avaliacao - Segurança em cloud computing

Prévia do material em texto

1)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a
100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando
o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova!
O processo básico de gerenciamento de incidentes consiste em nove passos que são fundamentais para a correta transição durante o ciclo de vida do
incidente. Considere as seguintes afirmações e classifique-as em verdadeiras (V) ou falsas (F):
( ) Inicia-se o trabalho assim que um incidente é identificado pelo passo 1, denominado “Identificação”. Na sequência, vem o passo 2, denominado “Registro”,
em que os incidentes devem ser registrados em algum sistema de informação e deverão ficar armazenados. Na continuidade, temos o passo 3, denominado
“Priorização”, sendo imprescindível que se registrem todos os tipos de chamadas, esta classificação será utilizada no processo de gerenciamento de
problemas na identificação de quais são os tipos de incidentes mais recorrentes.
( ) Após o passo 3, temos o passo 4, denominado “Classificação”, que consiste em inserir um código de priorização determinado pelo impacto e urgência do
incidente, auxilia a equipe de TI a priorizar a resolução de incidentes.
( ) Após o passo 4, tem-se o passo 5. “Diagnóstico”, inicialmente, é executado pela central de serviços, que tenta descobrir possíveis sintomas e o que não
está funcionando corretamente. Caso a central não descubra, deve escalar para um próximo nível.
( ) Após o passo 5, temos o passo 6, denominado “Investigação e diagnóstico”, em que, caso o incidente não seja resolvido pela central de serviços, ele deve
ser escalado para outro nível de suporte, com maior conhecimento técnico, para que seja resolvido dentro do tempo hábil. Prosseguindo, temos o passo 7,
denominado “Escalação”, que determina a natureza da requisição, cada grupo de suporte por onde o incidente for escalado deverá investigar o que
aconteceu de errado e fazer um diagnóstico.
( ) Após o passo 7, temos o passo 8, denominado “Resolução e recuperação”, assim que for encontrada uma solução, ela deve ser aplicada e testada. Dando
seguimento, temos o passo 9, denominado “Fechamento”, a central de serviços deverá categorizar o motivo, documentar e fazer o fechamento formal do
incidente junto ao usuário. Caso esteja implantada uma pesquisa de satisfação, a central deverá solicitar ao usuário seu preenchimento.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
F – F – V – F – V. check CORRETO
V – V – F – F – F.
V – V – F – V – F.
F – F – F – V – F.
V – V – V – V – F.
Resolução comentada:
2)
3)
a sequência dos passos são: passo 1 – “Identificação”; passo 2 – “Registro”; passo 3 – “Classificação”; passo 4 – “Priorização”; passo 5 – “Diagnóstico”; passo 6
– “Escalação”; passo 7 – “Investigação e diagnóstico”; passo 8 – “Resolução e recuperação”; passo 9 – “Fechamento”.
Código da questão: 59703
O processo de autenticação, que faz parte do controle de acesso, consiste em:
Alternativas:
Realizar a verificação pela entidade autenticadora das permissões de acesso a um recurso.
Criar uma identidade que está ligada com o fornecimento da infraestrutura de tecnologia.
Um conjunto de processos para gerenciar todo o ciclo de vida dos acessos dos usuários, internos ou externos, dentro de uma organização.
Realizar a representação digital de uma entidade, que pode ser uma pessoa, um processo ou um hardware.
Verificar a existência de uma identidade. check CORRETO
é a realização do processo de verificar a existência de uma identidade. Para que este processo se inicie, é necessário que o usuário forneça uma credencial
válida para o método de autenticação utilizado pela entidade autenticadora. De posse da credencial válida, a entidade verifica se existe uma identidade cuja
credencial seja a fornecida pelo usuário. Se sim, o usuário é autenticado.
Código da questão: 59728
Uma identidade digital constitui um requisito funcional essencial para ter acesso a qualquer sistema ou aplicativo em nuvem. Afirma-se que toda
identidade digital possui um ciclo de vida, que é composto por fases.
Assinale a alternativa que indica essas fases:
Alternativas:
Princípio, consulta, atualização e revogação.
Resolução comentada:
4)
Criação, utilização, consulta e exclusão.
Iniciação, utilização, consulta e exclusão.
Iniciação, credenciamento, atualização e revogação.
Criação, utilização, atualização e revogação. check CORRETO
criação de uma identidade está ligada com o fornecimento da infraestrutura de tecnologia. Após a criação, tem-se a utilização da identidade, em que ela está
disponível para ser usada. Após a identidade ser utilizada, tem-se a fase de atualização, que compreende a alteração de valores de atributos já existentes ou
a inclusão de novos atributos. E a última fase é a revogação, em que identidades e credenciais devem ser extinguidas se ficarem desatualizadas ou inválidas.
