AWS Community Day Amsterdam Online:
https://awscommunityday.nl
Отличные доклады, солидные спикеры, присоединяйтесь!
27 октября в 14:40 по Минску/Москве (13:40 по Киеву).
https://awscommunityday.nl
Отличные доклады, солидные спикеры, присоединяйтесь!
27 октября в 14:40 по Минску/Москве (13:40 по Киеву).
Forwarded from CloudSec Wine
🔸🔷🔴CloudSecDocs - very cool website about AWS, GCP, Azure and Container Security
For this moment:
- Access Management
- Infrastructure Security
- Logging & Monitoring
- Compute
- Storage
- Dev
- Offensive / Pentest
- Devops
cloudsecdocs.com
#aws #azure #gcp
For this moment:
- Access Management
- Infrastructure Security
- Logging & Monitoring
- Compute
- Storage
- Dev
- Offensive / Pentest
- Devops
cloudsecdocs.com
#aws #azure #gcp
SAML аутентификация для Кибаны:
https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/saml.html
#ES
https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/saml.html
#ES
Amazon
SAML authentication for Kibana - Amazon Elasticsearch Service
SAML authentication for Kibana lets you use your existing identity provider to offer single sign-on (SSO) for Kibana on Amazon Elasticsearch Service (Amazon ES) domains running Elasticsearch 6.7 or later. To use SAML authentication, you must enable
Сравнение возможностей хранения файлов для Лямбды:
https://aws.amazon.com/blogs/compute/choosing-between-aws-lambda-data-storage-options-in-web-apps/
#Lambda
https://aws.amazon.com/blogs/compute/choosing-between-aws-lambda-data-storage-options-in-web-apps/
#Lambda
AWS Confidential Computing
Амазон выкатил новую фичу AWS Nitro Enclaves:
https://aws.amazon.com/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/
Что такое Confidential Computing?
Достаточно популярны и известны подходы к защите данных путём их шифрования
Исторический экскурс
Решить этот вопрос программно невозможно по определению. Для решения такой задачи в 2015-м году (Core 6-го поколения) у Intel появились расширения Intel SGX:
https://habr.com/ru/company/intel/blog/385171/
На базе этого решения два года назад в Ажуре появилась первая реализация Azure Confidential Computing:
https://software.intel.com/content/www/us/en/develop/blogs/microsoft-azure-confidential-computing-with-intel-sgx.html
Виртуалки на базе Ubuntu 14 с драйвером Intel SGX под Java тогда не шибко радовали простотой/стабильностью эксплуатации, но таки работали. В частности на них работал популярный опенсорсный защищённый мессенжер Signal, который переехал на эту технологию для защиты данных пользователей, гарантирующей, что никто никогда физически не получит информации о ваших контактах (что реально круто).
https://signal.org/blog/private-contact-discovery/
Спустя год после Intel (в 2016-м) у AMD появилась своя реализация AMD SEV, которая в отличие от Intel SGX была ориентирована на виртуалки:
https://habr.com/ru/company/eset/blog/308968/
Шли годы, смеркалось. У AWS по-прежнему не было своего варианта для особо озабоченных безопасностью пользователей. Даже у GCP уже в бете стали доступны Confidential VMs на последних AMD Epyc с реализацией AMD SEV:
https://habr.com/ru/company/southbridge/blog/518564/
И вот, наконец, наши — AWS Nitro Enclaves!
Название «AWS Confidential Computing» придумано мною — просто для аналогии с другими.
Совершенно изолированный Docker
Борьба с уязвимостями Docker бесконечна. Но с помощью Nitro Enclaves (сокращённо NE) она может быть решена! Поднимаем виртуалку с поддержкой NE, в ней с помощью
На текущий момент можно запустить лишь один анклав (или как правильно это называть?) на виртуалку, но в будущем обещают больше.
Как это работает?
Deep Dive в технологию ждём на реинвенте. Кстати, напоминаю, что он в этом году бесплатный онлайн - регистрируйтесь!
https://register.virtual.awsevents.com/
...продолжение следует.
