​​Сервисы AWS активно обновляются для устранения уязвимости Log4j2. На текущий момент уже около 70 отчиталось об окончании работ по апдейту CVE-2021-44228.

https://aws.amazon.com/security/security-bulletins/AWS-2021-006/

Кому важно следить за процессом, сделал
табличку с сортировкой сервисов по алфавиту. На картинке краткая версия, ссылка на полную версию документа:

https://docs.google.com/spreadsheets/d/1y6KPvRNZkHNADvL1dQJQyXlz_Z4OeKM2ONUkS12xEO0/edit?usp=sharing

#security

​​Using AWS security services to protect against, detect, and respond to the Log4j vulnerability:

https://aws.amazon.com/blogs/security/using-aws-security-services-to-protect-against-detect-and-respond-to-the-log4j-vulnerability/

Protect:
🔸 WAF (Web Application Firewall)
🔸 Route 53 Resolver DNS Firewall
🔸 Network Firewall
🔸 EC2 IMDSv2

Detect:
🔸 Inspector
🔸 GuardDuty
🔸 Security Hub
🔸 VPC flow logs

Respond:
🔸 SSM Patch Manager
🔹 Container mitigation
🔹 Mitigation strategies
▪️ remove the JndiLookup class from the classpath:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
▪️ https://logging.apache.org/log4j/2.x/

#security

​​Мультиклауд, пожалуйста.

#пятничное

​​Weekly Summary on AWS (December 12-18)

Log4j2 CVE-2021-44228 related updates

▪️ WAF + AWSManagedRulesKnownBadInputsRuleSet updated with Log4JRCE protection support
Multiple versions during this week.
• Added the rule Log4JRCE version 1.2 in response to the recently disclosed security issue within Log4j. For information see CVE-2021-44228. This rule inspects common URI paths, query strings, the first 8KB of the request body, and common headers. The rule uses double URL_DECODE_UNI text transformations.
• Released version 1.3 of Log4JRCE to tune the matching criteria and to inspect additional headers.
• Released version 1.4 of the rule Log4JRCE to tune the matching criteria and to inspect additional headers.
• Released version 1.5 to tune the matching criteria. 
• Released version 1.8 of the rule Log4JRCE to improve header inspection and matching criteria. 

▪️ IoT Greengrass Core
• 1.11.5 — to fix Log4j for 1.11.x versions
• 1.10.5 — to fix Log4j for 1.10.x versions

▪️ IoT SiteWise
• OPC-UA collector 2.0.3 with Log4j fix
• Data processing pack 2.0.14 with Log4j fix
• Publisher 2.0.2 with Log4j fix

▪️ CloudHSM — CloudHSM JCE SDK version 3.4.2 — with Log4j updated to version 2.16.0.

▪️ Amazon Linux — Hotpatch for Apache Log4j
yum install log4j-cve-2021-44228-hotpatch

▪️ EMR — Approach to mitigate CVE-2021-44228

▪️ Kinesis — Amazon Kinesis Agent v2.0.4 with log4j 2.16.0

▪️ Lambda — aws-lambda-java-log4j2 library v1.4.0 with Log4j fix

▪️ NICE — EnginFrame update instruction with Log4j fix

Other updates

🔹 Amazon Detective + Organizations

🔸 New! AWS Region — Jakarta, Indonesia

#AWS_week

Патч для Amazon Linux 1/2 рекомендуемый:

Amazon Linux 1 (AL1) and Amazon Linux 2 (AL2) by default use a log4j version that is not affected by CVE-2021-44228 or CVE-2021-45046. However, customers may be running their own log4j version on AL1 or AL2. To help customers who are running a JDK8, JDK11, JDK15, or JDK17 Java Virtual Machine (JVM) mitigate CVE-2021-44228 or CVE-2021-45046, Amazon Linux released a new package that includes the recently announced Hotpatch for Apache Log4j. Customers that bring their own log4j version can install this package by running yum install log4j-cve-2021-44228-hotpatch.

