Um usuário sofreu um ataque devido a uma biblioteca customizada desatualizada em sua aplicação. Esse usuário utilizava uma plataforma IaaS no Google Cloud. De quem é a principal responsabilidade sobre a aplicação neste caso?

Alternativa C - Do usuário, pois em uma IaaS ele é responsável pela aplicação.

Contexto da Questão

Esta questão aborda o Modelo de Responsabilidade Compartilhada na computação em nuvem. O ponto central é entender onde termina a responsabilidade do provedor (Google Cloud) e onde começa a responsabilidade do cliente (usuário) especificamente no modelo IaaS (Infrastructure as a Service).

Desenvolvimento

No cenário de nuvem, a segurança é dividida entre o provedor e o cliente. A divisão exata depende do tipo de serviço contratado:

• SaaS (Software as a Service): Provedor gerencia quase tudo; o usuário apenas usa.
• PaaS (Platform as a Service): Provedor gerencia infraestrutura e plataforma; usuário gerencia dados e aplicações.
• IaaS (Infrastructure as a Service): Provedor gerencia hardware/física; usuário gerica tudo acima disso, incluindo Sistema Operacional e Aplicações.

Como a vulnerabilidade citada está em uma biblioteca customizada da aplicação, ela faz parte da camada de software gerenciada pelo cliente.

Análise das Alternativas

• (A) Incorreta: No IaaS, o Google é responsável pela segurança da infraestrutura física (redes, servidores físicos, hipervisor). Ele não gerencia o código ou bibliotecas instaladas dentro da máquina virtual do usuário.
• (B) Incorreta: Embora exista responsabilidade compartilhada globalmente, a responsabilidade sobre a aplicação específica rodando em IaaS é integralmente do usuário, não mista. O provedor não tem acesso nem controle sobre o código do cliente.
• (C) Correta: Em IaaS, o usuário recebe máquinas virtuais sob demanda. Cabe ao usuário instalar, atualizar e manter seguras as aplicações e bibliotecas que rodam nessas máquinas. Uma biblioteca desatualizada é falha de gerenciamento do lado do cliente.
• (D) Incorreta: "Parcialmente" sugere ambiguidade. Na prática, para a camada de aplicação em IaaS, a responsabilidade é total do usuário.
• (E) Incorreta: A responsabilidade sempre recai sobre alguém. Se o usuário falha em atualizar suas bibliotecas, ele é o responsável pelo risco.

Conclusão

Em ambientes IaaS, a segurança da camada de aplicação (incluindo bibliotecas, frameworks e código-fonte) é responsabilidade exclusiva do usuário, enquanto o provedor garante a segurança da infraestrutura subjacente.