LendingTree

Cloudflare 的安全性、效能及無伺服器解決方案以商業速度為 LendingTree 提供了安全保障

LendingTree 是一個線上市場,可讓消費者和企業借債人接觸多位放款人,並針對抵押、助學貸款、企業貸款、信用卡、存款帳戶及保險找出最佳條款。LendingTree 與全球 400 多家金融機構建立了合作關係。超過 1,500 萬位活躍使用者利用 LendingTree 監控他們的額度、選購貸款,並管理自身的財務狀況。

面臨困難:替換掉封鎖大量合法流量的極昂貴安全性解決方案

當應用程式安全性主管 John Turner 加入 LendingTree 的團隊時,公司正經歷與安全性廠商相關的多項成本和效能問題。廠商的 DDoS 防護計量收費,讓 LendingTree 因此產生大量的超額成本。該解決方案還會封鎖合法流量。

「他們的解決方案不夠智慧,而且是靜態方案,」Turner 解釋道,「我們必須手動指定每分鐘要求數的任意限制。在我們超過該數字後,廠商就會卸載該流量、代我們處理,並向我們收取超額費用。」

只要 LendingTree 推出行銷活動,這些限制就會造成嚴重問題。「每當我們播放新的電視廣告或推動新的社交媒體活動時,要求即會暴增並超過廠商讓我們指定的任意限制,這表示廠商會將暴增情況視為 DDoS 攻擊並封鎖合法流量,」Turner 回憶道,「我們不但損失了那些潛在客戶,更損失了我們用於讓他們造訪網站的成本,而且廠商還會向我們收取『DDoS 防護』的費用。」

Turner 求助於 Cloudflare,是因為他先前曾與這家公司合作。「我在顧問工作上多次向客戶推薦 Cloudflare。我知道 Cloudflare 的產品運作良好且物有所值,」他說道。在 LendingTree 中,Turner 決定實作 Cloudflare 的效能和安全性套件,包括機器人管理、WAF 及 DDoS 防護,同時還有 Cloudflare 的無伺服器平台 Workers。

Cloudflare 機器人管理阻止惡意機器人濫用 LendingTree 的 API

Cloudflare 的 DDoS 緩解不計量收費,且提供 51 Tbps 的緩解能力,因此 LendingTree 不必擔心設定任意流量限制的問題。LendingTree 更從 Cloudflare 獲得了許多其他的安全性優勢,包括機器人管理。

濫用 LendingTree API 的惡意機器人讓公司耗費不少資金,包括頻寬成本與機會成本。鑒於機器人的複雜性及剽竊財務資料的狀況,Turner 認為其中一些機器人是由競爭對手部署的。LendingTree 無法完全限制 API,因為其合作夥伴需要能夠存取 API 以便取得最新利率資訊。

「我們的特定 API 服務帳單幾乎一夜之間從每月 10,000 美元突增到 75,000 美元。下一個月則爬升至 150,000 美元,」Turner 解釋道。「我的團隊必須花上一段時間調查這些攻擊並編寫自訂規則,以便嘗試阻止它們。因為攻擊者手法不斷調整,所以我們編寫的規則效果有限,而且持續時間不長。」

Cloudflare 機器人管理為 LendingTree 提供了立竿見影的結果。「在啟用 Cloudflare 機器人管理的 48 小時內,針對特定 API 端點的攻擊降低了 70%,」Turner 報告道。

不同於 LendingTree 先前採用的解決方案,Cloudflare 機器人管理不會阻止合法的自動化流量。「在數十萬個要求之中,我們只發現一次將合法要求標示為惡意行為的情況」,Turner 說道。

Turner 也收到確認,證實至少有一個競爭對手確實濫用 LendingTree 的 API。「在我們阻止 API 濫用之後,某個特定競爭對手的利率立即上升,」他回憶道。「然後,我看到有新聞報道說,突然間,除了 LendingTree 之外,其他公司都開始報出很高的抵押貸款利率。我們強烈懷疑競爭對手抓取我們的 API,並使用我們自己的資料削弱我們。」

Cloudflare Workers 讓 LendingTree 能夠在網路邊緣進行 A/B 測試並路由流量

Turner 表示他利用 Cloudflare Workers 無伺服器平台,在網路邊緣上快速解決編碼問題。「Workers 就像是我的瑞士軍刀。我將它用於多種用例,」他解釋道。「它讓我能夠輕鬆解決重寫程式碼所不能快速補救的問題。」這些使用案例包括注入跨原始來源資源共用標頭、重新編寫參數、檢查封包、執行 A/B 測試,以及審查並路由傳入 TLS 流量。

