Honey Baked Ham 的应用程序保护从不间断

Honey Baked Ham 公司是美国领先的食品生产商和零售商，自 1957 年以来一直为全美家庭提供优质产品。Honey Baked Ham 需要改善 45 个用于访问敏感客户信息的关键应用程序的安全态势。公司希望阻止对这些系统的未经授权访问，并采取更积极主动的措施，尽可能地减少潜在入侵事件的影响。同样重要的是，新的保护措施还不能扰乱关键业务工作流程。 

PCI-DSS 合规性 

Honey Baked Ham 还需要遵循 PCI-DSS 标准，该标准提供出诸多要求，其中就包括对存储、处理或传输持卡人数据的特定资产进行隔离。公司需要采用一种分段方法，通过阻止恶意攻击者的 横向移动 来确保合规性、降低风险级别，并在遭到入侵时保护其品牌声誉。

环境因素 

公司需要保护在裸机服务器集群和 VMware 虚拟机上运行的各种应用程序服务器和 SQL 数据库。如果使用传统技术在这种异构环境中隔离单个应用程序，将需要大量投资购买新的防火墙设备，并且需要付出长达数月的工作量。 

防火墙故障 

起初，该公司尝试使用传统防火墙进行分段。可惜的是，传统防火墙对环境活动的监测能力和洞察力不足，包括服务器和应用程序之间的通信流。 

Honey Baked Ham 公司安全团队的高级基础架构工程师 David E. Stennett 指出：“使用传统工具进行分段极其困难。如何安排要划分成不同分段的部分？如何才能知道哪些对象需要与哪些对象配合、哪些设备在与哪些设备交互，或者是否还需要其他设备与之交互？” 

防火墙也没有提供足够的安全控制或 Honey Baked Ham 所需的精细分段。此外，该公司还需要可提供威胁检测和响应功能以阻止未经授权活动的解决方案，而这超出了传统防火墙的功能范围。 

成本和时间损失 

该公司改变分段方法的另一个主要因素是，传统防火墙不但价格昂贵，还需要太多停机时间才能实施。此外，实施过程将需要占用三名全职员工。

Stennett 表示：“使用传统防火墙的成本将会非常高，而且部署时间将超过企业希望我们承诺的时间。”事实上，由于难以承受的 100 万美元总价格、两年的时限以及停机要求，公司保护应用程序的努力停滞不前。 

微分段打破困局 

合作伙伴 InterDev 将微分段解决方案引入 Honey Baked Ham，作为物理分段的替代方案。 

Honey Baked Ham 同时在本地和云端部署了 Akamai Guardicore Segmentation 软件代理。Akamai Guardicore Segmentation 提供了精细监测能力和应用程序依赖关系映射，可快速显示 Honey Baked Ham 的应用程序与其他 IT 资产的进程级通信情况。然后，团队能够利用这些数据来映射应用程序依赖关系，并围绕业务敏感型应用程序创建软件定义的边界。 

Stennett 表示：“我获得了真正的监测能力，可以真正地查看谁在连接到哪些应用程序和服务器。我对分段拥有了更强、更多的控制权，何况这种方法还更便宜。整个过程简直不费吹灰之力。” 

大幅降低成本 

Honey Baked Ham 对 Akamai Guardicore Segmentation 感到特别满意，他们无需购买新的防火墙设备，从而降低了 50% 的前期成本。据 Honey Baked Ham 估计，使用基于软件的分段而非传统防火墙设备可将其应用程序安全计划的总成本降低 85%，从超过 100 万美元降至不到 16 万美元。 

易于使用 

基于软件的分段方法操作简便，只需一名安全架构师在短短六周内即可完成整个分段项目，而无需将任何应用程序停机，与之前使用防火墙方法估计的两年时间相比，效率简直天差地别。 

由于 Akamai Guardicore Segmentation 不需要硬件，并且独立于底层基础架构，因此非常容易管理。Honey Baked Ham 可轻松开发和部署跨各种环境的策略，无论是内部还是外部环境。正如 Stennett 所说：“借助 Akamai Guardicore Segmentation，我可以在一个位置查看所有流量。我可以在一个位置查看我的所有规则。我可以在一个位置管理所有任务。” 

大幅节省时间 

Stennett 表示：“借助 Akamai Guardicore Segmentation，我们不仅能够在短短六周内实现对 45 个应用程序的不间断保护，而且还获得了比传统防火墙提供商更灵活、更具成本效益、更安全的解决方案。”最终，Honey Baked Ham 能够将实施时间缩短至十五分之一不到，而且避免了系统停机、基础架构更改或业务中断。