数据仓库？

Question

最近有一个客户端实现了AWS，并有一个EC2实例正在运行。

我们发出了一个范围界定的调用，然后他们向我提供了一个图表，我对其进行了修改，以避免任何问题：

目的是确保没有数据泄漏。

该实例将仅供公司员工使用，并用于存储订单或产品规范，但不属于PCI遵从性要求，这是他们拥有的测试环境。

我可以找到的信息是，在DWH测试方面有三个方面:单元测试、集成测试和系统测试。

我还发现这里中有一节提到了在测试操作环境下的测试，但它似乎是在讨论一个特定的文档，它概述了不允许的操作并为每个操作设计测试，这是我应该针对的测试吗？

还是应该检查该项是否保护数据并按预期维护功能？在这种情况下，我会测试ETL程序，数据库和前端？

最后但同样重要的是，在AWS环境中测试DWH是否与其他环境相同？

Answer 1

您正在查看的方法不是为渗透测试设计的。

来自相同的网址在那个网站：

The aim of system test is to test all of the following areas.

Scheduling software
Day-to-day operational procedures
Backup recovery strategy
Management and scheduling tools
Overnight processing
Query performance

...and..

There are a number of aspects that need to be tested. These aspects are listed below.

Security - A separate security document is required for security testing. This document contains a list of disallowed operations and devising tests for each.

也就是说，当对数据仓库执行渗透测试时，通常是唯一的领域属于非标准数据库和非标准协议的使用。这些数据库通常(但并非总是)是NoSQL数据库，如Hadoop、Apache、Cassandra、MongoDB、Green Plum --其中许多数据库都有自己独特的漏洞，或者使用非常独特的协议或消息传递系统，这些协议或消息系统必须单独测试。同样，其中一些协议，如Hadoop，由于某些协议的工作方式(部署可能不同)，倾向于将数据库管理权限扩展到附加系统。测试和保护这些系统是一个很大的问题，超出了这类答案的范围，但希望这能帮助您完成测试过程。

顺便提一句:渗透测试AWS服务，特别是没有服务器的组件，比如Lambda，可能是非常独特的，所以您也必须完成所有这些工作。同样，这超出了你问题的范围，但我想我应该提一下，因为它与你提出的问题中的细节直接相关。