Voor security en het beheren van de infrastructuur is vaak een lappendeken aan tools in gebruik waarvoor tal van mensen en teams in actie moeten komen. Omdat deze puntoplossingen niet of nauwelijks in staat zijn data te delen, is het beheer én de beveiliging een uitdaging, zeker voor bedrijven die met een digitale transformatie bezig zijn. De Franse supermarktketen Carrefour wist dit obstakel slim te overwinnen.
Sinds de opening van de eerste winkel in 1960 is Carrefour uitgegroeid tot de acht grootste retailer ter wereld qua omzet. De groep beschikt over een netwerk van ruim 12.000 winkels in meer dan dertig landen en registreert dagelijks meer dan elf miljoen transacties.
Als bedrijf ontwikkelt Carrefour zich voortdurend. Zo opende de groep in 1963 de eerste Europese hypermarkt, waarin een grote supermarkt en een warenhuis onder één dak werden gecombineerd. Toen het digitale tijdperk aanbrak, omarmde het bedrijf e-commerce. Vandaag de dag vertegenwoordigt de online-verkoop een groeiend percentage van de omzet, aangezien steeds meer klanten de voorkeur geven aan online-winkelen en hun bestellingen in de winkel afhalen of thuis laten bezorgen.
Grip houden
Dat stelde Carrefour voor een stevige uitdaging. Hoe goed de centrale it-afdeling in Frankrijk ook probeert om met centrale enterprise-architecturen, interne normen en dergelijke dit wereldwijd gedistribueerde netwerk van it-middelen onder controle te houden, toch worden vaak op tal van locaties en door veel teams extra tools in gebruik genomen. Hierdoor ontstond een lappendeken aan security- en managementtools. Elke tool richt zich op een specifiek doel, maar is vaak niet of nauwelijks in staat om data te delen met andere tools. Hierdoor is het lastig om overzicht te houden en bij bijvoorbeeld een security-incident snel een beeld te krijgen van de situatie.
Hoe breng je verbetering in zo’n voor veel it-afdelingen ongetwijfeld herkenbare situatie? Op welk manier kunnen we de beveiliging beter organiseren en hoe verminderen we de operationele complexiteit? De voor de hand liggende oplossing is natuurlijk: zoveel mogelijk individuele tools consolideren in één geïntegreerd platform. Maar hoe doe je dat?
Een bijkomend probleem was dat Carrefours e-commerce-websites – onder andere de online-supermarkten – de afgelopen jaren te maken hebben gekregen met een toename van gerichte en geavanceerdere cyberaanvallen. Denk aan ddos-aanvallen, bots, phishing en ransomware. De vorige beveiligingsaanpak, die tools voor botmanagement, een webapplicatie-firewall (waf) en meerdere leveranciers voor contentoptimalisatie, traffic management en accountmanagement omvatte, voldeed niet langer om al dit soort aanvallen te kunnen mitigeren. Het personeel moest vaak vijf of meer beveiligingstools los van elkaar gebruiken en beheren, wat het oplossen van problemen en incidenten belemmerde. Bovendien hadden sommige regio’s ook nog eens te kampen met latency-problemen die de klantbeleving negatief beïnvloedden.
‘Het los van elkaar bestaan van al die tools bemoeilijkte de coördinatie van en de controle over de architectuur en vereiste specifieke vaardigheden die over verschillende afdelingen verspreid waren’, herinnert operational security manager Guillaume Cécile zich. ‘Onze operations-medewerkers hadden grote problemen om de infrastructuur effectief te beheren’, voegt hij eraan toe. ‘Daarnaast maakte het gebrek aan integratie tussen de tools het onderzoeken en oplossen van beveiligings- en prestatieproblemen tot een complexe en tijdrovende taak.’
Aantal tools verminderen
Cécile geeft aan dat het it-personeel van Carrefour begon met te zoeken naar een oplossing om de beveiliging van de retailwebsites te versterken. ‘Met het toenemende aantal en de omvang van de aanvallen naderden we de grenzen van wat onze bestaande reeks van tools aankon’, merkt hij op. De operationele teams bedachten in eerste instantie een aanpak om de beveiliging van de websites te verbeteren door systeemreacties op applicatieniveau te integreren. Ze realiseerden zich echter al snel dat dit niet voldoende was en dat er een aanvullende aanpak nodig was. Het grootste probleem bestond namelijk uit het grote aantal applicaties dat op een of andere manier geïntegreerd diende te worden. Dat lukte niet goed. Het team besloot daarop alternatieve oplossingen te verkennen die niet alleen een hoog niveau van perimeterbeveiliging zouden bieden, maar ook bestaande functionaliteiten zoals content acceleration, wachtkamers en botmanagement zouden bieden. Door deze aanpak kon het team een meer alomvattende strategie creëren die het probleem effectief aanpakte en tegelijkertijd gebruikmaakte van de functionaliteiten van het platform. ‘Door het aantal tools te verminderen tot twee of drie, zagen we al snel prima resultaten op het gebied van eenvoud, overzicht, prestaties, onderzoekstijden en beveiliging’, legt hij uit.
Gezien het belang van de online-strategie voor Carrefour stelden Cécile en zijn collega’s vast dat deze stap weliswaar belangrijk was, maar niet afdoende. Er was vanuit de business behoefte aan een robuustere beveiliging en betere prestaties. Hierop kwam een ingrijpender wijziging in de aanpak in beeld. Cloudflare leek een oplossing te kunnen bieden voor zowel de beveiligings- als de prestatie-issues van Carrefour. Juist omdat beide thema’s als één geïntegreerd geheel worden aangeboden in de vorm van een netwerk tussen meerdere cloud-omgevingen. ‘We waren aangenaam verrast toen we ontdekten dat we met de uitgebreide en volledig geïntegreerde aanpak van Cloudflare de vijf beveiligingstools die we toen nog in gebruik hadden, konden vervangen door één platform’, vervolgt de securitymanager. ‘Bovendien is de functionaliteit duidelijk beter dan die van andere leveranciers. Zo genereert het botmanagement weinig false positives.’ De Cloudflare-waf biedt bovendien zichtbaarheid en bescherming tegen beveiligingsdreigingen voor applicaties, met waf-aanvalscores berekend op basis van machine learning en content scanning-analyses. Cloudflare-botmanagement stelt het operationele beveiligingsteam nu in staat onderscheid te maken tussen goede en slechte bots en kwaadaardig botverkeer op Carrefours e-commerce-websites te blokkeren.
Multi-cloud-omgevingen
Veel technologische innovaties worden geïntroduceerd met het doel de complexiteit van de it-infrastructuur van enterprise- en midmarket-bedrijven te verminderen, zegt Tony van den Berge, vp & head of European regional markets van Cloudflare. ‘Het tegenovergestelde gebeurt vaak. Een reden daarvoor is dat it-afdelingen zich focussen op die ene nieuwe ontwikkeling en onvoldoende kijken naar de impact daarvan op de volledige infrastructuur. Dat gebeurt nu ook met multi-cloud. Multi-cloud is een positieve ontwikkeling voor veel bedrijven en overheidsorganisaties. Op die manier kun je immers de beste cloud-aanpak voor een specifiek bedrijfsproces kiezen. Maar wat nu als meerdere van die cloud-omgevingen met elkaar moeten gaan samenwerken? En wat als security-issues bepalend zijjn voor de it-strategie? Dat zag je dus ook bij Carrefour.’
Een van de problemen waar grotere organisaties mee worstelen, is volgens hem dat puntoplossingen onvermijdelijk tot een multi-cloud-situatie leiden. ‘Dat is niet zo’n probleem, zolang die tools los van andere software kunnen functioneren. Zodra er sprake is van meerdere tools die data met elkaar moeten kunnen uitwisselen, loop je tegen problemen aan. Dan wordt ineens duidelijk dat we behoefte hebben aan connectiviteit die de ene cloud-applicatie aan de andere cloud based-omgeving knoopt. Wie daar van tevoren niet over heeft nagedacht, loopt dan tegen flinke problemen aan. Veel cloud based-tools kennen functionaliteit om data in die tools te brengen, maar zodra die cloud-omgeving data moet doorsturen naar een andere cloud-omgeving – zoals bij Carrefour – dan wordt het ingewikkeld. Bij veel cloud-tools wordt vooral gekeken naar de vraag hoe je data in die omgeving krijgt. En niet hoe je data er weer uit krijgt, bijvoorbeeld om data van de ene naar de andere cloud te brengen.’