Новые фичи CloudFormation и CDK:

https://www.youtube.com/watch?v=PVW8TRvmHhU

#CloudFormation #CDK #reInvent #video

Очередная, уже третья за последнюю неделю уязвимость Log4j CVE-2021-45105:

https://logging.apache.org/log4j/2.x/security.html

В результате потребуется обновление до Log4j 2.17.0. и это значит, что все репорты по решению проблемы с обновлением до Log4j 2.16 придётся повторить.

Лучи поддержки всем, кому и так приходится сейчас тяжело из-за срочных обновлений, так ещё и во второй (или более) раз.

Хронология уязвимостей Log4j:
• 10 декабря CVE-2021-44228 - исправлена в 2.15.0
• 11 декабря CVE-2021-45046 - исправлена в 2.16.0
• 16 декабря CVE-2021-45105 - исправлена в 2.17.0

#security

Advanced Amazon VPC design and new capabilities:

https://www.youtube.com/watch?v=fi3vcenH6UY

🔸 VPC networking overview
🔸 IPv6 only subnets
🔸 DNS64
🔸 NAT64
🔸 Resource-based instance naming
🔸 IPv6 targets for ALB/NLB
🔸 IPAM (IP Address Manager)
🔸 VPC enhanced routing
🔸 Private NATGW
🔸 S3 Interface Endpoint
🔸 PrivateLink: ALB + NLB integration
🔸 TGW Connect
🔸 TGW intra-region peering
🔸 Direct Connect overview
🔸 Direct Connect MACsec
🔸 Direct Connect + Local Zones
🔸 Direct Connect SiteLink
🔸 AWS Cloud WAN
🔸 Network Access Analyzer
🔸 VPC Reachability Analyzer

#VPC #TGW #IPv6 #reInvent #video

https://aws.amazon.com/blogs/aws/amazon-kinesis-data-streams-on-demand-stream-data-at-scale-without-managing-capacity/
Интересная фича на ReInvent’е была анонсирована, теперь можно датастримы переключить с режима Provisioned ранее единственно возможного, который поднимает кластер и работает в нем постоянно, вне зависимости от того, шлешь ты эти данные через стрим или нет в текущий момент, платить все равно придется, на OnDemand, который позволяет включить автоскейлинг данного кластера в зависимости от потребляемых ресурсов

​​AWS re:Invent 2021 videos — Networking and Content Delivery:

https://www.youtube.com/playlist?list=PL2yQDdvlhXf8LwUXEjfwfT9Yd0fFf4H-G

1 Networking foundations
2 Advanced Amazon VPC design and new capabilities 💪
3 Integrate Amazon EKS with your networking pattern
4 Building low-latency websites with Amazon CloudFront
5 Amazon Route 53: A year in review [REPEAT]
6 Amazon Route 53: A year in review [REPEAT]
7 Migrating large-scale websites to Amazon CloudFront
8 Web security: 2021 updates and implementations
9 {New Launch} Manage your IP addresses at scale on AWS 💥New!
10 Take your AWS network and security from 0 to 60 with Aviatrix
11 Assuring and securing AWS migrations with NETSCOUT visibility
12 Building resilient and low-latency gaming architectures on AWS
13 {New Launch} Introducing AWS Cloud WAN and AWS Direct Connect SiteLink 💥New! 💪
14 How to choose the right load balancer for your AWS workloads
15 NetDevOps: A modern approach to AWS networking deployments
16 AWS Well-Architected Framework for hybrid networks [REPEAT]
17 AWS Well-Architected Framework for hybrid networks [REPEAT]

#networking #reInvent #video

How we migrated our Prometheus and Grafana based monitoring solution to AWS

https://medium.com/i-love-my-local-farmer-engineering-blog/enterprise-monitoring-using-amazon-managed-prometheus-and-grafana-650e76814656

#grafana #prometheus #monitoring #aws #amazon

​​Подкасты — «AWS на русском»:

🔸 Яндекс.Музыка
🔸 Apple Podcasts
🔸 Google Подкасты
🔸 Spotify (подкасты не доступны для Украины, Беларуси - нужно использовать VPN)
🔸 Anchor