#Nitro
Амазон выкатил новую фичу AWS Nitro Enclaves:
https://aws.amazon.com/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/
Что такое Confidential Computing?
Достаточно популярны и известны подходы к защите данных путём их шифрования
at-rest и in-transit. Однако есть ещё третья часть, самая сложная и проблемная — in-use. Ведь при выполнении приложения сохранённые и присланные данные должны быть расшифрованы и тут их враги всегда имеют возможность подменить или утащить.Исторический экскурс
Решить этот вопрос программно невозможно по определению. Для решения такой задачи в 2015-м году (Core 6-го поколения) у Intel появились расширения Intel SGX:
https://habr.com/ru/company/intel/blog/385171/
На базе этого решения два года назад в Ажуре появилась первая реализация Azure Confidential Computing:
https://software.intel.com/content/www/us/en/develop/blogs/microsoft-azure-confidential-computing-with-intel-sgx.html
Виртуалки на базе Ubuntu 14 с драйвером Intel SGX под Java тогда не шибко радовали простотой/стабильностью эксплуатации, но таки работали. В частности на них работал популярный опенсорсный защищённый мессенжер Signal, который переехал на эту технологию для защиты данных пользователей, гарантирующей, что никто никогда физически не получит информации о ваших контактах (что реально круто).
https://signal.org/blog/private-contact-discovery/
Спустя год после Intel (в 2016-м) у AMD появилась своя реализация AMD SEV, которая в отличие от Intel SGX была ориентирована на виртуалки:
https://habr.com/ru/company/eset/blog/308968/
Шли годы, смеркалось. У AWS по-прежнему не было своего варианта для особо озабоченных безопасностью пользователей. Даже у GCP уже в бете стали доступны Confidential VMs на последних AMD Epyc с реализацией AMD SEV:
https://habr.com/ru/company/southbridge/blog/518564/
И вот, наконец, наши — AWS Nitro Enclaves!
Название «AWS Confidential Computing» придумано мною — просто для аналогии с другими.
Совершенно изолированный Docker
Борьба с уязвимостями Docker бесконечна. Но с помощью Nitro Enclaves (сокращённо NE) она может быть решена! Поднимаем виртуалку с поддержкой NE, в ней с помощью
nitro-cli конвертируем наш докер-образ в eif-формат и запускаем абсолютно изолированный докер! Что не совсем корректно, т.к. всё же это отдельная виртуалка, но по сути именно так.На текущий момент можно запустить лишь один анклав (или как правильно это называть?) на виртуалку, но в будущем обещают больше.
Как это работает?
Deep Dive в технологию ждём на реинвенте. Кстати, напоминаю, что он в этом году бесплатный онлайн - регистрируйтесь!
https://register.virtual.awsevents.com/
...продолжение следует.
#Nitro
Forwarded from Alexander Patrushev
Serverless - одна из технологий, которая кардинально изменила методы создания и архитектуры современных приложений. AWS Lambda - сервис реализующий эту концепцию был запущен в начале 2015 года и с тех пор получил огромное количество обновлений.
Недавно был представлен Extensions for AWS Lambda - совершенно новый подход по интеграции Lambda с привычными вам инструментами мониторинга, наблюдения, безопасности и управления.
Несколько дней назад мы опубликовали статью на русском языке об этом подходе: https://aws.amazon.com/ru/blogs/rus/building-extensions-for-aws-lambda-in-preview/
Недавно был представлен Extensions for AWS Lambda - совершенно новый подход по интеграции Lambda с привычными вам инструментами мониторинга, наблюдения, безопасности и управления.
