Une application d’apprentissage en ligne de premier plan renforce la résilience de sa plateforme et simplifie ses processus de sécurité grâce à Fastly

Le défi

Les 113 millions d’utilisateurs actifs mensuels de Duolingo comptent sur l’application pour apprendre des langues facilement en s’amusant, sans temps d’arrêt qui entraveraient leur apprentissage ou leurs séries. Les attaques DDoS (déni de service distribué) étaient fréquentes et onéreuses ; c’est ce qu’a découvert Matt Brandman, Senior Engineering Manager, Platform Security (Directeur principal de l’ingénierie de sécurité des plateformes) chez Duolingo. “J’ai passé mes deux premières semaines à constamment repousser des attaques. Outre l’impact sur les clients, le coût de ces heures d’ingénierie s’accumulait : une attaque DDoS pouvait déclencher cinq problèmes différents et leur résolution pouvait prendre plusieurs heures”, explique-t-il.

L’approche de M. Brandman en matière de sécurité chez Duolingo se concentre sur des solutions systémiques et la formation des équipes. Il souhaitait donc mettre en place une solution de sécurité en périphérie qui simplifierait la vie des développeurs, tout en renforçant la résilience du site. “En tant que responsable de l’ingénierie, je me soucie beaucoup des interactions entre les développeurs et les équipes de sécurité. Grâce à Fastly, il est plus facile d’établir une relation de confiance avec les développeurs.”

Après plusieurs expériences négatives avec d’autres fournisseurs, certains ayant même réduit leurs services de manière inattendue, Duolingo souhaitait trouver un partenaire de sécurité réputé pour prendre en charge ses clients sur le long terme, avec des canaux de communication pratiques et réactifs, ainsi que des experts en sécurité fiables pour ses équipes, particulièrement lorsque les enjeux étaient élevés.

La solution

Fastly offre aux développeurs la productivité, la fiabilité et la résilience dont Duolingo a besoin. “Le WAF de nouvelle génération a été intégré en production et a bloqué suffisamment de trafic pour pouvoir observer un véritable ralentissement des attaques DDoS en moins d’une semaine”, affirme M. Brandman.

La résilience des plateformes offre la liberté d’innover

Les développeurs de Duolingo déploient leurs services plus rapidement en sachant qu’ils sont protégés par le WAF (pare-feu d’applications web) de nouvelle génération à la périphérie de Fastly. “Ils peuvent lancer un serveur plus rapidement en sachant qu’ils peuvent y appliquer des règles de rate limiting si c’est nécessaire”, explique M. Brandman. “Et, comme Fastly fait son travail et protège les services, ils n’ont plus à se relever la nuit pour résoudre des incidents.”

Avec une culture DevOps qui lance des centaines d’expériences chaque trimestre, Duolingo a même réalisé que le WAF de nouvelle génération offrait une plus grande résilience contre les expériences ratées. “Certains développeurs pensaient que nous limitions le trafic auquel ils avaient accès. En fait, leur essai nous envoyait des milliers de requêtes : ce rate limiting a évité qu’une erreur interne entraîne une panne du site.”

La visibilité fait gagner du temps d’ingénierie

Fastly a également résolu les problèmes de visibilité de Duolingo, permettant à l’entreprise de réagir plus rapidement en cas d’incidents de sécurité. “Les tableaux de bord de Fastly nous offrent assez de visibilité pour voir qu’un service vient de recevoir 5 millions de requêtes d’un coup et comprendre immédiatement qu’il s’agit de l’origine du problème”, déclare M. Brandman. “Ce qui coûte le plus cher aux entreprises d’ingénierie, c’est le temps de développement. Le coût des outils est presque négligeable comparé à 30 ingénieurs qui tentent de résoudre un problème pendant trois heures. Avec Fastly, nous consacrons au maximum deux à trois heures d’ingénierie à la résolution d’un problème : un ou deux ingénieurs s’en chargent, apportent une modification, et l’envoient en production. Les économies réalisées sont substantielles et constituent l’un des plus grands atouts que nous offre Fastly”, ajoute-t-il.

