Spread Group es un proveedor tecnológico de moda y complementos especializado en ropa personalizada y de calidad. En 2021 fabricó más de 10 millones de productos por encargo para clientes en 170 países.
spreadgroup.com
Sector: comercio electrónico de moda y complementos
Ubicación: Leipzig (Alemania)
Cliente desde: 2016
Funcionalidades favoritas
Red mundial de distribución (CDN)
VCL personalizable
WAF de última generación
Protección contra DDoS
Mitigación de bots
Soporte Enterprise
Desde gorras de diseño hasta tiendas preproducidas para creadores, Spread Group hace que la moda personalizada sea coser y cantar. Esta empresa se fundó en Leipzig (Alemania) y hoy por hoy ya goza de un alcance mundial: más de 1000 empleados cualificados de 43 países crean ropa y complementos individualizados desde cuatro puntos de producción en Europa y EE. UU.
Para mantener su escala global y convertir los clics en ropa que puedan llevar los clientes, la distribución y la seguridad deben ir de la mano. Tras implementar la CDN de Fastly y comprobar su excelente rendimiento, Spread Group buscó en el WAF de última generación de Fastly una solución de seguridad flexible que se adaptara como un guante a una plataforma en constante evolución como la suya.
Spread Group gestiona tres marcas distintas: Spreadshirt, TeamShirts y Spreadshop. Su ambiciosa misión de «estampar ideas» conecta a clientes y empresas que quieren ropa personalizada con creadores independientes que venden productos por encargo.
El secreto que hace que funcione este concepto único es una plataforma potente que integra diseño del producto, marketing, ventas, producción, pagos, envíos y atención al cliente.
Con una media superior a los 6000 millones de peticiones al mes, encontrar una CDN que impulsara la distribución se convirtió en una de sus primeras prioridades.
Así, en 2016, Fastly hizo posible que Spread Group implementara una solución de CDN creativa y hecha a medida que:
incluía un chatbot inteligente con el que los desarrolladores podían enviar cambios en 12 segundos;
obtenía información en tiempo real de los registros en vivo;
optimizaba los test A/B;
mejoraba el tiempo de purga de caché.
Esta solución respondió a la perfección a las necesidades de CI/CD (integración, distribución y supervisión continuas) de Spread Group. Con ella, la empresa podía mejorar la calidad y la distribución a la vez que agilizaba la publicación de funcionalidades y actualizaciones.
Hasta entonces todo había ido bien, pero ninguna marca tecnológica se puede dormir en los laureles.
Ahora que ya contaba con una distribución dinámica, Spread Group pasó al siguiente reto: encontrar un WAF sólido pero con la flexibilidad suficiente para que encajase con una plataforma en constante evolución.
Por aquel entonces, la empresa ya disponía de una buena infraestructura de supervisión y observabilidad de seguridad que había desarrollado su propio equipo a partir de software de código abierto. Cuando la supervisión detectaba un ataque, el chatbot creado mediante la CDN de Fastly se encargaba de mitigarlo.
Pese a funcionar, no podía convertirse en una solución a largo plazo:
Hacía falta un WAF flexible que pudiera ejecutarse en modo de bloqueo para dar margen a la hora de modernizar los componentes antiguos que presentaban vulnerabilidades.
Las herramientas de código abierto no se estaban usando en modo de bloqueo, puesto que este habría limitado considerablemente la funcionalidad de la plataforma a menos que se le dedicara mucho tiempo a la configuración.
Lo ideal era contar con una solución que proporcionara fuertes medidas de seguridad sin perder de vista las necesidades del negocio, además de una gran observabilidad para obtener datos valiosos.
Era necesario elegir un WAF que mantuviese el acceso abierto en caso de error y que, por tanto, presentase menos restricciones y diese tanta prioridad a la seguridad como a las necesidades del negocio. También debía mostrar una rápida capacidad de reacción ante amenazas como las herramientas automatizadas, los bots, los ataques de DDoS, el scripting entre sitios (XSS) y la inyección de código SQL (SQLi).
