当医疗设备生产商Merit Medical将其培训和办公生产力应用程序转移到云计算时,他们选择了两个供应商:谷歌,因其Apps Premier套件成本低和容易使用而被选中;以及eLeap,为销售代理托管培训应用程序。随后,该公司希望最终用户能够共享信息的同时保持数据的安全性,并且都是通过简单的安全登录。
“这是云计算面临的主要挑战之一,你不想要所有的软件都被储备,”Merit医疗机构的网络系统主管Lincoln Cannon表示。
有些首席信息官会对采用云计算感到犹豫,因为考虑到要让供应商来支持内部安全和合规标准,ISACA国际信息系统审计协会(发布管理标准的IT专业团队)国际副总裁Robert Stroud表示。
今年3月份在对超过1700名国际信息系统审计协会的成员的调查显示,IT部门对于云计算的安全和合规风险抱着复杂的情绪,45%的受访者表示云计算的风险大过于好处。
像很多决定将关键应用程序转移到云计算的公司一样,Merit使用了一种技术和合同组合以确保其云计算供应商能够遵守其内部安全和风险管理政策。并且为了提供想要的功能(例如文件共享或者供应商间的单一登录),他们开始寻找自定义化安全解决方案。
在Merit,Cannon构想了一个计划,其中包括为谷歌和eLeap定制的单一登录技术,该技术来自于专攻于云计算安全的访问控制供应商Symplified。员工登录到Merit的网络一次后,使用一个用户名和密码组合(受Symplified的技术的管理)。然后他们就可以访问谷歌和eLeap应用程序,不再需要进行登录。
虽然谷歌使用了一种基于XML(一种通用标准)的认证协议,eLeap并不支持这种协议,所以Symplified提供了结合这两者的自定义代码。
Cannon表示,员工也可以在两个系统间共享护具,例如,Merit员工可以在谷歌文件中创建关于公司产品线新产品的内容,然后该内容袄eLeap训练测试。
同时,虽然Cannon认为单一登录和其他来自eLeap和谷歌的安全措施能够为Merit的信息提供坚实的保障,他想要通过一种方法来向内部和外部审计员证明公司遵守了安全政策。他决定让Symplified监视哪些人何时访问了Merit的eLeap和谷歌应用程序,并且定期发送日志文件。
这种安全是很明智的,国际信息系统审计协会的Stroud(同时他也是CA技术公司的IT服务管理出宣传人员)表示,“这与你对其他任何外包商进行的责任分配一样。”
另外,单一登录帮助Merit消除了潜在的麻烦,如果该公司决定选择其他云供应商时。Merit可以重定向用户登录到新服务供应商的安全的服务器而不需要更改任何员工密码或者程序,“你可以在不影响用户的情况下,更换云供应商。”