Just Eat Takeaway

Just Eat Takeaway consolida las medidas de seguridad y elimina el costoso tiempo de inactividad, ahorrando millones de dólares con Cloudflare

El objetivo de Just Eat Takeaway es facilitar la comodidad. Just Eat Takeaway es uno de los principales servicios de reparto en línea, y opera siete marcas en 17 países. Conecta a más de 61 millones de consumidores en todo el mundo con más de 300 000 restaurantes, servicios y minoristas asociados.

La misión principal de Just Eat Takeaway es ofrecer a los clientes experiencias excepcionales, con eficiencia, variedad de opciones y calidad. La empresa está trabajando en la consolidación de sus plataformas tecnológicas para optimizar la logística de la entrega y acelerar los servicios de atención al cliente. Al mismo tiempo, quiere ir más allá de la entrega de comida y bebidas y está ampliando su mercado para incluir productos electrónicos, comestibles y los artículos cotidianos más habituales.

"Los clientes recurren a nosotros porque les ofrecemos todas las opciones que necesitan", afirma Neal Potter, responsable de operaciones de seguridad de Just Eat Takeaway. "Pero también ofrecemos un gran valor: la red logística que sustenta nuestros servicios garantiza que los consumidores reciben lo que han pedido y que lo reciben a tiempo".

Eliminar las interrupciones de la plataforma y el tráfico de bots maliciosos para proteger los ingresos, la fiabilidad y la confianza de los usuarios

Just Eat Takeaway, que procesa más de 700 millones de transacciones de clientes al año, necesitaba una base digital segura que les garantizase la disponibilidad, protegiese sus cargados servicios y permitiese cambios rápidos. Sin embargo, a medida que la empresa crecía, su proveedor de servicios externo no gestionaba adecuadamente las recurrentes interrupciones. Esto sobrecargaba a los equipos internos y socavaba la confianza en la plataforma.

"Había llegado el momento de contar con un socio fiable", indica Potter. "Cada interrupción de la plataforma que causaba el proveedor nos costaba dinero".

Otro factor agravaba los problemas de rendimiento y disponibilidad de la empresa: bots no autorizados atacaban los flujos de trabajo de la programación de los repartidores. Esto sobrecargaba su infraestructura logística y degradaba la experiencia laboral de los usuarios legítimos. Los atacantes también lanzaban eventos DDoS periódicos e innumerables intentos de explotación de vulnerabilidades, muchos de ellos con herramientas de análisis basadas en IA.

"Nuestra mayor preocupación en materia de seguridad de las aplicaciones es el entorno de amenazas en rápida evolución", explica Potter. "Nuestros atacantes ahora pueden usar la IA para detectar puntos débiles en nuestra defensa a gran escala. Es un problema muy grave. Cada hora de interrupción en nuestras plataformas nos cuesta millones de dólares".

Para gestionar su creciente superficie de ataque y aplicar políticas de seguridad globales coherentes, Just Eat Takeaway necesitaba un socio que pudiera ayudarles a mejorar la fiabilidad y a reducir la complejidad de la plataforma, así como a proteger su infraestructura web pública con una única solución integral de red y seguridad.

"La disponibilidad, la resiliencia de la plataforma y la protección de los datos de nuestros clientes son fundamentales para nosotros, por lo que nos asociamos con Cloudflare", declara Potter. "Son líderes del sector y gozan de una reputación fantástica en este campo. Ha demostrado ser la decisión correcta".

Crear una base digital segura y de alto rendimiento con las soluciones de seguridad y rendimiento para aplicaciones de Cloudflare

Cloudflare ha proporcionado a Just Eat Takeaway la cobertura y la funcionalidad globales necesarias para actualizar y estabilizar su plataforma global en su conectividad cloud, un ecosistema componible basado en una red global que consolida el rendimiento, las redes, la seguridad y el desarrollo de aplicaciones.