Y eso no es todo: además de reducir la carga de trabajo manual necesario para ajustar reglas (y así favorecer un ciclo rápido de publicación), el nuevo WAF tendría que contar con varios tipos de despliegue que le permitieran integrarse con la infraestructura de tráfico de Spread Group. No iba a ser fácil encontrarlo.
Sin embargo, la experiencia positiva con su CDN hizo que Spread Group pensara en primer lugar en el WAF de última generación de Fastly.
Para Spread Group, elegir a Fastly como proveedor de WAF fue un esfuerzo conjunto: en última instancia, los expertos de seguridad de la plataforma tomaron la decisión tras la evaluación del producto y la prueba de concepto, pero el personal de operaciones también dio su opinión acerca del proceso de implementación en la infraestructura.
Antes de eso, no obstante, tocaban las pruebas. Spread Group estableció dos puntos de pruebas para la evaluación: uno en el entorno de QA para probar el modo de bloqueo y otros componentes, y uno posterior en el que se iba a ejecutar en modo de no bloqueo para luego pasar al modo de bloqueo en el entorno de producción.
El equipo utilizó Burp Suite y otras pruebas de herramientas de ataque, tanto en modo manual como automático, para comprobar qué reglas aplicaba el WAF. También se sometieron a pruebas los flujos principales del negocio para comprobar que seguían funcionando con el modo de bloqueo activado.
Los primeros resultados ya impresionaron:
El WAF de última generación de Fastly mostró una capacidad de bloqueo más acertada que la competencia al bloquear solamente peticiones maliciosas y no funciones clave del negocio.
El WAF hizo patente su gran rendimiento al no añadir mucha latencia ni sobrecargar el sistema durante el análisis de cada petición.
El WAF se adaptó a la perfección al ecosistema de seguridad existente y, centrándose en la API, ayudó a inspeccionar y filtrar enlaces de encabezados.
De cara al futuro, se podría aprovechar el potencial del WAF para funcionar con Compute@Edge, la solución de informática sin servidores de Fastly.
Spread Group quedó convencido gracias a siete grandes ventajas del WAF de última generación de Fastly:
Datos de análisis
Señales con información
IU intuitiva
Estrategia de bloqueo basada en umbrales (con reglas muy configurables)
Gran rendimiento (con decisiones muy rápidas con respecto a peticiones entrantes)
Acceso abierto en caso de error
Prioridad de las API
Por ejemplo, un arquitecto de soluciones de Fastly ayudó en la incorporación de personal de operaciones para asegurarse de que todo el mundo podía utilizar la solución desde el principio.
Toda la fase de pruebas e implementación apenas duró tres meses, y desde entonces Spread Group ha contado con el apoyo de Fastly. El CSOC (Customer Security Operations Center) resuelve con celeridad los tickets de soporte y, si hace falta, siempre hay expertos disponibles para hablar o chatear por Slack.
Spread Group es una organización única: sus operaciones abarcan tanto tecnología configurada al detalle como un proceso de fabricación física, junto con una plataforma compleja que presenta una superficie de ataque tentadora para amenazas cada vez más sofisticadas.
Con todo, es motivo de orgullo para Fastly ayudar a esta innovadora empresa de moda y complementos a proteger sus activos y mantener un rendimiento excepcional.
Distribución creativa + seguridad flexible = evolución del negocio. Estaría bien poner eso en una camiseta.
«La CDN de Fastly redujo el tiempo total de purga de la caché de unos 10 minutos con el anterior proveedor a 3 segundos».
Gernot Pörner
IT Architect de Spread Group
«El WAF de última generación de Fastly tiene una IU moderna, clara e intuitiva. Eso es importante porque resulta fácil de usar para quienes solo necesitan acceder de vez en cuando».
Tobias Zschietzschmann
Security Engineer de Spread Group
«El WAF de última generación de Fastly es idóneo para todo equipo de seguridad que necesite encontrar un equilibrio entre la seguridad y las necesidades del negocio, y quiera automatizar las tareas y la configuración del WAF. Fastly tiene un proceso de incorporación muy sencillo, y el CSOC siempre está ahí para resolver tickets de soporte con rapidez».
Tobias Zschietzschmann
Security Engineer de Spread Group