#podcasts

​​AWS re:Invent 2021 — DevOps and Developer Productivity

https://www.youtube.com/playlist?list=PL2yQDdvlhXf8IJuIGCoPbO2HXxWFFml8Z

1 Using feature flags to avoid downtime during migrations
2 The journey from telemetry to business metrics
3 OutSystems and AWS: The modern application platform for the cloud
4 On AWS, details matter: Why full-stack observability wins
5 Deploying container applications with cloud-native CI/CD pipelines
6 Enterprise networking and SD-WAN with Cisco and AWS
7 Enabling decentralized development teams with a shared services platform
8 Incorporating continuous resilience in your development ecosystem
9 Observing your applications from development through production
10 Write, deploy, and provision cloud resources with AWS Developer Tools
11 Infrastructure as code and modern data resilience on AWS
12 Modern and confident: DevSecOps for enhanced cloud security
13 Slack is the digital HQ for AWS developers and DevOps teams
14 How to reuse patterns when developing infrastructure as code
15 Amazon Builders' Library: Operational Excellence at Amazon
16 Best practices for securing your software delivery lifecycle
17 Building with the new AWS SDKs for Rust, Kotlin, and Swift
18 Cloud-native operations: Agility and speed through distributed ownership
19 Automating cross-account CI/CD pipelines [repeat]
20 Automating cross-account CI/CD pipelines [repeat]
21 What's new with AWS CloudFormation and AWS CDK
22 DevOps revolution [repeat]

#reInvent #videos #devops

#машины_aws

Распространненный миф о безопасных клавдиях больно ударил, что по Capital One в 2019 что по Twitch в 2021.

Непопулярное мнение: все эти инциденты - вина владельцев и инженеров сервисов и инфраструктуры и только их.

Особая близость с платежами и деньгами в целом сделала из меня параноика в хорошем смысле этого слова. Если это доступно где-то в интернете - это можно спиз… скачать.

Последний пост в этом году, после чего я могу спокойно отправляться на каникулы: вводная в событийно-ориентированное реагирование на мониторинг безопасности.

Читаем, применяем, не даем злодеям и своим наделать глупостей.

Всех с наступающим! Увидимся в 2022.

NitroTPM:

https://aws.amazon.com/blogs/compute/deep-dive-into-nitrotpm-and-uefi-secure-boot-support-in-amazon-ec2/

На re:Invent без особых подробностей и внимания был анонсирован NitroTPM с поддержкой UEFI Secure Boot и теперь на AWS можно запускать ПО, подразумевающее их наличие. Для этого потребуется AMI образ с поддержкой TPM 2.0.

#NitroTPM #security

​​Weekly Summary on AWS (December 19-25)

🔹 Lambda + IPv6 endpoints for inbound connections

🔹 DataSync + copy data to and from Amazon FSx for Lustre

🔹 RDS for Oracle + Oracle Connection Manager (CMAN)

🔹 MSK + Kafka 2.7.2 and 2.6.3

🔹 Cost Management + hourly granularity in Savings Plans Utilization and Coverage reports

🔹 NICE DCV v2021.3 with DCV Connection Gateway and web client SDK v1.0.4 with multiple concurrent connections.

🔹 Translate + profanity masking

#AWS_week

🔰 AWS ANS-C00 Certified Advanced Networking | Udemy
AWS ANS-C00 Certified Advanced Networking Practice Tests

384 questions

⏳ FREE for: ⚠️ First 1000 enrolls
📶 Rating: 0.0 ⭐️
✅ Rated by: 0 students
🧲 Category: #IT_And_Software
🔄 Last Updated: 12/2021
👤 Instructor: Youssef elbayed

Опрос не содержит правильного ответа. The effect of the fail-open is to allow traffic to all targets in all enabled Availability Zones, ...,based on the load balancing algorithm. Ключевое тут based on the load balancing algorithm. Т.е все тоже самое если мы имеем все таргеты healthy

​​AWS notes — итоги года

Большое спасибо читателям и писателям! 😀

Ссылка на пост в картинке: Обычный день девопса в стартапе. За статистику и картинку отдельное спасибо TGStat.ru.

С Наступающим!

#statistics