Just Eat Takeaway ha migrado del proveedor anterior a las soluciones de seguridad y rendimiento para aplicaciones de Cloudflare en paralelo con una nueva iniciativa para automatizar la configuración del WAF y los canales globales de integración y distribución continuas (CI/CD) y de implementación con la infraestructura como código (IaC).

"Con la adopción de la infraestructura como código y nuestra migración simultánea al WAF, debíamos superar el obstáculo que suponía la falta de competencias", explica Potter. "La asociación con Cloudflare fue la clave de nuestro éxito. Nos permitió acceder a las personas adecuadas y nos ayudó a adquirir las competencias que necesitábamos. Eso sentó las bases de donde estamos hoy".

Just Eat Takeaway completó toda la migración en menos de dos meses. Gracias al firewall de aplicaciones web (WAF) de Cloudflare, la seguridad nativa de nube en la red de Cloudflare (que abarca 335 ciudades en 125 países) y la capacidad de 405 Tb/s de la protección contra DDoS de Cloudflare, Just Eat Takeaway absorbe y mitiga los ataques en el perímetro de la red sin sobrecargar el rendimiento ni agotar los recursos del equipo.

"Cuando adoptamos Cloudflare por primera vez, todas las miradas estaban puestas en la disponibilidad, pero la solución bloquea fácilmente cientos de ataques DDoS y cientos de miles de intentos de intentos de explotación de vulnerabilidades al año", afirma Potter. "Parece magia. Simplemente sucede. No tenemos que darle más vueltas".

Para seguir optimizando la seguridad de sus activos web públicos, Just Eat Takeaway ha implementado canalizaciones de Terraform para complementar los conjuntos de reglas WAF OWASP y gestionados por Cloudflare que bloquean las vulnerabilidades de día cero, las 10 principales técnicas de ataque, las credenciales robadas y filtradas y la extracción de datos confidenciales.

"Las reglas de Cloudflare son realmente buenas: ofrecen un enfoque sin configuración para seguir el ritmo de la evolución de las amenazas y los intentos de explotación de vulnerabilidades", afirma Potter. "Pero Cloudflare también nos resulta muy útil para crear e implementar reglas personalizadas como código y gestionarlas a escala en todos nuestros recursos".

Reducir el tráfico de bots no deseado para garantizar prácticas de programación justas

Como parte de una iniciativa multitecnológica para reforzar la seguridad de sus aplicaciones públicas, Just Eat Takeaway, gracias a la solución de gestión de bots de Cloudflare, bloqueó otra importante pérdida de recursos económicos, de rendimiento e internos: los repartidores recurrían a plataformas automatizadas no autorizadas para acaparar los turnos de reparto más solicitados.

Nuestras aplicaciones de programación de repartidores recibían más del 90 % del tráfico de bots, ya que los usuarios utilizaban programas para acaparar turnos y así manipular el sistema. Según Potter, esto generaba una carga para el sistema mayor que el tráfico de usuarios humanos. "Cloudflare, junto con otras tecnologías que implementamos, redujo esa carga a niveles insignificantes de la noche a la mañana, recortando nuestros costes y gastos administrativos, e igualando las condiciones para aquellos que no recurren a técnicas automatizadas".

Just Eat Takeaway también ha logrado un éxito notable al utilizar la solución de gestión de bots para proteger sus propiedades web contra el relleno de credenciales, la apropiación de contenido, la acumulación de inventario, los análisis de vulnerabilidades basados en IA y otras amenazas emergentes. Mediante una combinación de métodos que incluyen la identificación JA3 y JA4, el aprendizaje automático y el análisis de comportamiento, la empresa ha alcanzado nuevos niveles de protección contra amenazas, sin configuraciones complejas ni elevados costes de mantenimiento.

"Nuestro proveedor anterior no era particularmente bueno para mitigar los análisis de vulnerabilidades u otros ataques de bots, especialmente a la escala que permite la IA actual", afirma Potter, "Aunque la solución de Cloudflare, de fácil implementación, parece menos compleja a simple vista, los análisis detallados y la información sobre amenazas de Cloudflare garantizan nuestra protección, aunque no sepamos exactamente cómo funcionan a nivel interno".