「Workers 會審查傳入要求來確認它們是 TLS 1.0,然後再路由傳送這些要求,」Turner 解釋道。「多虧有 Workers,我才能夠識別這些流量大多數都是來自我們自家的伺服器,儘管這些伺服器就位於同一資料中心內彼此相鄰的位置,它們卻透過網際網路來通訊。沒有 Workers 的協助,我無法發現這一問題。擁有在邊緣上執行程式碼並據此路由流量的能力後,我們節省了金錢和時間。」

最近,Turner 利用 Workers 注入跨原始來源資源共用 (CORS) 標頭,並解決了 LendingTree 系統與其中一個合作夥伴網站(由 AOL 營運)之間的通訊問題。「我們能夠利用 Workers 識別問題並在幾分鐘內恢復服務,不會停機,也不用變更任何程式碼,」Turner 回憶道。「沒有 Workers 的話,我們就必須重構程式碼並變更伺服器,這通常需要好幾週的時間。」

Workers 改變了 LendingTree 進行 A/B 測試的方式。在使用 Workers 之前,LendingTree 必須使用 NGINX 代理在他們那一端執行所有 A/B 測試。Turner 說:「我們擁有一整個內部編寫的 A/B 測試系統。」現在,LendingTree 開始使用 Cloudflare Workers 在網路邊緣進行 A/B 測試,進而產生更佳的效能並降低複雜性。

「Cloudflare Workers 給 LendingTree 帶來了顛覆性的變革。我們可以在用戶端工作階段內或與之同時以非同步方式執行 JavaScript,操縱資料及作出決策,而且不會影響效能或可用性,」Turner 說道。「沒有任何其他解決方案擁有這項功能。」

其他 Cloudflare 安全性和效能工具提供更多保護、最佳化及成本節省

LendingTree 在組織內整合了一些 Cloudflare 安全性和效能工具。

例如,LendingTree 將機器人管理與 Cloudflare Rate Limiting 和自訂的 WAF 規則相結合,藉此進一步強化他們針對惡意機器人的保護措施。「在過去的四至五個月中,Cloudflare Rate Limiting 阻止了我們 API 端點的濫用事件,為我們省下大約 250,000 美元,」Turner 說道。

Cloudflare WAF 是 LendingTree 安全性防禦的另一項關鍵元件。「Cloudflare WAF 的實力與它的價格極為相稱,但更為重要的是,它易於使用且運作情況相當優良,」Turner 說道。「我們不再需要專職團隊來管理 WAF 規則或掌握威脅情報源。Cloudflare WAF 替我們搞定一切。」

當 LendingTree 注意到轉換率下降時,Google 即建議公司改善其頁面載入時間。Turner 利用 Cloudflare 的效能最佳化工具進行了部分變更,然後要求 Google 重新檢查 LendingTree 的頁面載入時間。Google 的員工相當震驚。「只是運用內建的 Cloudflare 效能功能,我們就將頁面載入時間提升了高達 70%,」Turner 回憶道。「Google 的員工說,他們從未見過僅僅做出少量變更就能如此快速提升網站效能的情況。」

LendingTree 利用 Cloudflare TLS 憑證節省費用,並防止因憑證過期而導致服務中斷的情況。「我們擁有數千不同的資產。在這麼大的規模下,錯過憑證續訂作業只是時間的問題,」Turner 解釋道。「利用 Cloudflare 可自動續訂的 TLS 憑證,我們一年省下了 50,000 美元,這包括管理成本以及因憑證過期中斷服務而造成的收益損失。」

Turner 表示,LendingTree 憑藉 Cloudflare 省下的費用超過了支付 Cloudflare 服務的成本。「Cloudflare 讓我們能夠快速、安全及可靠地交付產品,以商業速度為我們提供了安全保障,」他說道。

LendingTree
相關案例研究
主要成效
  • Cloudflare 機器人管理將針對頻繁被濫用的 API 端點的攻擊減少了 70%。

  • 利用 Workers,LendingTree 即刻解決了其系統與其中一個合作夥伴網路之間的通訊問題,沒有產生停機時間,也不用變更任何程式碼。

  • Cloudflare Rate Limiting 阻止了 API 端點濫用事件,並在五個月內為 LendingTree 省下 250,000 美元。

  • 利用 Cloudflare 的效能套件後,LendingTree 的頁面載入時間提升了高達 70%。

Cloudflare Workers 給 LendingTree 帶來了顛覆性的變革。我們可以在用戶端工作階段內或與之同時以非同步方式執行 JavaScript,操縱資料及作出決策,而且不會影響效能或可用性。沒有任何其他解決方案擁有這項功能。

John Turner
應用程式安全性主管

在過去的四至五個月中,Cloudflare Rate Limiting 阻止了我們 API 端點的濫用事件,為我們省下大約 250,000 美元。

John Turner
應用程式安全性主管