Código da questão: 59727
Um gerenciamento de risco eficaz aborda questões relacionadas a valor econômico, melhoria de processos, conformidade, segurança da informação e
privacidade, incluindo:
Alternativas:
Novos riscos de segurança operacional criados pela mudança para a nuvem; custos relacionados à falha em abordar a conformidade com a nuvem; riscos
relacionados ao crescimento do mercado de nuvem; medidas de mitigação de riscos. check CORRETO
Prevenção de roubos de informações; backup e restauração de dados importantes e críticos para a empresa; adaptações na infraestrutura de TI e na
estrutura organizacional para acomodar os demais processos de gestão de riscos em TI.
Adaptações na infraestrutura de TI e na estrutura organizacional para acomodar os demais processos de gestão de riscos em TI. Planejamento de
respostas, implementação das respostas.
Planejamento, identificação, análise, planejamento de respostas, implementação das respostas.
Análise, planejamento de respostas, implementação das respostas, prevenção de roubos de informações; backup e restauração de dados importantes e
críticos para a empresa.
Resolução comentada:
Resolução comentada:
5)
um gerenciamento de riscos, quando aplicado a operações em nuvem, desempenha um papel vital em todos os processos de uma organização e é essencial
para sua estratégia geral de melhoria dos negócios. Os itens apontados são importantes tanto para melhoria dos negócios como para a cultura
organizacional e disponibilidade dos serviços aos clientes.
Código da questão: 59699
Com relação aos ativos que devem ser gerenciados e analisados seu risco, tem relação com as vulnerabilidades existentes na infraestrutura ou nos serviços
executados na nuvem, e, consequentemente, para a continuidade dos negócios.]
Leia e relacione as três colunas:
Assinale a alternativa que traz a associação correta entre as três colunas:
Alternativas:
I – C; II – B; III – A.
I – A; II – B; III – C.
I – C; II – A; III – B. check CORRETO
I – B; II – C; III – A.
I – B; II – A; III – C.
6)
risco de integridade: é a segregação dos dados de uma organização na nuvem, pois é importante assegurar a divisão de um ambiente com dados de um
cliente com o de outros clientes.
Risco de confidencialidade: é o acesso de terceiros às informações sensíveis de uma organização cria um risco de comprometimento das informações
confidenciais.
Risco de indisponibilidade: a interrupção temporária dos serviços em decorrência de problemas técnicos ou de ordem diversa de parte do provedor podem
causar riscos operacionais e de negócio devido à indisponibilidade do serviço da nuvem e causar impacto negativo nos negócios.
Código da questão: 59697
Sobre o Gerenciamento de Identidade e Acesso – GIA, podemos afirmar que:
I. O SSO Federado traz algumas vantagens para as organizações, como: redução de custos com central de ajuda, melhora de adaptação e acesso de usuários,
segurançadigital e controle, aumento da eficiência e melhoria da produtividade.
II. Para que a federação de identidade aconteça de maneira interoperável, é necessário ter um padrão que permita a troca de dados de autenticação e
autorização entre domínios de segurança.
III. A virtualização consiste em uma tecnologia que simula a funcionalidade de hardware para criar serviços de TI baseados em software, e é uma tecnologia
que está contida no GIA.
IV. O SAML (Security Assertion Markup Language) consiste em um padrão aberto baseado em XML para a troca de informações de autenticação e
autorização em domínios.
V. Hypervisor é o elemento crucial na técnica de máquinas virtuais em que ele necessita ter técnicas associadas que possam garantir a sua segurança, como o
GIA.
São verdadeiras:
Alternativas:
II apenas.
III – IV – V.
III – V.
I – II – IV. check CORRETO
I – II – III.
Resolução comentada:
7)
a virtualização realmente consiste em uma tecnologia que simula a funcionalidade de hardware para criar serviços de TI baseados em software.
Hypervisor é o elemento crucial na técnica de máquinas virtuais em que ele necessita ter técnicas associadas que possam garantir a sua segurança.
Código da questão: 59726
Considerando a afirmação da RFC 4.949:2007 (que é o Glossário de Segurança da Internet, em sua 2ª versão, desenvolvido pelo IETF – Internet Engineering
Task Force), sobre privacidade de dados, podemos afirmar que:
I. A privacidade pode ser vista como um aspecto da confidencialidade.
II. A privacidade é composta por três elementos, que são: sigilo (ou segredo), o anonimato e o isolamento (direito de ficar sozinho).
III. A busca criptográfica é uma técnica que fornece aplicabilidade de busca em dados encriptados sem solicitar a chave de encriptação usada exclusivamente
para garantir a privacidade.
IV. O sigilo é um problema fortemente ligado à confidencialidade, o anonimato está relacionado à proteção da identidade do sujeito e o isolamento é o
direito de ficar indisponível para outros indivíduos.
V. A autenticação do usuário não proporciona garantia de confidencialidade dos dados na nuvem e a autenticação do usuário está ligado diretamente à
privacidade dos dados.
São verdadeiras:
Alternativas:
II – III – V.
III – V. check INCORRETO
II apenas.
I – II – III.
I – II – IV. CORRETO
a privacidade pode ser vista como um aspecto da confidencialidade.
A privacidade é composta por três elementos, que são: sigilo (ou segredo), o anonimato e o isolamento (direito de ficar sozinho).
Resolução comentada:
Resolução comentada:
8)
9)
O sigilo é um problema fortemente ligado à confidencialidade, o anonimato está relacionado à proteção da identidade do sujeito e o isolamento é o direito
de ficar indisponível para outros indivíduos.
Código da questão: 59733
Assinale a alternativa correta sobre a tecnologia de computação confidencial, citada no documento da Gartner denominado “Gartner Hype Cycle for Cloud
Security, 2020”:
Alternativas:
É uma tecnologia que simula a funcionalidade de hardware para criar serviços de TI baseados em software.
É uma simulação de um hardware e/ou software que roda sobre outro software.
É um mecanismo no qual os dados criptografados podem ser processados na memória para limitar o acesso e garantir a proteção dos dados em uso.
check CORRETO
É um elemento da camada de software localizada entre a camada de hardware e o sistema operacional.
É um requisito funcional indispensável para ter acesso a qualquer sistema ou aplicativo em nuvem.
consiste em um mecanismo no qual os dados criptografados podem ser processados na memória para limitar o acesso e garantir a proteção dos dados em
uso.
Código da questão: 59714
Objetivando garantir a privacidade dos dados em nuvem, outras técnicas podem ser utilizadas em conjunto para proporcionar maior preservação da
privacidade de dados armazenados ou processados na nuvem. Indica-se, para isto, uma classificação em três categorias, sendo: (a) busca criptográfica, (b)
private information retrieval – PIR e (c) secure multiparty computation – SMC.
Leia e associe as duas colunas:
Resolução comentada:
Assinale uma alternativa que traz a associação correta entre as duas colunas:
Alternativas:
I– A; II – C; III – B.
I – C; II – A; III – B. check CORRETO
I – C; II – B; III – A.
I – B; II – A; III – C.
I – A; II – B; III – C.
técnica que fornece aplicabilidade de busca em dados encriptados sem solicitar a chave de encriptação: busca criptográfica.
Técnica de busca em bancos de dados públicos não criptografados para preservar à violação na privacidade de acesso dos usuários: private information
retrieval (PIR).
Técnica de processamento distribuído de dados, com garantia de privacidade. Esta técnica avalia uma função com vários pares para que cada um deles
aprenda o valor de saída, mas não as entradas uns dos outros: secure multiparty computation (SMC).
Código da questão: 59732
Resolução comentada:
10) A arquitetura em nuvem chamada multi-inquilinos consiste em que vários inquilinos compartilhem múltiplos recursos físicos, porém separados
logicamente. Este tipo de arquitetura é subdividido em quatro tipos, que são:
Alternativas:
Multi-inquilino de software; inquilino isolado; inquilino compartilhado; multi-inquilino.
Multi-inquilino de hardware; inquilino isolado; inquilino multigrupos; inquilino compartilhado.
Multi-inquilino; inquilino multigrupos; multi-inquilino de software; multi-inquilino de hardware.
Multi-inquilino; inquilino isolado; inquilino em grupos; multi-inquilino de software.
Inquilino isolado; multi-inquilino via hardware compartilhado; multi-inquilino via contêiner; multi-inquilino via stack de software compartilhado. check
CORRETO
Consistem em:
1. Inquilino isolado: que tem seu próprio stack de tecnologia, não havendo compartilhamento de recursos.
2. O multi-inquilino via hardware compartilhado: neste modelo, cada inquilino tem seu próprio stack de tecnologia, mas o hardware é alocado
dinamicamente a partir de um pool de recursos, via mecanismos de virtualização.
3. O multi-inquilino via contêiner: vários modelos são processados na mesma instância de um contêiner de um servidor de aplicação.
4. O multi-inquilino via todo o stack de software compartilhado: vários modelos são processados na mesma instância de um contêiner com todo o stack de
software sendo compartilhado.
Código da questão: 59706
Resolução comentada: