¿Está haciendo una prueba de un almacén de datos?

1

Un cliente ha implementado AWS recientemente y tiene una instancia EC2 en ejecución.

Hemos realizado una llamada de alcance y, además, me han proporcionado un diagrama que he modificado para evitar cualquier problema:

Elobjetivoesasegurarsedequenohayafugasdedatos.

Lainstanciasoloseráutilizadaporlosempleadosdelaempresayparaalmacenarpedidosoespecificacionesdeproductos,peronocumpleconlosrequisitosdecumplimientodePCIDSS,esunentornodepruebaquetienen.

LainformaciónquepuedoencontraresquehaytresáreasenloquerespectaalaspruebasDWH:Unidad,IntegraciónyPruebasdelsistema.

Tambiénencontré aquí que hay una sección que menciona las pruebas en Prueba del entorno operativo, pero parece que Hablando de un documento específico que describe las operaciones no permitidas y el diseño de pruebas para cada una, ¿es eso contra lo que debería hacer una prueba?

¿O debería verificar que el elemento proteja los datos y mantenga la funcionalidad según lo previsto? En este caso, ¿probaría los procedimientos de ETL, Base de datos y Front-end?

Por último, pero no menos importante, ¿es lo mismo probar un DWH en un entorno de AWS en lugar de otro entorno?

    
pregunta winsmak 26.07.2016 - 19:28
fuente

1 respuesta

1

La metodología que está viendo no está diseñada para pruebas de penetración.

De la misma URL en ese sitio web :

The aim of system test is to test all of the following areas.

Scheduling software
Day-to-day operational procedures
Backup recovery strategy
Management and scheduling tools
Overnight processing
Query performance

... y ..

There are a number of aspects that need to be tested. These aspects are listed below.

Security - A separate security document is required for security testing. This document contains a list of disallowed operations and devising tests for each.

Dicho esto, cuando se realizan pruebas de penetración en un Almacén de datos, las áreas que generalmente son únicas se relacionan con el uso de bases de datos no estándar y protocolos no estándar. Estas son frecuentemente, pero no siempre, bases de datos NoSQL como Hadoop, Apache Spark, Cassandra, MongoDB, Green Plum. Muchas de ellas tienen sus propias vulnerabilidades únicas o utilizan protocolos o sistemas de mensajería muy únicos que se deben probar por separado. Del mismo modo, algunos de estos, como Hadoop, tienden a extender los derechos de administración de la base de datos a los sistemas adjuntos debido a la forma en que funcionan algunos de los protocolos (las implementaciones pueden variar). Probar y asegurar estos sistemas es un gran problema más allá del alcance de este tipo de respuesta, pero espero que esto le ayude con su proceso de prueba.

Como nota adicional: la penetración de pruebas de los servicios de AWS, especialmente los componentes sin servidor como Lambda, puede ser muy singular, por lo que también tendrá que hacer todo ese trabajo. Nuevamente, esto está más allá del alcance de su pregunta, pero pensé que lo mencionaría ya que es directamente relevante a los detalles en la pregunta que hizo.

    
respondido por el Trey Blalock 26.07.2016 - 23:06
fuente

Lea otras preguntas en las etiquetas