Honey Baked Ham, 중단 없는 앱 보호 실현

Honey Baked Ham Company는 미국 내 주요 식품 생산업체이자 리테일 기업으로서 1957년부터 전국의 가정에 우수한 품질의 제품을 제공하고 있습니다. Honey Baked Ham은 민감한 고객 정보에 액세스하는 45개 중요 애플리케이션의 보안 상태를 개선해야 했습니다. 이 회사에서는 이러한 시스템에 대한 무단 액세스를 방지하고 잠재적인 침해 사고의 피해를 최소화하기 위해 보다 적극적인 조치를 취하기를 원했습니다. 동시에 새로운 보호 조치가 주요 비즈니스 워크플로우를 중단하지 않는 것이 중요했습니다. 

PCI-DSS 컴플라이언스 

또한 Honey Baked Ham은 카드 소지자 데이터를 저장, 처리 또는 전송하는 특정 자산을 분리하도록 요구하는 PCI-DSS를 준수해야 합니다. 따라서 회사는 컴플라이언스를 보장하고, 리스크 수준을 낮추며, 보안 유출 시 악성 공격자의 측면 이동 을 방지해 브랜드 평판을 보호할 수 있는 세그멘테이션 접근 방식을 필요로 했습니다. 

환경 항목(Environmental Entries) 

회사는 베어 메탈(bare-metal) 서버 클러스터 및 VMware 가상 머신 모두에서 실행되는 애플리케이션 서버와 영업 적합 잠재 고객(Sales Qualified Lead) 데이터베이스를 보호하기를 원했습니다. 이러한 이기종 환경에서 기존 기술을 사용하여 개별 애플리케이션을 격리하려면 새로운 방화벽 어플라이언스에 상당한 투자가 필요할 뿐 아니라 수개월의 작업이 필요합니다. 

방화벽의 한계 

처음에는 레거시 방화벽으로 세그먼테이션을 시도했습니다. 그러나 레거시 방화벽은 서버와 애플리케이션 간의 통신 흐름을 포함해 환경 내 활동에 대한 가시성과 통찰력 면에서 부족함을 드러냈습니다. 

Honey Baked Ham의 보안 팀 수석 인프라 엔지니어인 데이빗 스터넷(David E. Stennet)은 “세그멘테이션은 기존 도구로는 매우 어려운 작업입니다.”라고 지적합니다. “여러 세그먼트로 세분화해야 하는 대상을 구조화하는 것이 과연 가능할까요? 무엇이 어떤 것과 맞을지, 어떤 것과 작용할지, 혹은 그 작용을 위해 다른 뭔가가 필요할지 어떻게 알 수 있을까요?” 

또한 이 방화벽은 회사가 필요로 했던 적절한 보안 제어나 세분화된 세그멘테이션을 제공하지 못했습니다. 회사는 무단 활동을 막기 위한 위협 탐지 및 대응 기능을 제공하는 솔루션을 원했으나, 레거시 방화벽은 이런 기능을 제공하는 데 한계가 있었습니다. 

비용 및 시간 손실 

접근 방식의 변경을 불가피하게 한 또 다른 주요 요인은 레거시 방화벽이 비용이 많이 들고 구현 시 다운타임이 지나치게 길다는 점이었습니다. 또한 구현 프로세스에는 3개의 풀타임 리소스가 사용됩니다.

“기존 방화벽을 사용하면 비용이 터무니없이 많이 나올 뿐 아니라, 시간도 회사가 제시한 것보다 훨씬 더 오래 걸릴 것으로 보였습니다.”라고 스터넷은 말합니다. 실제로 애플리케이션을 보호하려는 회사의 노력은 총 1백만 달러라는 납득하기 힘든 비용, 2년간의 작업 기간 및 다운타임에 대한 요구 사항 등으로 인해 벽에 가로막혀 있었습니다. 

해결책을 제시한 마이크로 세그멘테이션 

협력사인 InterDev는 물리적 분할에 대한 대안으로 세그멘테이션 솔루션을 Honey Baked Ham에 소개했습니다. 

Honey Baked Ham은 온프레미스(on-premise)와 클라우드 환경 모두에 Akamai Guardicore Segmentation 소프트웨어 에이전트를 배포했습니다. Akamai Guardicore Segmentation을 통해 제공되는 세밀한 가시성과 애플리케이션 종속성 매핑 덕분에, Honey Baked Ham의 애플리케이션이 프로세스 수준에서 다른 IT 자산과 어떤 방식으로 통신하는지 빠르게 파악할 수 있었습니다. 이제 팀은 이 데이터를 사용하여 애플리케이션 종속성을 매핑하고 회사에 가장 중요한 애플리케이션을 중심으로 소프트웨어 정의 경계를 만들 수 있었습니다. 

"“이런 방식으로 가시성을 확보하고 누가 어떤 애플리케이션과 서버에 연결되는지 실제로 확인할 수 있습니다.”라고 스터넷은 말합니다. “세그멘테이션 성능이 뛰어날 뿐 아니라 비용도 저렴하다면요? 당연히 선택해야 하죠.” 

대대적 비용 절감 

Akamai Guardicore Segmentation을 도입하면서 Honey Baked Ham은 방화벽 어플라이언스를 새로 구매할 필요가 없었고, 초기 비용을 50% 절감할 수 있었습니다. 회사의 자체 추산에 의하면, 레거시 방화벽 어플라이언스 대신 소프트웨어 기반 세그멘테이션을 도입함으로써 애플리케이션 보안 이니셔티브의 총 비용이 100만 달러 이상에서 16만 달러 미만으로 85%나 절감되었습니다. 

사용 편의성 

소프트웨어 기반 세그멘테이션 접근 방식의 단순성 덕분에 한 명의 보안 설계자가 애플리케이션 다운타임 없이 전체 세그멘테이션 프로젝트를 단 6주 만에 완료할 수 있게 되었습니다. 이전의 방화벽 접근 방식에서 2년의 기간이 예상되었던 것에 비하면 획기적인 변화입니다. 

Akamai Guardicore Segmentation은 하드웨어를 필요로 하지 않으며 기본 인프라에도 의존하지 않으므로 관리가 간편했습니다. Honey Baked Ham은 온/오프-프레미스 환경에 모두 적용되는 정책을 손쉽게 개발하고 배포했습니다. “Akamai Guardicore Segmentation을 사용하면 트래픽 전체를 한 곳에서 볼 수 있습니다. 전체 룰을 한 곳에서 볼 수 있고, 모든 것을 한 곳에서 관리할 수 있죠.”라고 스터넷은 말합니다. 

엄청난 시간 절감 효과 

“Akamai Guardicore Segmentation을 통해 단 6주 만에 45개의 애플리케이션을 중단 없이 보호할 수 있었을 뿐 아니라 레거시 방화벽 제공업체가 제공하는 것보다 더 빠르고, 비용 효율이 뛰어나며, 안전한 솔루션을 얻을 수 있었습니다.”라고 스터넷은 밝힙니다. 마침내 Honey Baked Ham은 시스템 다운타임, 인프라 변경 또는 비즈니스 중단 없이 구현 일정을 15배 넘게 단축할 수 있었습니다.