Несколько дней назад мы опубликовали статью на русском языке об этом подходе: https://aws.amazon.com/ru/blogs/rus/building-extensions-for-aws-lambda-in-preview/
Amazon
Создание расширений для AWS Lambda (предварительный доступ) | Amazon Web Services
AWS Lambda анонсировала программу предварительного ознакомления с Lambda-расширениями (Extensions) – нового подхода по интеграции Lambda с привычными вам инструментами мониторинга, наблюдения, безопасности и управления (governance). Расширения позволяют глубоко…
ALB + HTTP/2 + gRPC:
https://aws.amazon.com/blogs/aws/new-application-load-balancer-support-for-end-to-end-http-2-and-grpc/
#ALB
https://aws.amazon.com/blogs/aws/new-application-load-balancer-support-for-end-to-end-http-2-and-grpc/
#ALB
Amazon
New – Application Load Balancer Support for End-to-End HTTP/2 and gRPC | Amazon Web Services
Thanks to its efficiency and support for numerous programming languages, gRPC is a popular choice for microservice integrations and client-server communications. gRPC is a high performance remote procedure call (RPC) framework using HTTP/2 for transport and…
Forwarded from Человек и машина
YouTube
CloudFormation, SAM, and CDK tips, tricks and gotchas you didn't know existed! - Karen Tovmasyan
CloudFormation, SAM, and CDK tips, tricks and gotchas you didn't even know existed!
Karen Tovmasyan
AWS Community Day Amsterdam Online 2020
Recorded Tuesday, 27 October 2020
https://awscommunityday.nl/
https://twitter.com/awsugnl
https://www.linkedin.com/company/aws…
Karen Tovmasyan
AWS Community Day Amsterdam Online 2020
Recorded Tuesday, 27 October 2020
https://awscommunityday.nl/
https://twitter.com/awsugnl
https://www.linkedin.com/company/aws…
Forwarded from Darko Mesaroš
Здраствуите! If you wanna hear about AWS CDK from a bald guy in a forest, well you are in for a treat 😂: https://youtu.be/7hKHNfubYMA
YouTube
What is AWS CDK (Cloud Development Kit) - Forest edition
Clicking and manually provisioning cloud resources is hard! There must be a better way! Well in fact - there is! We call it Infrastructure as Code.
In this video we will discuss the a framework that enables you to create AWS Resources by utilizing generic…
In this video we will discuss the a framework that enables you to create AWS Resources by utilizing generic…
AWS Confidential Computing - продолжение
Итак, кто пропустил первую часть, коротко:
▪️ Azure Confidential Computing реализовано на базе расширений процессора Intel SGX
▪️ Google Confidential Computing под капотом шифрует память виртуалок на AMD EPYC с помощью расширений AMD SEV
▪️ Амазон реализовал свою версию AWS Confidential Computing без привязки к процессору с помощью волшебства Annapurna Labs и возможностей его проекта Nitro.
AWS Nitro Enclaves (NE) — первый взгляд
https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html
Главные характеристики NE:
• во-первых, это виртуалка
• запускается как гостевая из вашего EC2-инстанса
• у неё нет никаккого
• в неё нельзя залогиниться
• у неё нет айпишника, потому к ней никак не получится подключиться из сети
• всё, что у неё есть для общения с родительской виртуалкой (ваш EC2 инстанс) — это virtual socket (см. картинку)
Образ для NE конвертируется из докерного и запускается специальной утилитой. В результате поднимается ещё одна виртуалка "сбоку", но в рамках параметров вашей EC2 по процессору/памяти. Условно можно считать, что NE-виртуалка поднимается в другом AWS аккаунте, потому никакой возможности достучаться туда или изменить у вас нет по определению, что как раз и позволяет использовать данный подход для Confidential Computing.
Вместе с NE был анонсирован и ACM for Nitro Enclaves (ACM-NE):
https://aws.amazon.com/about-aws/whats-new/2020/10/announcing-aws-certificate-manager-for-nitro-enclaves/
То, что теперь можно поднять виртуалку, к которой у вас нет доступа, решает застарелую проблему реализации End-to-End шифрования на AWS. Раньше для этого приходилось покупать сертификаты или использовать дорогущий CloudHSM за $2000 в месяц. Теперь же, благодаря тому, что контекст NE недоступен, но при этом он таки ваш, Амазон может выдать вашему приложению свой приватный ключ!
На текущий момент это справедливо лишь для Linux и Nginx версии 1.18+.
Для того, чтобы получить заветный амазоновский ключ нужно выполнить команду associate-enclave-certificate-iam-role, которая на выходе даст бакет и путь к файлу, где деньги лежат. Скачать его получится, однако приватный ключ внутри файла зашифрован и расшифровать его сможет лишь процесс, запущенный в NE.
...продолжение следует.
#ACM #NE
Итак, кто пропустил первую часть, коротко:
▪️ Azure Confidential Computing реализовано на базе расширений процессора Intel SGX
▪️ Google Confidential Computing под капотом шифрует память виртуалок на AMD EPYC с помощью расширений AMD SEV
▪️ Амазон реализовал свою версию AWS Confidential Computing без привязки к процессору с помощью волшебства Annapurna Labs и возможностей его проекта Nitro.
AWS Nitro Enclaves (NE) — первый взгляд
https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html
Главные характеристики NE:
• во-первых, это виртуалка
• запускается как гостевая из вашего EC2-инстанса
• у неё нет никаккого
persistent storage• в неё нельзя залогиниться
• у неё нет айпишника, потому к ней никак не получится подключиться из сети
• всё, что у неё есть для общения с родительской виртуалкой (ваш EC2 инстанс) — это virtual socket (см. картинку)
Образ для NE конвертируется из докерного и запускается специальной утилитой. В результате поднимается ещё одна виртуалка "сбоку", но в рамках параметров вашей EC2 по процессору/памяти. Условно можно считать, что NE-виртуалка поднимается в другом AWS аккаунте, потому никакой возможности достучаться туда или изменить у вас нет по определению, что как раз и позволяет использовать данный подход для Confidential Computing.
Вместе с NE был анонсирован и ACM for Nitro Enclaves (ACM-NE):
https://aws.amazon.com/about-aws/whats-new/2020/10/announcing-aws-certificate-manager-for-nitro-enclaves/
То, что теперь можно поднять виртуалку, к которой у вас нет доступа, решает застарелую проблему реализации End-to-End шифрования на AWS. Раньше для этого приходилось покупать сертификаты или использовать дорогущий CloudHSM за $2000 в месяц. Теперь же, благодаря тому, что контекст NE недоступен, но при этом он таки ваш, Амазон может выдать вашему приложению свой приватный ключ!
На текущий момент это справедливо лишь для Linux и Nginx версии 1.18+.
Для того, чтобы получить заветный амазоновский ключ нужно выполнить команду associate-enclave-certificate-iam-role, которая на выходе даст бакет и путь к файлу, где деньги лежат. Скачать его получится, однако приватный ключ внутри файла зашифрован и расшифровать его сможет лишь процесс, запущенный в NE.
...продолжение следует.
#ACM #NE
Через два года добавится ещё один AWS Region — Швейцария, Цюрих!
https://aws.amazon.com/blogs/aws/in-the-works-new-aws-region-in-zurich-switzerland/
Регион планируется к сдаче во второй половине 2022-го года.
#AWS_Regions
https://aws.amazon.com/blogs/aws/in-the-works-new-aws-region-in-zurich-switzerland/
Регион планируется к сдаче во второй половине 2022-го года.
#AWS_Regions
Amazon
In the Works – New AWS Region in Zurich, Switzerland | Amazon Web Services
Earlier this year, we launched the new AWS Region in Italy and South Africa, and have plans for three more AWS Regions in Indonesia, Japan, and Spain. Coming to Switzerland in 2022 Today, I’m happy to announce that the AWS Europe (Zurich) Region is in the…
Самоучитель по AWS от Stelligent:
https://stelligent.com/2020/10/27/open-sourcing-our-devops-training-platform-stelligent-u/
Стоящие внимания лабы от одной из крупнейших контор, специализирующихся на AWS Devops. Данный материал в том числе используется для обучения их инженеров.
Прямая ссылка на GitHub:
https://github.com/stelligent/stelligent-u
Однозначно в закладки
#learning #devops
https://stelligent.com/2020/10/27/open-sourcing-our-devops-training-platform-stelligent-u/
Стоящие внимания лабы от одной из крупнейших контор, специализирующихся на AWS Devops. Данный материал в том числе используется для обучения их инженеров.