Les contrôles granulaires ajustent précisément les règles de sécurité avec un héritage pratique

Différents chemins demandent différentes approches de la sécurité, c’est pourquoi l’équipe de M. Brandman apprécie la possibilité de personnaliser les règles avec précision. Selon lui, il faut appliquer une protection renforcée à un chemin de connexion. “On ne peut pas autoriser 2 000 tentatives de connexion échouées par seconde, car cela permet des attaques par énumération. Avec le WAF de nouvelle génération, nous pouvons apporter des précisions sur le type de comportement que nous cherchons à éviter. Par exemple, si la tentative de connexion échoue 30 fois en une seconde, il ne s’agit probablement pas d’un véritable utilisateur ; il sera donc placé dans la penalty box pendant quelques minutes. Devant la fréquence des changements d’adresses IP et le nombre de proxys existants, l’approche de penalty box est plus adaptée que le bannissement.”

M. Brandman poursuit en déclarant qu’il est également très utile de pouvoir utiliser le WAF de nouvelle génération en mode surveillance, voir s’il est adapté au trafic et s’assurer qu’il ne bloque pas l’ensemble du trafic avant d’activer le mode blocage. “Il est possible de vérifier chaque chemin un par un, en fonction de l’en-tête de l’agent utilisateur. Bloquer un agent utilisateur donné sur un chemin nous donne le temps de mettre en place un correctif plus large.”

Il est aussi possible de combiner les signaux pour créer des règles plus étendues et plus puissantes. “L’aspect modulaire du WAF de nouvelle génération compte parmi mes fonctionnalités préférées”, déclare M. Brandman. “Au fil du temps, nous avons su repérer les signaux fondamentaux, comme les anciens agents utilisateurs. Bien qu’ils ne constituent pas forcément des signaux d’avertissement, si un ancien agent utilisateur est à l’origine de dix tentatives de connexion échouées provenant d’une version obsolète de l’application, nous sommes susceptibles d’appliquer un délai d’arrêt plus long que pour un agent utilisateur sur une version plus récente de l’application. Fastly permet de facilement parcourir, comprendre, modifier et vérifier ce type de règles.”

Les avantages d’une sécurité automatisée doublés d’une gestion plus pratique et flexible

Duolingo bénéficie de tous les avantages des outils de sécurité automatisés et des connaissances des spécialistes en sécurité de Fastly, acquises en protégeant les clients faisant face à diverses attaques, en tirant des leçons des expériences d’autres clients et de leurs observations concernant certains secteurs verticaux et vecteurs d’attaque émergents. Fastly examine régulièrement les logs (journaux) de Duolingo pour identifier les tendances que l’automatisation n’identifie pas avant qu’elles ne deviennent des urgences. Duolingo peut ainsi prévenir les incidents. Et lorsque les équipes en interne ont besoin d’aide, Response Security Service est là pour les aider. “Nous avons demandé l’aide des équipes CSOC (centre d’opérations de la cybersécurité) et de mise en œuvre dès les premières étapes d’intégration du WAF de nouvelle génération. Elles nous ont accompagnés tout au long du processus”, explique M. Brandman.

Il ajoute que toutes les interactions se sont déroulées à merveille, car Fastly prend le temps de comprendre ses clients. “L’équipe technique de Fastly connaît son sujet sur le bout des doigts et comprend vraiment notre pile technologique. L’équipe CSOC met généralement quelques minutes à traiter un cas d’assistance. Elle ne se contente pas de consulter un tableau de bord : elle analyse le trafic et crée des scripts. Elle pose les bonnes questions et nous offre des conseils judicieux et adaptés à notre pile. De plus, elle offre une aide pratique en cas d’incident, si personne d’autre n’est disponible.”

Principaux enseignements

Duolingo a trouvé un partenaire de sécurité à long terme qui soutient à la fois la résilience et l’innovation. Un partenariat solide et une approche experte qui ont renforcé sa protection, sa sérénité, sa perspective opérationnelle et l’innovation dans le développement. “Si vous envisagez de faire appel à un partenaire de CDN et de sécurité, penchez-vous vraiment sur les qualités de l’équipe avec laquelle vous travaillez et assurez-vous qu’elle sera toujours en mesure de venir en aide à votre entreprise au fil du temps. Elle est à la fois au fondement de votre protection et votre première ligne de défense. Vous bénéficierez d’une relation solide pendant de nombreuses années. C’est pour cela que nous avons choisi Fastly”, conclut M. Brandman.