セキュリティ監査のコンテキスト内での「負荷テスト」と「ストレステスト」の違いは何ですか?
私はCCSP調査の準備をしており、セキュリティのコンテキスト内で「負荷テスト」と「ストレステスト」の概念に心を包み込もうとしています。
私thinkここでの違いは次のとおりです:
負荷テストは、純粋で単純な容量の尺度です。 「A」(可用性)に焦点を当てており、障害状態のセキュリティへの影響については考慮されていません。
ストレステストは、負荷が飽和状態に達した後のシステムシステムの動作に焦点を当てています。たとえば、ソフトウェア/サービスは壮大な方法で失敗しますか?機密性の高いエラー(ソフトウェアバージョン、バックエンドインフラストラクチャの詳細など)を明らかにしますか?
私はここで正しい軌道に乗っていますか?
いくつかの異なる定義がありますが、私が行っているのは、負荷テストでアプリケーションが期待される最大負荷レベルまでアプリケーションを実行して、確実に機能することです。ストレステストでは、アプリケーションが通常のパラメータを意図的に超えて、予想以上の負荷にどのように耐えられるかを確認します。これは、拷問テストと呼ばれることもあり、アプリケーションがどのように壊れるかを確認します。
セキュリティの観点からは、常にセキュリティの影響に注意する必要があります。アプリケーションがどの程度の負荷にさらされていても、常にセキュリティパラメータに従う必要があります。また、アプリケーションが失敗する場合は、フェールセーフです。