O departamento de TI de um tribunal migrou seu sistema de co...

Próximas questões
Com base no mesmo assunto
Q3874742 Sistemas Operacionais
O departamento de TI de um tribunal migrou seu sistema de consulta processual para um provedor de nuvem pública, adotando o modelo PaaS (Platform as a Service) por meio de um serviço de Web App gerenciado. Seis meses após a migração, o sistema sofreu uma invasão que resultou na exfiltração de dados.
A perícia forense digital concluiu que:

• o código-fonte da aplicação desenvolvido pelo tribunal seguia as práticas seguras da OWASP;
• as credenciais e o gerenciamento de identidade (IAM) estavam configurados corretamente pelo Tribunal; e
• a invasão ocorreu estritamente devido à exploração de uma vulnerabilidade conhecida (CVE) e não corrigida no kernel do sistema operacional do servidor que hospedava o ambiente de execução (runtime).

Considerando o Modelo de Responsabilidade Compartilhada aplicável a serviços PaaS, é correto afirmar que a responsabilidade pela falha de segurança que permitiu o incidente é: 
Alternativas

Comentários

Veja os comentários dos nossos alunos

A) do tribunal, pois a segurança dos dados e da aplicação é de responsabilidade do cliente...

Incorreta. No modelo PaaS, o cliente é responsável pela aplicação e dados, mas não pelo sistema operacional subjacente. A vulnerabilidade ocorreu no kernel, que não é gerenciado pelo cliente nesse modelo.

B) do provedor de nuvem, pois no modelo PaaS a gestão do sistema operacional...

Correta. No PaaS, o provedor é responsável pela infraestrutura, sistema operacional, runtime e aplicação de patches. Como a falha ocorreu no kernel não corrigido, a responsabilidade é do provedor.

C) compartilhada, pois... instalar agentes de segurança...

Incorreta. Em PaaS, o cliente geralmente não tem controle sobre o sistema operacional para instalar agentes como HIDS. Essa responsabilidade não se aplica nesse nível de serviço.

D) do tribunal, visto que a aplicação de correções no sistema operacional convidado...

Incorreta. A responsabilidade pelo sistema operacional é do cliente apenas no modelo IaaS. Em PaaS e SaaS, essa responsabilidade é do provedor.

E) do provedor de nuvem, apenas se o SLA especificar...

Incorreta. A responsabilidade do provedor em PaaS independe de especificação detalhada de kernel em SLA. A gestão do sistema operacional é inerente ao modelo.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo