Чем дальше в лес, тем толще CloudFormation!

https://www.youtube.com/watch?v=8Zo_om-liTg

#CloudFormation #video

Новые максимумы CloudFormation:

100 → 200 mappings
64 → 200 mapping attributes
60 → 200 outputs🔥
60 → 200 parameters🔥🔥🔥
200 → 500 resources🔥
460,800bytes → 1Mb size of template

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html

Это заняло долго, почти десять лет. Максимальные 60 параметров всегда было больно, 200 — это серьёзное улучшение.

Однако, соглашусь с гуру CloudFormation, что, скорей, это из-за CDK, использующего его под капотом, а не попытка оживить CloudFormation.

#CloudFormation

https://pages.awscloud.com/EMEA_FIELD_WEBINAR_DevdayMAD_20201015_7010z000001LtjX_On-Demand-Confirmation.html?sc_channel=em&sc_campaign=emea20_devdayonlineq4&sc_medium=em_309568&sc_content=REG_event_ev_field&sc_geo=emea&sc_country=mult&sc_outcome=reg&sc_publisher=aws&trkCampaign=emea20_devdayonlineq4&trk=em_thankyousurvey_loc-309568_emea20_devdayonlineq4 , запись с последнего devday

Один ALB балансер для всех ингрессов:

https://aws.amazon.com/blogs/containers/introducing-aws-load-balancer-controller/

Раньше на каждый ингресс создавался отдельный ALB, теперь же можно использовать один (общий для разных/нескольких ингрессов), как для ELB (Classic балансера).

#ALB #EKS

​​Шаринг CloudWatch дашбордов:

https://aws.amazon.com/blogs/mt/communicate-monitoring-information-by-sharing-amazon-cloudwatch-dashboards/

Крутая фича, появившаяся в 2020-м году. Очень стоит как минимум попробовать. Для кого-то возможность так легко шарить графики (и логи тоже, кстати) может стать весомым аргументом в пользу использования CloudWatch как основного средства логирования/мониторинга/алертинга.

#CloudWatch

​​AWS Community Day Amsterdam Online:

https://awscommunityday.nl

Отличные доклады, солидные спикеры, присоединяйтесь!

27 октября в 14:40 по Минску/Москве (13:40 по Киеву).

🔸🔷🔴CloudSecDocs - very cool website about AWS, GCP, Azure and Container Security

For this moment:
- Access Management
- Infrastructure Security
- Logging & Monitoring
- Compute
- Storage
- Dev
- Offensive / Pentest
- Devops

cloudsecdocs.com

#aws #azure #gcp

SAML аутентификация для Кибаны:

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/saml.html

#ES

​​Сравнение возможностей хранения файлов для Лямбды:

https://aws.amazon.com/blogs/compute/choosing-between-aws-lambda-data-storage-options-in-web-apps/

#Lambda

​​AWS Confidential Computing

Амазон выкатил новую фичу AWS Nitro Enclaves:

https://aws.amazon.com/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/

Что такое Confidential Computing?

Достаточно популярны и известны подходы к защите данных путём их шифрования at-rest и in-transit. Однако есть ещё третья часть, самая сложная и проблемная — in-use. Ведь при выполнении приложения сохранённые и присланные данные должны быть расшифрованы и тут их враги всегда имеют возможность подменить или утащить.

Исторический экскурс

Решить этот вопрос программно невозможно по определению. Для решения такой задачи в 2015-м году (Core 6-го поколения) у Intel появились расширения Intel SGX:

https://habr.com/ru/company/intel/blog/385171/

На базе этого решения два года назад в Ажуре появилась первая реализация Azure Confidential Computing:

https://software.intel.com/content/www/us/en/develop/blogs/microsoft-azure-confidential-computing-with-intel-sgx.html

Виртуалки на базе Ubuntu 14 с драйвером Intel SGX под Java тогда не шибко радовали простотой/стабильностью эксплуатации, но таки работали. В частности на них работал популярный опенсорсный защищённый мессенжер Signal, который переехал на эту технологию для защиты данных пользователей, гарантирующей, что никто никогда физически не получит информации о ваших контактах (что реально круто).

https://signal.org/blog/private-contact-discovery/

Спустя год после Intel (в 2016-м) у AMD появилась своя реализация AMD SEV, которая в отличие от Intel SGX была ориентирована на виртуалки:

https://habr.com/ru/company/eset/blog/308968/

Шли годы, смеркалось. У AWS по-прежнему не было своего варианта для особо озабоченных безопасностью пользователей. Даже у GCP уже в бете стали доступны Confidential VMs на последних AMD Epyc с реализацией AMD SEV:

https://habr.com/ru/company/southbridge/blog/518564/

И вот, наконец, наши — AWS Nitro Enclaves!

Название «AWS Confidential Computing» придумано мною — просто для аналогии с другими.

Совершенно изолированный Docker

Борьба с уязвимостями Docker бесконечна. Но с помощью Nitro Enclaves (сокращённо NE) она может быть решена! Поднимаем виртуалку с поддержкой NE, в ней с помощью nitro-cli конвертируем наш докер-образ в eif-формат и запускаем абсолютно изолированный докер! Что не совсем корректно, т.к. всё же это отдельная виртуалка, но по сути именно так.

