数据中心内彼此相邻的位置,它们却通过互联网来通信。如果没有 Workers 的帮助,我没法识别出这个问题。能够在边缘执行代码并相应路由流量,这让我们节省了财力和时间。”
最近,Turner 使用 Workers 来注入跨域资源共享 (CORS) 标头, 并解决了 LendingTree 的系统与其某个合作伙伴网站(由 AOL 运营)之间的通信问题。Turner 回忆说:“我们能够使用 Workers 在几分钟内识别出问题并恢复服务,没有带来停机时间,也不用更改任何代码。如果没有 Workers,我们就得重构代码并更改服务器,这将花费数周时间。”
Workers 改变了 LendingTree 执行 A/B 测试的方式。在使用 Workers 之前,LendingTree 必须使用 NGINX 代理在自己这端执行所有 A/B 测试。Turner 说:“我们有一整个内部编写的 A/B 测试系统。”如今,LendingTree 开始使用 Cloudflare Workers 在网络边缘执行 A/B 测试,从而提高性能并降低复杂性。
Turner 说:“Cloudflare Workers 为 LendingTree 带来了颠覆性变革。我们可以在客户端会话中或与之一起异步运行 JavaScript,控制数据,并做出决策,而不会影响性能或可用性。其他任何解决方案都不能提供这种功能。”
LendingTree 在整个组织内集成了许多 Cloudflare 安全性和性能工具。
例如,LendingTree 将机器人管理与 Cloudflare Rate Limiting 和自定义 WAF 规则相结合,进一步巩固了针对恶意机器人的防护。Turner 说:“在过去四到五个月,Cloudflare Rate Limiting 通过阻止对我们 API 端点的滥用,为我们节省了大约 250,000 美元。”
Cloudflare WAF 是 LendingTree 安全防御的另一个关键组件。Turner 说:“Cloudflare WAF 的实力与它的价格极为相称,但更为重要的是,它易于使用且运行良好。我们不再需要专职团队来管理 WAF 规则或掌握威胁情报源。Cloudflare WAF 替我们搞定一切。”
当 LendingTree 发现转化率下降时,Google 建议该公司改善其页面加载时间。Turner 使用 Cloudflare 的性能优化工具做 出了一些改变,然后请求 Google 再次检查 LendingTree 的页面加载时间。Google 的员工感到十分惊奇。Turner 回忆说:“仅仅通过利用内置的 Cloudflare 性能功能,我们就将页面加载时间改善了高达 70%。Google 的员工说,他们从未见过仅仅做出少量改变就能如此快速提升站点性能的情况。”
LendingTree 使用 Cloudflare TLS 证书来节省财力,并预防由于证书到期导致的中断。Turner 解释说:“我们有数千个不同的资产。在这样的规模下,忘记续订某个证书的情况时有发生。使用 Cloudflare 可自动续订的 TLS 证书,我们每年能够节省大约 50,000 美元,这包括管理成本以及由于证书到期而中断所导致的收入损失。”
Turner 说,LendingTree 凭借 Cloudflare 所节省的金额超过了 Cloudflare 服务的成本。他说:“Cloudflare 让我们能够快速、安全、可靠地交付产品,为我们提供了匹配业务速度的安全性。”
Cloudflare 机器人管理将针对频繁被滥用的 API 端点的攻击减少了 70%。
使用 Workers,LendingTree 立马解决了其系统与其某个合作伙伴网站之间的通信问题,没有带来停机时间,也不用更改任何代码。
Cloudflare Rate Limiting 通过阻止 API 端点滥用,在五个月内为 LendingTree 节省了 250,000 美元。
使用 Cloudflare 的性能套件,LendingTree 将页面加载时间改善了高达 70%。
“Cloudflare Workers 为 LendingTree 带来了颠覆性变革。我们可以在客户端会话中或与之一起异步运行 JavaScript,控制数据,并做出决策,而不会影响性能或可用性。其他任何解决方案都不能提供这种功能。”
John Turner
应用程序安全主管
“在过去四到五个月,Cloudflare Rate Limiting 通过阻止对我们 API 端点的滥用,为我们节省了大约 250,000 美元。”
John Turner
应用程序安全主管