Reducir los costes operativos y la complejidad de la plataforma gracias a la integración con Terraform y a la automatización de la seguridad sin configuración

Según Potter, el restablecimiento de la disponibilidad gracias a Cloudflare ha beneficiado enormemente los resultados de Just Eat Takeaway.

"Cloudflare protege nuestra disponibilidad, y salvaguarda así nuestra rentabilidad. Es así de sencillo. Cada interrupción que hemos sufrido en el pasado nos ha costado millones de dólares. Cloudflare nos ha ayudado a poner fin a esa situación".

Además de aumentar la disponibilidad y mejorar la postura de seguridad de Just Eat Takeaway, la adopción de Cloudflare ha simplificado la gestión de la seguridad. Al eliminar la intervención manual y cambiar a flujos de trabajo de implementación automatizados, la empresa ha reducido la complejidad y los costes operativos, al mismo tiempo que ha mejorado la velocidad, la coherencia y la flexibilidad. La integración con Terraform de Cloudflare también facilita una mejor colaboración, el control de versiones y las capacidades de recuperación ante desastres.

"La compatibilidad de la infraestructura como código de Cloudflare ha sido realmente beneficiosa", afirma Potter. "Nos ha permitido ampliar nuestro enfoque de implementación de reglas a toda nuestra infraestructura, y nos ha proporcionado un canal de integración y distribución continuas (CI/CD) eficaz, repetible y con control de versiones que nos garantiza la flexibilidad necesaria para revertir rápidamente las configuraciones incorrectas".

Otras soluciones de Cloudflare, como el WAF, la protección contra DDoS y la gestión de bots, aportan aún más ventajas a la empresa. Operan principalmente como una protección automática y evitan así que los ingenieros de seguridad tengan que estar constantemente solucionando incidentes de seguridad como en el pasado, a fin de que se puedan centrar en nuevos desafíos empresariales estratégicos. Cloudflare también ha aligerado las cargas de trabajo de los equipos de seguridad de Just Eat Takeaway simplificando tareas que antes resultaban engorrosas, como la implementación de reglas, el ajuste de falsos positivos y la protección contra la explotación de vulnerabilidades.

"Si siguiéramos respondiendo manualmente a las amenazas, cada incidente DDoS nos costaría varias horas", afirma Potter. "Ahora podemos aprovechar mejor ese tiempo en otras tareas, como desarrollar nuestro SOC interno".

Una colaboración continua para optimizar la observabilidad de la plataforma y mejorar la experiencia de desarrollo gracias a la automatización de Cloudflare y a las herramientas de IA

Just Eat Takeaway tiene como objetivo optimizar aún más sus operaciones y beneficiarse aún más de la plataforma de Cloudflare.

"Estamos muy interesados en estudiar la posibilidad de utilizar Cloudflare Log Explorer", dice Potter. "Exportar registros a una plataforma de observabilidad o SIEM es muy caro debido al volumen. Acceder a los datos de forma nativa con la API de Cloudflare y exponerlos a otras herramientas podría ahorrarnos mucho dinero".

También considera que la utilización de la IA y la automatización de Cloudflare representa una oportunidad creciente para optimizar aún más las operaciones para los desarrolladores e ingenieros de Just Eat Takeaway.

"Quiero asegurarme de que nuestro equipo tenga una buena experiencia gestionando el código y Cloudflare", afirma. "Los avances en la IA mejorarán la coherencia de la experiencia para nuestros ingenieros y permitirán una aplicación más sistemática de nuestras políticas".

Potter también observa un potencial continuo en la relación de la empresa con Cloudflare, especialmente en lo que respecta a las funciones de seguridad emergentes y a la alineación de la planificación.

"Nuestra asociación funciona porque Cloudflare es transparente", añade. "Podemos hablar con las personas que desarrollan el producto. Ese tipo de acceso nos permite dar nuestra opinión sobre cómo resolver los problemas y decidir qué será lo siguiente.