RDS +
https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.DBInstanceClass.html#Concepts.DBInstanceClass.Support
#RDS
db.m7g & db.c7g:https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.DBInstanceClass.html#Concepts.DBInstanceClass.Support
db.m6g.large $0.159db.m7g.large $0.168db.r6g.large $0.225db.r7g.large $0.239#RDS
✍8👍5
Какие CI/CD инструменты используете? (Можно выбрать несколько вариантов)
Anonymous Poll
27%
Argo CD
14%
AWS CodePipeline/CodeBuild
7%
Azure DevOps
7%
CircleCI
36%
GitHub Actions
50%
GitLab
2%
Google Cloud Build
42%
Jenkins
1%
Tekton
10%
Не знаю / не использую / Bash / посмотреть результаты. 👀
❤2
Forwarded from AWS Weekly (Max Skutin)
🌤 Issue #67 | 16 April 2023
▪️ AppFlow +6 connectors
▪️ AppSync EventBridge support
▪️ Backup +3 new regions
▪️ Chime SDK
▫️ updated video background blur and replacement
▫️ updates Service Level Agreement
▪️ CodeWhisperer is now generally available
▪️ Competency Media & Entertainment Competency
▪️ Config advanced queries supports 27 new resource types
▪️ Connect
▫️ agents to handle voice calls, chats, and tasks concurrently
▫️ Voice ID multiple fraudster watchlists per Voice ID domain
▪️ EC2
▫️
▫️
▫️
▪️ EC2 Image Builder vulnerability detection with Amazon Inspector for custom images
▪️ EC2 Serial Console EC2 bare metal instances
▪️ ECS/Batch Split Cost Allocation Data
▪️ ECS Linux containers AL2023 and gMSA
▪️ ECS on Fargate supports extensible ephemeral storage for Windows Tasks
▪️ EKS Kubernetes version 1.26
▪️ Elemental MediaConnect Gateway
▪️ Elemental MediaConvert media metrics
▪️ Firewall Manager +6 WAF features
▪️ FSx for Lustre is now available in three additional regions
▪️ FSx for NetApp ONTAP is now available in three additional regions
▪️ FSx for Windows File Server is now available in the 3 additional regions
▪️ GameLift adds support for Unreal Engine 5
▪️ Glue visual ETL new native Redshift capabilities
▪️ Ground Station Wideband Digital Intermediate Frequency
▪️ GuardDuty +3 threat detections to Alert Customers on Suspicious DNS Traffic
▪️ IoT Core MQTT5 Shared Subscriptions and new CloudWatch metrics
▪️ Lambda SnapStart for Java functions in 6 additional regions
▪️ MSK is now available in Hyderabad, Spain, and Zurich Regions
▪️ MWAA Apache Airflow version 2.5
▪️ Pinpoint PrivateLink support
▪️ QuickSight Row Level Security tags with OR condition
▪️ RDS Optimized Reads up to 2X faster queries on RDS for PostgreSQL
▪️ Redshift enhances string query performance by up to 63x
▪️ Rekognition Face Liveness to deter fraud in facial verification
▪️ SageMaker Inference Recommender improves usability and launches new features
▪️ Service Management Connector AWS Support and Automation integrations in Jira Cloud
▪️ WAF
▫️ increases web ACL capacity units limits
▫️ larger request body inspections for CloudFront distributions
▪️ Well-Architected Framework strengthens prescriptive guidance
▪️ AppFlow +6 connectors
▪️ AppSync EventBridge support
▪️ Backup +3 new regions
▪️ Chime SDK
▫️ updated video background blur and replacement
▫️ updates Service Level Agreement
▪️ CodeWhisperer is now generally available
▪️ Competency Media & Entertainment Competency
▪️ Config advanced queries supports 27 new resource types
▪️ Connect
▫️ agents to handle voice calls, chats, and tasks concurrently
▫️ Voice ID multiple fraudster watchlists per Voice ID domain
▪️ EC2
▫️
I4i available in additional regions▫️
Inf2 optimized for generative AI| GA▫️
Trn1n optimized for network-intensive generative AI models | GA▪️ EC2 Image Builder vulnerability detection with Amazon Inspector for custom images
▪️ EC2 Serial Console EC2 bare metal instances
▪️ ECS/Batch Split Cost Allocation Data
▪️ ECS Linux containers AL2023 and gMSA
▪️ ECS on Fargate supports extensible ephemeral storage for Windows Tasks
▪️ EKS Kubernetes version 1.26
▪️ Elemental MediaConnect Gateway
▪️ Elemental MediaConvert media metrics
▪️ Firewall Manager +6 WAF features
