O departamento de TI de um tribunal migrou seu sistema de
consulta processual para um provedor de nuvem pública,
adotando o modelo PaaS (Platform as a Service) por meio de um
serviço de Web App gerenciado. Seis meses após a migração, o
sistema sofreu uma invasão que resultou na exfiltração de dados.
A perícia forense digital concluiu que:
• o código-fonte da aplicação desenvolvido pelo tribunal seguia
as práticas seguras da OWASP;
• as credenciais e o gerenciamento de identidade (IAM) estavam
configurados corretamente pelo Tribunal; e
• a invasão ocorreu estritamente devido à exploração de uma
vulnerabilidade conhecida (CVE) e não corrigida no kernel do
sistema operacional do servidor que hospedava o ambiente de
execução (runtime).
Considerando o Modelo de Responsabilidade Compartilhada
aplicável a serviços PaaS, é correto afirmar que a
responsabilidade pela falha de segurança que permitiu o
incidente é:

Question

O departamento de TI de um tribunal migrou seu sistema de
consulta processual para um provedor de nuvem pública,
adotando o modelo PaaS (Platform as a Service) por meio de um
serviço de Web App gerenciado. Seis meses após a migração, o
sistema sofreu uma invasão que resultou na exfiltração de dados.
A perícia forense digital concluiu que:
• o código-fonte da aplicação desenvolvido pelo tribunal seguia
as práticas seguras da OWASP;
• as credenciais e o gerenciamento de identidade (IAM) estavam
configurados corretamente pelo Tribunal; e
• a invasão ocorreu estritamente devido à exploração de uma
vulnerabilidade conhecida (CVE) e não corrigida no kernel do
sistema operacional do servidor que hospedava o ambiente de
execução (runtime).
Considerando o Modelo de Responsabilidade Compartilhada
aplicável a serviços PaaS, é correto afirmar que a
responsabilidade pela falha de segurança que permitiu o
incidente é:  Alternativa A: do tribunal, pois a segurança dos dados e da aplicação é de
responsabilidade do cliente e, ao escolher um ambiente
compartilhado, o cliente assume o risco residual das
vulnerabilidades do sistema operacional subjacente; Ou Alternativa B: do provedor de nuvem, pois no modelo PaaS a gestão do
sistema operacional, incluindo a aplicação de patches de
segurança e a manutenção do ambiente de execução
(runtime), é de responsabilidade exclusiva do fornecedor da
plataforma;  Ou Alternativa C: compartilhada, pois, embora o provedor gerencie o
hardware, o tribunal tem a obrigação de instalar agentes de
segurança baseados em host (HIDS) para monitorar a
integridade do sistema operacional, mesmo em ambientes
gerenciados; Ou Alternativa D: do tribunal, visto que a aplicação de correções no sistema
operacional convidado (Guest OS) é uma responsabilidade do
cliente em todos os modelos de serviço (IaaS, PaaS e SaaS),
exceto quando contratado um serviço de suporte premium
dedicado; Ou Alternativa E: do provedor de nuvem, apenas se o contrato de nível de
serviço (SLA) especificar explicitamente a versão do kernel a
ser utilizada; caso contrário, a responsabilidade recai sobre o
tribunal por não ter auditado a infraestrutura subjacente
antes do deploy.

Luana Maia · Accepted Answer

Alternativa [B] do provedor de nuvem, pois no modelo PaaS a gestão do
sistema operacional, incluindo a aplicação de patches de
segurança e a manutenção do ambiente de execução
(runtime), é de responsabilidade exclusiva do fornecedor da
plataforma;  No PaaS, são de responsabilidade do usuário apenas os dados e as aplicações. Servidores, armazenamento, rede, virtualização, runtime, middleware e sistema operacional são de responsabilidade do provedor de serviços.

🚀 Quer mais performance?

🚀 Quer mais performance?

O departamento de TI de um tribunal migrou seu sistema de c...

Comentários

Clique para visualizar este comentário

Questões de assuntos semelhantes

Provas relacionadas