Прямая ссылка на GitHub:
https://github.com/stelligent/stelligent-u
Однозначно в закладки
#learning #devops
Stelligent
Open Sourcing Our DevOps Training Platform: Stelligent U - Stelligent
Every Stelligent DevOps Automation Engineer for the past several years has gone through our Stelligent U onboarding program. We’re very excited to begin sharing it now with the open source community.
Forwarded from CloudSec Wine
🔸AWS Secure Environment Accelerator
The AWS Secure Environment Accelerator is a tool designed to help deploy and operate secure multi-account AWS environments on an ongoing basis. The configuration file enables the completely automated deployment of customizable architectures within AWS without changing a single line of code.
https://github.com/aws-samples/aws-secure-environment-accelerator
#aws
The AWS Secure Environment Accelerator is a tool designed to help deploy and operate secure multi-account AWS environments on an ongoing basis. The configuration file enables the completely automated deployment of customizable architectures within AWS without changing a single line of code.
https://github.com/aws-samples/aws-secure-environment-accelerator
#aws
RabbitMQ теперь и на AWS:
https://aws.amazon.com/blogs/aws/amazon-mq-update-new-rabbitmq-message-broker-service/
#MQ
https://aws.amazon.com/blogs/aws/amazon-mq-update-new-rabbitmq-message-broker-service/
#MQ
Amazon
Amazon MQ Update – New RabbitMQ Message Broker Service | Amazon Web Services
In 2017, we launched Amazon MQ – a managed message broker service for Apache ActiveMQ, a popular open-source message broker that is fast and feature-rich. It offers queues and topics, durable and non-durable subscriptions, push-based and poll-based messaging…
Capacity Rebalancing для EC2 Spot виртуалок:
https://aws.amazon.com/blogs/compute/proactively-manage-spot-instance-lifecycle-using-the-new-capacity-rebalancing-feature-for-ec2-auto-scaling/
При включении CapacityRebalance: true и получении виртуалкой сигнала о том, что она будет убита через две минуты, автоскелинг сразу же сам поднимет ещё одну спот-виртуалку. В результате чего, когда обречённая на смерть виртуалка будет убита, в группе будет нужное количество spot-виртуалок. В то время как без этого автоскелинг срабатывал лишь через некоторое время, когда убитая виртуалка не отвечала на HealthCheck-и.
Весьма востребованная фича для случаев небольшого количества виртулок в автогруппе и/или когда время инициализации свежеподнятых виртуалок значительное.
Пока доступна лишь для EC2. Будем надеяться, что на реинвенте обрадуют и для Fargate.
#EC2 #Spot
https://aws.amazon.com/blogs/compute/proactively-manage-spot-instance-lifecycle-using-the-new-capacity-rebalancing-feature-for-ec2-auto-scaling/
При включении CapacityRebalance: true и получении виртуалкой сигнала о том, что она будет убита через две минуты, автоскелинг сразу же сам поднимет ещё одну спот-виртуалку. В результате чего, когда обречённая на смерть виртуалка будет убита, в группе будет нужное количество spot-виртуалок. В то время как без этого автоскелинг срабатывал лишь через некоторое время, когда убитая виртуалка не отвечала на HealthCheck-и.
Весьма востребованная фича для случаев небольшого количества виртулок в автогруппе и/или когда время инициализации свежеподнятых виртуалок значительное.
Пока доступна лишь для EC2. Будем надеяться, что на реинвенте обрадуют и для Fargate.
#EC2 #Spot
Amazon
Proactively manage the Spot Instance lifecycle using the new Capacity Rebalancing feature for EC2 Auto Scaling | Amazon Web Services
By Deepthi Chelupati and Chad Schmutzer AWS now offers Capacity Rebalancing for Amazon EC2 Auto Scaling, a new feature for proactively managing the Amazon EC2 Spot Instance lifecycle in an Auto Scaling group. Capacity Rebalancing complements the capacity…
Плодитесь и размножайтесь или ещё один AWS Region через полтора года — южная Индия, Хайдарабад:
https://aws.amazon.com/blogs/aws/in-the-works-aws-region-in-hyderabad-india/
Регион планируется к сдаче в середине 2022-го года.