На текущий момент можно запустить лишь один анклав (или как правильно это называть?) на виртуалку, но в будущем обещают больше.

Как это работает?

Deep Dive в технологию ждём на реинвенте. Кстати, напоминаю, что он в этом году бесплатный онлайн - регистрируйтесь!

https://register.virtual.awsevents.com/

...продолжение следует.

#Nitro

Serverless - одна из технологий, которая кардинально изменила методы создания и архитектуры современных приложений. AWS Lambda - сервис реализующий эту концепцию был запущен в начале 2015 года и с тех пор получил огромное количество обновлений.

Недавно был представлен Extensions for AWS Lambda - совершенно новый подход по интеграции Lambda с привычными вам инструментами мониторинга, наблюдения, безопасности и управления.

Несколько дней назад мы опубликовали статью на русском языке об этом подходе: https://aws.amazon.com/ru/blogs/rus/building-extensions-for-aws-lambda-in-preview/

ALB + HTTP/2 + gRPC:

https://aws.amazon.com/blogs/aws/new-application-load-balancer-support-for-end-to-end-http-2-and-grpc/

#ALB

#машины_aws

Кто не смог присутствовать лично, могут посмотреть мое выступление в записи.

Здраствуите! If you wanna hear about AWS CDK from a bald guy in a forest, well you are in for a treat 😂: https://youtu.be/7hKHNfubYMA

​​AWS Confidential Computing - продолжение

Итак, кто пропустил первую часть, коротко:

▪️ Azure Confidential Computing реализовано на базе расширений процессора Intel SGX
▪️ Google Confidential Computing под капотом шифрует память виртуалок на AMD EPYC с помощью расширений AMD SEV
▪️ Амазон реализовал свою версию AWS Confidential Computing без привязки к процессору с помощью волшебства Annapurna Labs и возможностей его проекта Nitro.

AWS Nitro Enclaves (NE) — первый взгляд

https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html

Главные характеристики NE:

• во-первых, это виртуалка
• запускается как гостевая из вашего EC2-инстанса
• у неё нет никаккого persistent storage
• в неё нельзя залогиниться
• у неё нет айпишника, потому к ней никак не получится подключиться из сети
• всё, что у неё есть для общения с родительской виртуалкой (ваш EC2 инстанс) — это virtual socket (см. картинку)

Образ для NE конвертируется из докерного и запускается специальной утилитой. В результате поднимается ещё одна виртуалка "сбоку", но в рамках параметров вашей EC2 по процессору/памяти. Условно можно считать, что NE-виртуалка поднимается в другом AWS аккаунте, потому никакой возможности достучаться туда или изменить у вас нет по определению, что как раз и позволяет использовать данный подход для Confidential Computing.

Вместе с NE был анонсирован и ACM for Nitro Enclaves (ACM-NE):

https://aws.amazon.com/about-aws/whats-new/2020/10/announcing-aws-certificate-manager-for-nitro-enclaves/

То, что теперь можно поднять виртуалку, к которой у вас нет доступа, решает застарелую проблему реализации End-to-End шифрования на AWS. Раньше для этого приходилось покупать сертификаты или использовать дорогущий CloudHSM за $2000 в месяц. Теперь же, благодаря тому, что контекст NE недоступен, но при этом он таки ваш, Амазон может выдать вашему приложению свой приватный ключ!

На текущий момент это справедливо лишь для Linux и Nginx версии 1.18+.

Для того, чтобы получить заветный амазоновский ключ нужно выполнить команду associate-enclave-certificate-iam-role, которая на выходе даст бакет и путь к файлу, где деньги лежат. Скачать его получится, однако приватный ключ внутри файла зашифрован и расшифровать его сможет лишь процесс, запущенный в NE.

...продолжение следует.

#ACM #NE

Через два года добавится ещё один AWS Region — Швейцария, Цюрих!

https://aws.amazon.com/blogs/aws/in-the-works-new-aws-region-in-zurich-switzerland/

Регион планируется к сдаче во второй половине 2022-го года.

#AWS_Regions

Самоучитель по AWS от Stelligent:

https://stelligent.com/2020/10/27/open-sourcing-our-devops-training-platform-stelligent-u/

Стоящие внимания лабы от одной из крупнейших контор, специализирующихся на AWS Devops. Данный материал в том числе используется для обучения их инженеров.

Прямая ссылка на GitHub:

https://github.com/stelligent/stelligent-u

Однозначно в закладки

#learning #devops

🔸AWS Secure Environment Accelerator

The AWS Secure Environment Accelerator is a tool designed to help deploy and operate secure multi-account AWS environments on an ongoing basis. The configuration file enables the completely automated deployment of customizable architectures within AWS without changing a single line of code.

https://github.com/aws-samples/aws-secure-environment-accelerator

#aws

RabbitMQ теперь и на AWS:

https://aws.amazon.com/blogs/aws/amazon-mq-update-new-rabbitmq-message-broker-service/

#MQ