Die führende App für e-Learning verbessert Netzwerkstabilität und vereinfacht Security – mit Fastly

Die Herausforderung

Die 113 Millionen aktiven Duolingo-Nutzer pro Monat verlassen sich darauf, dass sie mit der App spielend und auf unterhaltsame Weise Sprachen lernen können, und zwar ohne Ausfallzeiten, die den Lernfluss unterbrechen. Matt Brandman, Senior Engineering Manager für Platform Security bei Duolingo, stellte fest, dass die zunehmenden DDoS-Angriffe auch immer kostspieliger wurden. „Die ersten zwei Wochen waren ein ständiges Feuergefecht. Neben den Auswirkungen auf die Kunden sind auch die Kosten für die Entwicklungsteams gestiegen. Ein DDoS-Angriff verursachte bis zu fünf verschiedene Probleme, die wiederum Dutzende von Entwicklungsstunden in Anspruch nahmen“, sagt er.

Der Sicherheitsansatz, den Brandman bei Duolingo verfolgte, konzentrierte sich auf systemische Lösungen und die Schulung der Teams. Er wollte eine Sicherheitslösung implementieren, die die Arbeit der Entwickler erleichtert und die Netzwerkstabilität erhöht. „Als Leiter eines Entwicklungsteams achte ich besonders darauf, dass die Entwickler- und Sicherheitserfahrung zusammenspielen. Mit Fastly schaffe ich bei den Entwicklern leicht Vertrauen.“

Nach schlechten Erfahrungen mit anderen Anbietern, darunter einige, die unerwartet ihre Dienste einstellten, war Duolingo auf der Suche nach einem zuverlässigen Partner, der seine Kunden langfristig und proaktiv in Sicherheitsfragen unterstützt und auf den sich das Team im Ernstfall verlassen kann.

Unsere Lösung

Fastly bietet die Entwicklerproduktivität, Zuverlässigkeit und Netzwerkstabilität, die Duolingo benötigt. „Wir setzten Next-Gen WAF in einer kontrollierten Liveumgebung ein, und sie hat so viel Traffic blockiert, dass die DDoS-Angriffe in weniger als einer Woche eingedämmt waren“, so Brandman.

Mit der Netzwerkstabilität einer Plattform kommt die Flexibilität für Innovationen

Die Entwickler von Duolingo können ihre Dienste schneller bereitstellen, da sie wissen, dass sie durch die Next-Gen WAF und den Edge von Fastly geschützt sind. „Sie können einen Server früher anschließen, da sie wissen, dass sie ihn bei Bedarf durch Rate Limiting begrenzen können“, sagt Brandman. „Fastly hält sein Versprechen und schützt die Services, und wir können nachts ruhig schlafen.“

Dank einer DevOps-Kultur, die Hunderte von Tests pro Quartal vorsieht, konnte Duolingo feststellen, dass die Next-Gen WAF das Netzwerk selbst dann stabil hält, wenn Entwicklertests fehlschlagen. „Einige Entwickler dachten, es käme zu Rate Limiting, aber das Gegenteil war der Fall. Es stellte sich nämlich heraus, dass ihr Test uns Zehntausende von Anfragen bescherte, sodass wir tatsächlich verhindern konnten, dass ein interner Fehler die Website zum Absturz brachte.“

_Transparenz verkürzt die Entwicklerzeit

Ein weiteres wichtiges Problem, das Fastly für Duolingo löst, ist die Transparenz, die es Duolingo ermöglicht, schnell auf Sicherheitsvorfälle zu reagieren. „Auf den Dashboards von Fastly sehen wir, wenn ein Service gerade 5 Millionen Anfragen auf einmal erhalten hat, und wir wissen sofort, warum er ausgefallen ist“, sagt Brandman. „Der größte Kostenfaktor für Entwicklungsteams ist die Zeit. Die Kosten für Tools sind fast vernachlässigbar im Vergleich zu 30 Entwicklern, die drei Stunden lang versuchen, ein Problem zu lösen. Mit Fastly brauchen wir nicht mehr als zwei bis drei Stunden, um ein Problem zu lösen, wenn ein oder zwei Entwickler sich der Sache annehmen, etwas ändern und die Änderung in eine kontrollierte Liveumgebung bringen. Die Kosteneinsparungen sind sofort spürbar und einer der größten Vorteile von Fastly“, sagt er.

