PicsArt

Picsart fait évoluer son expérience créative à l'échelle mondiale grâce à Cloudflare

La mission de Picsart consiste à donner les moyens de créer à tous ses utilisateurs, partout dans le monde. La plateforme de création numérique proposée par le développeur de logiciels sert une vaste base mondiale d'utilisateurs, ainsi que les entreprises à la recherche d'outils d'édition et de publication fiables, rapides et sécurisés. Avec l'ambition affichée de devenir la plus grande plateforme créative assistée par IA du monde, Picsart priorise les performances, la sécurité et la rapidité de développement à un moment où l'entreprise évolue pour atteindre des centaines de milliards de requêtes chaque mois.

Problématique : atténuer les menaces envers la sécurité tout en optimisant les performances de ses services

Depuis sa fondation en 2011, Picsart a connu une croissance fulgurante et a dû composer avec des normes toujours plus élevées pour protéger son application et son infrastructure. Concrètement, l'entreprise avait besoin d'arrêter les attaques par injection, les événements de déni de service distribué (DDoS, Distributed Denial-of-Service) et les bots malveillants, sans oublier de soutenir les pics de trafic soudains. Le tout sans ralentir les utilisateurs ni submerger les équipes d'astreinte.

Picsart devait également trouver un meilleur moyen de gérer les accès internes, car son VPN existant entraînait un ralentissement de l'expérience utilisateur, un problème de latence et une complexité opérationnelle, sans offrir les mesures de contrôle des accès granulaires et évolutives dont elle avait besoin pour soutenir son expansion mondiale.

Afin de répondre à ces deux problématiques, Picsart a fait appel au cloud de connectivité Cloudflare, notre plateforme unifiée de services de sécurité, de connectivité et de développement fonctionnant sur un réseau mondial programmable.

« Nous avons choisi une plateforme mondiale unique et distribuée pour assurer la sécurité, les performances et la vélocité de nos développeurs afin d'appliquer des politiques cohérentes partout et à tous les niveaux, mais aussi de permettre à nos équipes de rester concentrées sur leurs objectifs », explique Gevorg Khachatryan, qui dirige l'ingénierie de la fiabilité des sites et la gestion des incidents chez Picsart.

Protéger les applications grâce à notre pare-feu WAF, à notre protection anti-DDoS et au contrôle du volume des requêtes

Picsart utilise le pare-feu applicatif web (Web Application Firewall, WAF) de Cloudflare, la protection contre les attaques DDoS et le service de contrôle du volume des requêtes pour défendre ses applications à grande échelle. Notre protection pilotée par apprentissage automatique (Machine Learning) absorbe les attaques en amont (notamment le trafic susceptible de saturer les liaisons sur le dernier segment afin de les empêcher d'atteindre l'infrastructure de Picsart.

Cette approche permet de garantir la disponibilité des services PicArt pour les utilisateurs légitimes. Selon Khachatryan, « Cloudflare bloque près de trois milliards de requêtes malveillantes par mois. Ses solutions nous permettent ainsi d'améliorer la rapidité de notre expérience à travers le monde, de réduire nos frais d'exploitation et de diminuer le nombre d'incidents survenant en dehors des heures de travail ».

La solution de gestion des bots Cloudflare contribue par ailleurs à la protection des API monétisées en les plaçant derrière le pare-feu WAF, la protection contre les attaques DDoS et le service de contrôle du volume des requêtes Cloudflare afin d'absorber les pics de trafic et les schémas malveillants à l'edge (c'est-à-dire à la périphérie du réseau) avant qu'ils ne puissent entrer en contact avec le serveur d'origine. C'est ce qui a permis à Picsart d'éviter les problèmes de disponibilité majeurs et l'escalade des incidents aux équipes d'astreinte lors de sa montée en charge.

Ces services permettent à Picsart de juguler automatiquement les activités malveillantes des bots, comme l'extraction et les fausses inscriptions sur le site web et les applications mobiles de l'entreprise. Ces fonctionnalités sont principalement gérées par l'intermédiaire de la diffusion de contenu (c.-à-d. la mise en cache des ressources statiques, des médias et des aperçus par le CDN Cloudflare) et protègent également certains points de terminaison en contact avec le public afin d'assurer une expérience produit fluide.

Améliorer les performances à l'aide de services distribués à l'échelle mondiale

Picsart utilise les services du CDN (Content Delivery Network, réseau de diffusion de contenu) Cloudflare pour proposer une expérience réactive à ses utilisateurs. La mise en cache du contenu, des ressources statiques et des aperçus permet de diffuser ces éléments au plus près des utilisateurs afin de donner une impression d'instantanéité aux workflows créatifs, sur l'ensemble des régions.

« Nous traitons environ 120 milliards de requêtes chaque mois », précise Khachatryan. « Près de 85 % de celles-ci sont diffusées depuis le cache, soit en gros cinq pétaoctets de contenu, dont quatre directement à partir des solutions Edge proposées par Cloudflare. »

Picsart parvient également à protéger ses adresses IP publiques en mettant son trafic en proxy derrière Cloudflare. Cette approche simplifie le processus de modification de l'infrastructure et ajoute une nouvelle couche de protection.

Picsart a encore amélioré les performances de l'un de ses services les plus essentiels en passant d'une architecture centralisée à un ensemble de services distribués à l'échelle mondiale, bâtis sur les solutions Cloudflare, notamment Cloudflare Workers et Workers KV, qui proposent des services de calcul à faible latence et un magasin clés-valeurs pour les applications exécutées en périphérie du réseau.

L'exécution des calculs à l'edge en serverless permet à Picsart d'accélérer la vélocité de ses développeurs en gérant automatiquement l'infrastructure de manière à ce que les techniciens puissent se concentrer sur la publication de code. « Nous pouvons déployer des mises à jour en quelques heures et non en quelques semaines, sans avoir de serveurs à gérer », explique Khachatryan. Cloudflare Workers soutient, par exemple, la plateforme d'expérimentation A/B de Picsart à la périphérie du réseau afin d'accélérer les tests et l'apprentissage.

Simplifier les accès grâce à Cloudflare Access

Picsart a modernisé son approche de l'accès à distance en remplaçant sa configuration VPN existante de plusieurs passerelles régionales par Cloudflare Access, une solution d'accès réseau Zero Trust (Zero Trust Network Access, ZTNA). Le fait que Cloudflare authentifie chaque requête émise par un collaborateur vers des ressources de l'entreprise en fonction de son identité et du contexte permet ainsi de renforcer la stratégie de sécurité de Picsart. Cette solution simplifie également l'expérience d'accès des utilisateurs finaux par rapport à une configuration VPN susceptible de rencontrer des problèmes de latence.

La suite : automatiser davantage de fonctions à la périphérie et étendre le Zero Trust pour plus de rapidité

Picsart prévoit d'unifier la gestion des politiques, d'étendre l'automatisation à l'aide du service Cloudflare Workers et d'élargir le Zero Trust à davantage de workflows. En continuant à s'appuyer sur la seule plateforme Cloudflare, Picsart se donne pour objectif de réduire encore la complexité et de proposer une expérience créative sans interruption.

« Cloudflare nous aide à proposer une expérience plus rapide, plus sûre et plus créative à des millions d'utilisateurs afin de permettre à ces derniers de se concentrer sur la création et plus sur le temps d'attente », déclare Khachatryan. « Nous bloquons le malveillant, accélérons l'utile et sommes ainsi à même de proposer nos services plus rapidement. »