A Honey Baked Ham protege os apps sem interrupção

A empresa Honey Baked Ham, produtora de alimentos e revendedora norte-americana líder em produção de mel, fornece produtos de alta qualidade para famílias em todo o país desde 1957. A Honey Baked Ham precisava melhorar a postura de segurança de 45 aplicações essenciais que acessam informações confidenciais dos clientes. A organização queria impedir o acesso não autorizado a esses sistemas e tomar medidas mais proativas para minimizar o impacto de possíveis incidentes de violação. Ao mesmo tempo, era importante que novas medidas de proteção não interrompessem os principais fluxos de trabalho de negócios. 

Conformidade com PCI-DSS 

A Honey Baked Ham também está sujeita à conformidade com PCI-DSS, que determina (entre outras coisas) o isolamento de ativos específicos de armazenamento, processamento ou transferência de dados de titulares de cartão. A empresa precisava de uma abordagem de segmentação que garantisse a conformidade, reduzisse os níveis de risco e protegesse a reputação da marca se violada, impedindo o movimento lateral de agentes mal-intencionados. 

Fatores ambientais 

A empresa precisava proteger uma combinação de servidores de aplicações e bancos de dados SQL em execução em clusters de servidor bare-metal e máquinas virtuais VMware. O isolamento de aplicações individuais nesse ambiente heterogêneo usando técnicas tradicionais exigiria um investimento substancial em novos dispositivos de firewall, além de exigir muitos meses de trabalho. 

Falha de firewall 

Inicialmente, a empresa tentou fazer a segmentação com firewalls legados. Infelizmente, os firewalls legados ficaram aquém em termos de visibilidade e percepção da atividade no ambiente, incluindo fluxos de comunicação entre servidores e aplicações. 

"Com as ferramentas tradicionais, a segmentação é extremamente difícil", observou David E. Stennet, Engenheiro de infra-estrutura sênior da equipe de segurança da empresa Honey Baked Ham. "Como você organiza o que vai dividir em diferentes segmentos? Como você sabe o que precisa ir com o quê, o que está falando com o quê ou se precisa de outras coisas para falar com ele?" 

Os firewalls também não proporcionaram controles de segurança adequados ou a segmentação granular que a Honey Baked Ham precisava. Além disso, a organização queria uma solução que oferecesse recursos de detecção e resposta de ameaças para interromper atividades não autorizadas, e isso não estava no escopo do que os firewalls legados forneciam. 

Perdas de custo e tempo 

Outro fator importante na mudança de abordagem da organização foi o fato de que os firewalls legados eram caros e exigiam tempo de inatividade excessivo para implementação. Além disso, o processo de implementação consumiria três recursos em tempo integral.

"O custo do uso de firewalls tradicionais seria exorbitante e o tempo seria maior do que a empresa queria que nos comprometêssemos", disse Stennet. Na verdade, o esforço da empresa para proteger suas aplicações foi completamente paralisado por uma etiqueta de preço total de US$ 1 milhão, um cronograma de dois anos e requisitos de tempo de inatividade insustentáveis. 

A microssegmentação salva o dia 

A InterDev, parceira, apresentou a solução de microssegmentação à Honey Baked Ham como alternativa à segmentação física. 

A Honey Baked Ham implantou agentes do software Akamai Guardicore Segmentation tanto no local quanto na nuvem. A visibilidade granular e o mapeamento de dependência da aplicação fornecidos pelo Akamai Guardicore Segmentation mostraram rapidamente como as aplicações da Honey Baked Ham se comunicaram com outros ativos de TI no nível do processo. A equipe conseguiu, então, usar esses dados para mapear dependências de aplicações e criar limites definidos por software em torno das aplicações mais confidenciais da empresa. 

"Eu tenho visibilidade real e consigo ver quem está se conectando a quais aplicações e servidores", disse Stennett. "Tenho mais controle e melhor para segmentar E é mais barato? Isso é uma escolha óbvia." 

Enorme redução de custos 

Com o Akamai Guardicore Segmentation, a Honey Baked Ham teve o prazer de reduzir os custos iniciais em 50% evitando novas compras de aplicações de firewall. A Honey Baked Ham estimou que o uso de segmentação baseada em software em vez de dispositivos de firewall kegados reduziu o custo total de sua iniciativa de segurança de aplicações em 85%, de mais de US$ 1 milhão para menos de US$ 160.000. 

Facilidade de uso 

A simplicidade de uma abordagem de segmentação baseada em software tornou possível para um arquiteto de segurança concluir todo o projeto de segmentação em apenas seis semanas sem nenhum tempo de inatividade da aplicação, uma mudança significativa em relação aos dois anos estimados anteriormente com a abordagem de firewall. 

Como a Akamai Guardicore Segmentation não requer hardware e é independente da infraestrutura subjacente, era simples de gerenciar. A Honey Baked Ham desenvolveu e implantou políticas que atravessaram todos os ambientes, dentro e fora das instalações. Como Stennett disse, "com a segmentação da Akamai Guardicore, posso ver todo esse tráfego em um só lugar. Posso ver todas as minhas regras em um só lugar. Posso gerenciar tudo em um só lugar." 

Economia massiva de tempo 

"Com o Akamai Guardicore Segmentation, não só conseguimos proteger 45 aplicações sem interrupção em apenas seis semanas, como também temos uma solução mais ágil, econômica e segura do que nosso provedor de firewall legado", disse Stennett. Por fim, a Honey Baked Ham conseguiu acelerar o cronograma de implementação em mais de 15x, sem tempo de inatividade do sistema, mudanças na infraestrutura ou interrupção nos negócios.