#AWS_Regions
https://aws.amazon.com/blogs/aws/in-the-works-aws-region-in-hyderabad-india/
Регион планируется к сдаче в середине 2022-го года.
#AWS_Regions
EventBridge получил две крутые фичи — возможность сохранять эвенты и воспроизводить их:
https://aws.amazon.com/blogs/aws/new-archive-and-replay-events-with-amazon-eventbridge/
Сохранять можно все, по паттерну, навсегда или указав срок их хранения. При воспроизведении нужно указать период времени, когда они были получены.
Данный функционал был весьма востребован, точно знаю, что многие написали свои реализации этого. Очень жаль, что нет публичного Roadmap для EventBridge, чтобы не плодить своих велосипедов и видеть, над каким функционалом нужного сервиса трудится команда Амазона.
#EventBridge
https://aws.amazon.com/blogs/aws/new-archive-and-replay-events-with-amazon-eventbridge/
Сохранять можно все, по паттерну, навсегда или указав срок их хранения. При воспроизведении нужно указать период времени, когда они были получены.
Данный функционал был весьма востребован, точно знаю, что многие написали свои реализации этого. Очень жаль, что нет публичного Roadmap для EventBridge, чтобы не плодить своих велосипедов и видеть, над каким функционалом нужного сервиса трудится команда Амазона.
#EventBridge
Amazon
New – Archive and Replay Events with Amazon EventBridge | Amazon Web Services
Event-driven architectures use events to share information between the components of one or more applications. Events tell us that “something has happened,” maybe you received an API request, a file has been uploaded to a storage platform, or a database record…
AWS Roadmaps
На текущий момент у AWS доступны следующие публичные роадмэпы:
1️⃣ AWS CloudFormation:
https://github.com/aws-cloudformation/aws-cloudformation-coverage-roadmap/projects/1
2️⃣ Containers (ECS/EKS/Fargate):
https://github.com/aws/containers-roadmap/projects/1
3️⃣ Elastic Beanstalk:
https://github.com/aws/elastic-beanstalk-roadmap/projects/1
4️⃣ AWS CDK:
https://github.com/orgs/aws/projects/7
5️⃣ AWS App Mesh:
https://github.com/aws/aws-app-mesh-roadmap/projects/1
6️⃣ Spot Instances:
https://github.com/aws/ec2-spot-instances-integrations-roadmap/projects/1
7️⃣ AWS Proton:
https://github.com/aws/aws-proton-public-roadmap/projects/1
#Roadmap
На текущий момент у AWS доступны следующие публичные роадмэпы:
1️⃣ AWS CloudFormation:
https://github.com/aws-cloudformation/aws-cloudformation-coverage-roadmap/projects/1
2️⃣ Containers (ECS/EKS/Fargate):
https://github.com/aws/containers-roadmap/projects/1
3️⃣ Elastic Beanstalk:
https://github.com/aws/elastic-beanstalk-roadmap/projects/1
4️⃣ AWS CDK:
https://github.com/orgs/aws/projects/7
5️⃣ AWS App Mesh:
https://github.com/aws/aws-app-mesh-roadmap/projects/1
6️⃣ Spot Instances:
https://github.com/aws/ec2-spot-instances-integrations-roadmap/projects/1
7️⃣ AWS Proton:
https://github.com/aws/aws-proton-public-roadmap/projects/1
#Roadmap
GitHub
coverage-roadmap · aws-cloudformation/cloudformation-coverage-roadmap
The AWS CloudFormation Public Coverage Roadmap. Contribute to aws-cloudformation/cloudformation-coverage-roadmap development by creating an account on GitHub.
Forwarded from CloudTechRU
Все таки раздают ваучеры на AWS Certified Cloud Practitioner https://pages.awscloud.com/AWS_Global_Certification_Challenge_Practice_Exam_Voucher.html
This media is not supported in your browser
VIEW IN TELEGRAM
AWS::CloudFormation::Stack ROLLBACK_COMPLETE.