evo使用Cloudflare降低內(nèi)部復(fù)雜性，增強(qiáng)安全性并提高性能

evo總部位于華盛頓州西雅圖，是一家全渠道零售商，專門(mén)從事戶外運(yùn)動(dòng)和生活方式裝備，包括滑雪，滑雪板，山地自行車，沖浪和露營(yíng)裝備。它的在線商店約占其銷售額的85％，而evo一年中最大的兩個(gè)銷售日是黑色星期五和網(wǎng)絡(luò)星期一。

像所有在線零售商一樣，evo必須應(yīng)對(duì)自動(dòng)流量，惡意爬網(wǎng)程序，惡意機(jī)器人以及DDoS和其他攻擊的威脅。與穩(wěn)定且可預(yù)測(cè)的合法客戶流量不同，惡意請(qǐng)求通常會(huì)激增，這可能會(huì)降低站點(diǎn)性能。

挑戰(zhàn)：抵御DDoS和惡意請(qǐng)求，并通過(guò)整合性能和安全解決方案來(lái)降低復(fù)雜性

隨著evo業(yè)務(wù)的發(fā)展，其遭受DDoS和其他形式的網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)也隨之增加。在一年中的關(guān)鍵時(shí)刻，導(dǎo)致停機(jī)的攻擊可能會(huì)造成極大的損失。該風(fēng)險(xiǎn)涉及技術(shù)總監(jiān)Ben Plehal?！爱?dāng)銷售達(dá)到假期高峰，并且網(wǎng)站正常運(yùn)行的每一分鐘至關(guān)重要時(shí)，我們根本承受不起攻擊來(lái)破壞我們?yōu)榭蛻籼峁┓?wù)的能力。”

evo還對(duì)其內(nèi)容交付網(wǎng)絡(luò)（CDN）感到不滿意。evo的第一個(gè)CDN合作伙伴是Akamai，隨著規(guī)模的擴(kuò)大，它變得昂貴。然后，該公司改用Verizon Edgecast。但是，Verizon的CDN難以配置，Verizon并未提供evo所需的其他服務(wù)。

“ Verizon只是提供了CDN-WAF，DDoS保護(hù)和DNS服務(wù)都是昂貴的附加組件或與其他供應(yīng)商的集成，” Plehal回憶說(shuō)?！拔覀冋谑褂脝为?dú)的托管DNS服務(wù)。它并不昂貴，但是又是另一項(xiàng)賬單和我們要管理的另一套配置。復(fù)雜性是我團(tuán)隊(duì)的敵人。我們希望一個(gè)供應(yīng)商為我們提供所需的所有安全和性能解決方案?！?/span>

Cloudflare原來(lái)是那個(gè)供應(yīng)商。evo簽約了Cloudflare的安全和性能產(chǎn)品套件，其中包括Cloudflare WAF，DDoS，CDN，速率限制，DNS和Argo智能路由，以及Workers，Cloudflare的無(wú)服務(wù)器計(jì)算解決方案。

Cloudflare WAF阻止惡意請(qǐng)求，并讓evo的團(tuán)隊(duì)隔離有問(wèn)題的流量

在以測(cè)試模式啟用了所有功能的情況下實(shí)施WAF之后，evo將其推向現(xiàn)場(chǎng)并對(duì)此感到滿意。大多數(shù)時(shí)候，他的團(tuán)隊(duì)使用內(nèi)置規(guī)則，Plehal報(bào)告說(shuō)，在需要時(shí)很容易為特定用例配置自定義規(guī)則。

“我的團(tuán)隊(duì)不再需要努力保持領(lǐng)先地位，因?yàn)镃loudflare可以保護(hù)我們的站點(diǎn)免受DDoS和惡意請(qǐng)求的侵害，” Plehal說(shuō)。“ Cloudflare的WAF每周平均攔截80,000至90,000個(gè)惡意請(qǐng)求。我和我的團(tuán)隊(duì)現(xiàn)在睡得好多了，尤其是在假日購(gòu)物季節(jié)?！?/span>

Plehal喜歡他從WAF分析和日志模擬功能中獲得的見(jiàn)解，這使他的團(tuán)隊(duì)可以識(shí)別潛在有問(wèn)題的流量。最近，當(dāng)一名evo工程師注意到TCP傳入請(qǐng)求出現(xiàn)大幅增長(zhǎng)時(shí)，該團(tuán)隊(duì)迅速在WAF中創(chuàng)建了一個(gè)日志模擬規(guī)則，使他們能夠?qū)⒘髁孔R(shí)別為來(lái)自其自己的供應(yīng)商之一。

Plehal解釋說(shuō)：“在電子郵件爆炸后，供應(yīng)商正在積極地搜尋我們的頁(yè)面，以查看我們的產(chǎn)品是否有庫(kù)存。” “他們的意圖不是惡意的，但它們每秒向我們的產(chǎn)品詳細(xì)信息頁(yè)面發(fā)出150個(gè)請(qǐng)求，這導(dǎo)致性能下降。多虧了WAF分析和日志模擬規(guī)則，我們才知道發(fā)生了什么，這使我們能夠與供應(yīng)商合作，并找到供他們確認(rèn)我們的產(chǎn)品庫(kù)存的另一種方式?！?/span>