Granulare Kontrollen zur Feinabstimmung von Security und praktischer Vererbung

Unterschiedliche Pfade erfordern unterschiedliche Sicherheitsansätze, weshalb das Team von Brandman die Möglichkeit schätzt, nutzerdefinierte Regeln anzupassen. Ein Login-Pfad benötigt höheren Schutz, sagt er. „Sie wollen nicht 2000 ungültige Logins pro Sekunde zulassen, die Sie anfällig machen für Enumerationsangriffe. Mit Next-Gen WAF können wir sehr genau festlegen, welches Verhalten wir verhindern. Beispielsweise erkennen wir einen falschen Nutzer, wenn sein Login-Versuch in einer Sekunde 30 Mal fehlgeschlagen ist. Er wird dann für einige Minuten gesperrt. Wenn man bedenkt, wie oft IPs wechseln und wie viele Proxies es gibt, ist eine Sperre ein viel besserer Ansatz als ein Verbot.“

Brandman fügt hinzu, dass es auch sehr nützlich ist, die Next-Gen WAF in den Überwachungsmodus zu versetzen, um zu sehen, ob sie mit dem Traffic übereinstimmt, und um sicherzustellen, dass sie nicht den gesamten Traffic blockiert, bevor sie in den Blocking Mode versetzt wird. „Wir können das sogar Pfad für Pfad machen, basierend auf einem Header-basierten User Agent. Das Blockieren eines bestimmten User Agent auf einem Pfad verschafft uns Zeit, eine größere Lösung zu implementieren.“

Für noch mehr Leistung sorgt, dass Signale zu größeren Regeln kombiniert werden können. „Eine meiner Lieblingsfunktionen der Next-Gen WAF ist ihre Kompositionsfähigkeit“, sagt Brandman. „Im Laufe der Zeit haben wir grundlegende Signale, wie alte User Agents, entwickelt. An sich ist das vielleicht kein Warnsignal, aber wenn wir einen alten User Agent mit zehn Login-Versuchen sehen, der von einer alten Version einer Anwendung kommt, können wir ein längeres Timeout erzwingen als bei einem User Agents mit einer neueren Version. Mit Fastly ist es einfach, diese Art von Regeln zu verstehen und für sich zu nutzen.“

Vorteilhafte Sicherheitsautomatisierung gekoppelt mit flexibler Selbstverwaltung

Duolingo profitiert nicht nur von automatisierten Sicherheitstools sondern auch vom Know-how der Sicherheitsexperten von Fastly, die Kunden vor den verschiedensten Angriffen schützen, weil sie wissen, welche Angriffe bei den verschiedenen Kunden auftreten, was in bestimmten Branchen beobachtet wird und welche Angriffsvektoren immer häufiger vorkommen. Fastly überprüft regelmäßig die Logs von Duolingo, um Trends zu erkennen, die der Automatisierung entgehen, bevor sie zu einem Notfall werden. Dadurch werden Störungen bei Duolingo verhindert. Und das Beste: Wenn die Entwicklerteams Hilfe brauchen, kommt der Response Security Service ins Spiel. „Zu Beginn der Implementierung der Next-Gen WAF hatten wir sowohl das Cybersecurity Operations Center (CSOC) als auch das Implementierungsteam an unserer Seite. Sie haben wunderbar zusammengearbeitet, bis wir soweit waren“, so Brandman.

Laut Brandman ist jede Interaktion mit Fastly großartig. Dort nehme man sich die Zeit, Kunden zu verstehen. „Die Technikabteilung bei Fastly hat ein fantastisches Team, das wirklich weiß, wovon es spricht, und unseren Tech-Stack wirklich versteht. Wenn wir ein Ticket beim CSOC eröffnen, erhalten wir in der Regel innerhalb weniger Minuten eine Antwort. Sie schauen dort nicht einfach nur aufs Dashboard, sondern schreiben Skripte und analysieren den Traffic. Sie stellen gute Fragen und geben wertvolle Ratschläge, was wir speziell für unseren Stack ausprobieren sollten. Außerdem bieten sie die Hilfe an, die wir im Falle einer Störung, wenn alle anderen beschäftigt sind, gut gebrauchen können.“

Fazit

Duolingo hat einen langfristigen Sicherheitspartner gefunden, der sowohl Netzwerkstabilität als auch Innovation unterstützt. Eine starke Partnerschaft und ein professioneller Ansatz führen zu mehr Schutz, Sicherheit, operativer Konzentration und Innovation bei den Entwicklern. „Achten Sie bei der Auswahl eines Security- und CDN-Anbieters auf die Qualität des Teams, mit dem Sie zusammenarbeiten werden, und stellen Sie sicher, dass es mit Ihrem Unternehmen Schritt halten kann. Betrachten Sie ihn als Ihr Rückgrat und Ihr wichtigstes Schutzschild. Eine starke Beziehung wird sich über Jahre auszahlen. Jedenfalls hat uns das dazu veranlasst, uns für Fastly zu entscheiden“, so Brandman abschließend.