Cloudflare heeft daarom een netwerk tussen cloud-omgevingen gecreëerd. Om dit te laten presteren voor wat betreft snelheden, beschikbaarheid, security en dergelijke wilde het team zoveel mogelijk data over het netwerk transporteren. De beste manier om dit te realiseren was uiteraard: maak het gebruik van dit netwerk-in-de-cloud zoveel mogelijk gratis. Deze aanpak bleek een grote aantrekkingskracht te hebben op de developer- en maker-community. Dat leverde veel verkeer op, vertelt Van den Berge. ‘Maar we wilden het daar uiteraard niet bij laten. Waar we in eerste instantie een soort content delivery network (cdn) met waf waren, hebben we daaraan over de jaren heen andere diensten toegevoegd, zoals zero-trust en edge computing. Een bedrijf of een developer kan Cloudflare niet alleen gebruiken om data van cloud A naar cloud B te brengen, maar hij of zij kan de applicatie ook bij ons hosten. Maar dan zonder het bekende model van de publieke-cloud-aanbieders, waar voor zogenaamde egrees fees een hoge prijs wordt betaald. Data weghalen is bij Cloudflare gratis, daarom kunnen wij ook zo makkelijk data-integratie tussen meerdere clouds faciliteren’, vertelt Van den Berge.
Netwerk tussen clouds
Het bedrijf is dus ooit begonnen met cdn en waf, daarna volgde de introductie van een zero-trust-netwerk dat organisaties kunnen gebruiken als vervanging voor hun eigen multi-protocol label switching (mpls)-netwerk. Met een zero-trust-aanpak is security intrinsiek onderdeel van het netwerk geworden en niet een laagje dat achteraf over een netwerk wordt gelegd. ‘Natuurlijk is het vervangen van een in eigen huis opgebouwd mpls-netwerk een hele stap. Daarom zien we vaak dat organisaties beginnen met het vervangen van kleine stukjes van hun eigen netwerk, niet zelden in combinatie met nieuwe cloudbased applicaties. Of zoals bij Carrefour: door e-commerce-websites te faciliteren. De connectiviteit die deze omgeving nodig heeft, wordt dan via ons geregeld, net als het hosten van de app. Op die manier kan een organisatie stap voor stap ervaring opdoen met Cloudflare als backbone-netwerk tussen cloud-omgevingen en cloud based applicaties, zonder dat zij hiervoor alles in één keer moeten vervangen, met alle risico’s die je daar vaak bij ontmoet.’
In de kern biedt Cloudflare een wereldwijd edge-netwerk. Daardoor kan het voor bedrijven als Carrefour content dichter bij klanten brengen, met alle prestatieverbeteringen die daar bij horen. Hierdoor kon Carrefour de latency-problemen elimineren die problematisch waren voor klanten in Zuid-Amerika. ‘Met de vele edge-voorzieningen van Cloudflare over de hele wereld verdwenen onze prestatieproblemen’, zegt Guillaume Cécile van Carrefour. ‘Het resultaat is een aanzienlijk verbeterde klantbeleving.’
Carrefour profiteert ook van functionaliteiten zoals rate limiting en smart traffic routing. Deze leveren extra prestatieverbeteringen op. Rate limiting beschermt bovendien websites en api-endpoints tegen verdachte en overmatige verzoeken. Smart routing zorgt er voor dat minder drukke routes door het netwerk worden gekozen om de levering van content te versnellen.
Gefaseerde uitrol
Carrefour voerde een gefaseerde uitrol van Cloudflare uit. Hierbij was aanvankelijk de reikwijdte van het project beperkt tot zijn Franse e-commerce website. Die site verwerkt ongeveer 1,5 miljoen verzoeken per dag met een dagelijkse netwerkbelasting van 4 TB. ‘De eerste resultaten stelden ons gerust dat Cloudflare de belasting aan kon’, legt Cécile uit. ‘De resultaten waren zo overtuigend dat we besloten al onze sites, ongeveer vierhonderd wereldwijd, over te zetten naar Cloudflare. Cloudflare werkt met api’s, wat de implementatie aanzienlijk vereenvoudigt. Hierdoor konden we onze eerste sites in minder dan een dag opzetten. Dankzij een klein script dat we hebben geschreven, kost het opzetten van aanvullende sites minder dan tien minuten per site. Zo hebben we de hele uitrol in enkele maanden kunnen voltooien.’
Als gevolg van het consolideren van leveranciers heeft Carrefour niet alleen de kosten van de architectuur geoptimaliseerd, maar ook de beveiliging versterkt en de zichtbaarheid en controle over zijn omgeving vergroot. Alle infrastructuurbeheer- en beveiligingstaken zijn nu gecentraliseerd in een operationeel team, wat de efficiëntie bevordert. ‘We bereiken nu meer met een kleiner team en zijn sneller bij het oplossen van problemen’, concludeert Cécile. ‘We kunnen nu de bron van een incident vinden en het probleem in een kwart van de tijd oplossen die het eerder kostte.’ Hij voegt eraan toe dat Carrefour ook consistentie heeft bereikt door een wereldwijd beleid op basis van vooraf gedefinieerde regels voor alle sites.