WAF可以處理惡意請(qǐng)求帶來(lái)的流量激增，因此evo致力于確保其站點(diǎn)可以擴(kuò)展以處理合法流量?！坝捎谖覀儾恍枰菁{大量的自動(dòng)流量，因此我們可以用更少的資源來(lái)服務(wù)相同數(shù)量的人力流量。例如，如果在部署Cloudflare WAF之前有10個(gè)Web服務(wù)實(shí)例，那么現(xiàn)在可能只有6個(gè)或8個(gè)。

Cloudflare Workers使evo可以淘汰舊版Web服務(wù)，從而降低了復(fù)雜性并最大程度地減少了潛在的攻擊面

evo建立了一個(gè)遺留的Web服務(wù)來(lái)為數(shù)百萬(wàn)個(gè)產(chǎn)品圖像執(zhí)行文件名映射。該服務(wù)從evo.com接收傳入的請(qǐng)求，并將它們映射到云存儲(chǔ)中的圖像Blob文件。當(dāng)evo決定遷移到Microsoft Azure時(shí)，他們正在考慮必須重新設(shè)計(jì)此服務(wù)并將其構(gòu)建到Azure中，這是一個(gè)復(fù)雜且耗時(shí)的過(guò)程。

相反，evo決定使用Cloudflare Workers來(lái)執(zhí)行此功能，并將圖像請(qǐng)求直接從邊緣傳遞到Azure Blob存儲(chǔ)，而請(qǐng)求不會(huì)到達(dá)evo的服務(wù)器。“感謝Cloudflare Workers，我們不再需要維護(hù)特殊服務(wù)來(lái)僅映射舊文件名，” Plehal說(shuō)?！拔覀儾槐貫檫\(yùn)行它而付費(fèi)，不必?fù)?dān)心它會(huì)崩潰或擔(dān)心它會(huì)成為漏洞。消除它可以通過(guò)簡(jiǎn)化服務(wù)拓?fù)鋪?lái)減少潛在的網(wǎng)絡(luò)攻擊面?！?/span>

Plehal正在為工人尋找其他用例。“員工可以簡(jiǎn)化我們的服務(wù)器任務(wù)，因此寄予了厚望。因?yàn)樗刮覀兡軌蛟诰W(wǎng)絡(luò)邊緣執(zhí)行計(jì)算操作，所以我們正在研究是否可以使用它來(lái)處理更多的邏輯并減少原始服務(wù)的負(fù)載?！?/span>

Cloudflare簡(jiǎn)化了內(nèi)部流程，并且Argo Smart Routing大大縮短了頁(yè)面加載時(shí)間

Plehal報(bào)告說(shuō)，當(dāng)他演示Cloudflare的儀表板時(shí)，他的團(tuán)隊(duì)感到非常興奮。“眾所周知，我們以前的CDN儀表板很難使用。Cloudflare的儀表板不僅簡(jiǎn)單得多，而且我們現(xiàn)在擁有一個(gè)地方來(lái)管理和查看DNS，性能套件和安全套件的分析。”

提高頁(yè)面加載時(shí)間一直是evo這樣的零售商關(guān)注的焦點(diǎn)，evo使用許多富含媒體和圖像的頁(yè)面。Argo智能路由可以找到最快的網(wǎng)絡(luò)流量路徑，從而大大縮短了evo的頁(yè)面加載時(shí)間?！熬W(wǎng)站速度與轉(zhuǎn)化次數(shù)之間存在直接的相關(guān)性，因此速度對(duì)我們來(lái)說(shuō)就是金錢(qián)，” Plehal說(shuō)。“ Argo智能路由使我們的頁(yè)面加載時(shí)間縮短了近40％?！?/span>

主要成果

Cloudflare的WAF每周訪問(wèn)evo的主要網(wǎng)站會(huì)阻止80,000至90,000惡意請(qǐng)求。

使用Argo Smart Routing，evo將頁(yè)面加載時(shí)間縮短了近40％。

通過(guò)使用Cloudflare Workers對(duì)Azure Blob存儲(chǔ)中的圖像執(zhí)行文件路徑操作，evo能夠消除額外的Web服務(wù)，從而消除了復(fù)雜性并減少了其潛在的攻擊面。

“感謝Cloudflare Workers，我們不再需要為維護(hù)文件名而運(yùn)行一項(xiàng)特殊服務(wù)。我們不必維護(hù)它，不必?fù)?dān)心它會(huì)崩潰，也不必?fù)?dān)心它會(huì)成為漏洞。消除它可以通過(guò)簡(jiǎn)化我們的服務(wù)拓?fù)鋪?lái)減少潛在的網(wǎng)絡(luò)攻擊面?！?/span>Ben Plehal 技術(shù)總監(jiān)

“網(wǎng)站速度與轉(zhuǎn)化次數(shù)之間存在直接的相關(guān)性，因此速度對(duì)我們來(lái)說(shuō)就是金錢(qián)。Argo智能路由使我們的頁(yè)面加載時(shí)間縮短了近40％?！?/span>Ben Plehal 技術(shù)總監(jiān)