IT审计师应当了解的云计算
各种规模的组织都可以从云计算中受益,因为它提供了一个高度可扩展的解决方案,可以降低成本,最大限度地提高性能,使企业能够专注于其核心竞争力。这篇博文将涵盖云计算的要点,包括云计算的好处,部署和服务模式的简要概述,以及内部审计部门在云计算计划中的作用。
云计算的要点
云计算是通过互联网按需提供IT资源,包括服务器、数据库、存储、软件、分析和智能。与投资于内部软件和基础设施不同,企业可以灵活地只为他们使用的云计算服务付费,从而降低成本。此外,在云上运营为客户提供了获得最新技术的途径,并有能力随着组织需求的增长而扩展。有三种不同的方式来部署云服务:在公共云、私有云或混合云上。
公共云。与出租汽车服务很相似,公共云由第三方云服务提供商拥有和运营,包括所有硬件、软件和其他支持性基础设施。这意味着,服务是通过互联网访问和管理的,硬件、存储和网络设备是与其他组织共享的。选择使用公共云的优势包括:成本较低,因为你只需为你使用的服务付费,无需维护,能够随着需求的增加而轻松扩展,而且可靠性高。
私有云。类似于不与他人共享的个人汽车,在私有云中,所有的服务和基础设施都在一个私有网络上维护,并由一个企业或组织专门使用。私有云可搭建在本地或由第三方服务供应商提供。私有云的明显优势包括更大的灵活性,因为企业可以定制云环境以更好地满足他们的需求,更高水平的控制和隐私,并且通常能够更容易地扩展,特别是与内部基础设施相比。
混合云。第三种选择,包括了私有云和公共云,类似于一个拼车服务的公司,你可以根据你的需要选择预订私人或共乘的行程。通常情况下,最敏感的数据驻留在私有云上,而公共云允许组织根据需要进行扩展。企业可能会选择混合云模式,因为它提供了更大的灵活性和对部署选项、安全性和合规性的控制,因为你可以根据需要在公共云和私有云环境之间切换。
在云环境中的运营也会因所选择的服务模式而有所不同。在传统的IT环境中,你要负责从购买设备到管理基础设施、开发和维护的一切。通过云计算,有三种不同的服务模式,每种模式都有不同程度的客户责任。基础设施即服务(IaaS),平台即服务(PaaS),以及软件即服务(SaaS)。
基础设施即服务(IaaS)。客户从云供应商(如Rackspace Technology)那里租用IT基础设施。这包括服务器、虚拟机(VM)、存储、网络和操作系统。然而,客户仍然要负责管理应用程序、数据、运行环境和中间件。这就要求客户仍然保持他们自己的大部分技术人员,如开发人员、数据库管理员等。用披萨行业来比喻,这就相当于从商店里买一个预制披萨。供应商负责采购所有的原料和制作比萨饼,然而,你要负责购买和维护任何在家里烘烤和提供比萨饼所需的设备。
平台即服务(PaaS)。客户只负责管理数据和应用程序,所有其他服务由供应商(如亚马逊网络服务)管理。这种服务模式通常用于开发、测试、交付和管理软件应用程序,因为它有利于应用程序的部署,同时减少购买和管理底层基础设施的成本。在披萨行业,这相当于通过外卖获得披萨--供应商负责做所有的工作,除了提供你吃披萨所需的桌子和餐具的地方。
软件即服务(SaaS)。在这种模式下,云供应商负责通过互联网提供软件应用的所有方面(如Office 365)。这消除了客户维护和支持应用程序的需要,因为责任完全转移给了云供应商,客户基本上成为访问界面的终端用户。在我们的比萨饼比喻中,这相当于在一家堂食餐厅吃比萨饼,采购原料、烹饪和提供比萨饼的所有责任都转给了餐厅。
云计算项目与内部审计
鉴于对云计算的依赖程度越来越高,内部审计应采取积极主动的方法来处理云计算计划,并将该部门定位为一个可信赖的顾问。这包括尽早参与采购过程,以验证业务用例,确保审计权条款被纳入合同,并提供客观的见解。内部审计还可以帮助发现和降低风险,并就法规对云上数据安全的影响提供指导。还可以提供其他保证服务,如数据迁移审计、系统实施审计、控制测试和审查服务组织控制(SOC)报告。
为了帮助在云环境中进行审计,利用现有的工具,如云安全联盟控制矩阵、一致性评估问卷(CAIQ)或合规软件解决方案,以帮助说明减轻风险所需的控制。通过这样做,你的组织可以主动而非被动地关注控制环境。
要成为IT审计师 该 内 容由 中 审 网校所属 www. auditc n.com,可以选择考取ISACA协会推出的CISA考试,目前国内CISA报名 该 内 容由 中 审 网校所属 www. auditc n.com需选择ISACA合作报名 该 内 容由 中 审 网校所属 www. auditc n.com机构——中审网校