▪️ FSx for Lustre is now available in three additional regions
▪️ FSx for NetApp ONTAP is now available in three additional regions
▪️ FSx for Windows File Server is now available in the 3 additional regions
▪️ GameLift adds support for Unreal Engine 5
▪️ Glue visual ETL new native Redshift capabilities
▪️ Ground Station Wideband Digital Intermediate Frequency
▪️ GuardDuty +3 threat detections to Alert Customers on Suspicious DNS Traffic
▪️ IoT Core MQTT5 Shared Subscriptions and new CloudWatch metrics
▪️ Lambda SnapStart for Java functions in 6 additional regions
▪️ MSK is now available in Hyderabad, Spain, and Zurich Regions
▪️ MWAA Apache Airflow version 2.5
▪️ Pinpoint PrivateLink support
▪️ QuickSight Row Level Security tags with OR condition
▪️ RDS Optimized Reads up to 2X faster queries on RDS for PostgreSQL
▪️ Redshift enhances string query performance by up to 63x
▪️ Rekognition Face Liveness to deter fraud in facial verification
▪️ SageMaker Inference Recommender improves usability and launches new features
▪️ Service Management Connector AWS Support and Automation integrations in Jira Cloud
▪️ WAF
▫️ increases web ACL capacity units limits
▫️ larger request body inspections for CloudFront distributions
▪️ Well-Architected Framework strengthens prescriptive guidance
👍1
Какие CI/CD инструменты используете?
(Можно выбрать несколько вариантов, голосование за AWS CodePipeline/CodeBuild, Azure DevOps, CircleCI, Google Cloud Build и Tekton было выше)
(Можно выбрать несколько вариантов, голосование за AWS CodePipeline/CodeBuild, Azure DevOps, CircleCI, Google Cloud Build и Tekton было выше)
Anonymous Poll
9%
Argo Workflows
4%
Bamboo
8%
Bitbucket Pipelines
1%
Concourse CI
5%
Flux CD
34%
GitHub Actions
45%
GitLab CI
34%
Jenkins
14%
TeamCity
18%
Не голосую - посмотреть результаты. 👀
👍6
IAM Roles, прикреплённые к виртуалкам, работают через EC2 Instance Profiles. Это даёт некоторую специфику, например, когда роль убирается у виртуалки, а она ещё некоторое время продолжает отрабатывать права, что были у виртуалки ранее с уже отсутствующей ролью.
Как это происходит и почему в деталях описано здесь:
https://www.uptycs.com/blog/aws-iam-roles-instance-profiles
AWS знает про такое поведение, так задумано. Короче —всё нормально, расходимся.
#IAM #EC2
Как это происходит и почему в деталях описано здесь:
https://www.uptycs.com/blog/aws-iam-roles-instance-profiles
AWS знает про такое поведение, так задумано. Короче —всё нормально, расходимся.
#IAM #EC2
Uptycs
An Unholy Marriage: AWS Instance Profile & IAM Role
Explore the intricate dynamics between AWS instance profile & IAM roles. Dive deep into quirks, behaviors & impact on EC2 instances for improved security.
👍13
📆 Ровно через неделю,
https://wearecommunity.io/events/aws-user-group-3city-allstars
Приглашённые звёзды и их доклады:
⭐ Viktor Vedmich: Senior Developer Advocate at AWS — "Chaos engineering Why breaking things should be practiced"
⭐ Denis Astahov: AWS Hero, Solutions Architect at OpsGuru — "Why you should use AWS Organization"
⭐ Pawel Piwosz: AWS Community Builder, DevOps Institute Ambassador, Lead Systems Engineer at Epam Systems — "Security for IaC with Terraform and Cloudformation(Live demo)"
Мероприятие бесплатное, пройдёт онлайн 24 апреля в 17:00 GMT+2 (18:00 по Минску/Москве).
Присоединяйтесь!
24 апреля начнётся AWS All Stars Meetup:https://wearecommunity.io/events/aws-user-group-3city-allstars
Приглашённые звёзды и их доклады:
⭐ Viktor Vedmich: Senior Developer Advocate at AWS — "Chaos engineering Why breaking things should be practiced"
⭐ Denis Astahov: AWS Hero, Solutions Architect at OpsGuru — "Why you should use AWS Organization"
⭐ Pawel Piwosz: AWS Community Builder, DevOps Institute Ambassador, Lead Systems Engineer at Epam Systems — "Security for IaC with Terraform and Cloudformation(Live demo)"
Мероприятие бесплатное, пройдёт онлайн 24 апреля в 17:00 GMT+2 (18:00 по Минску/Москве).
Присоединяйтесь!
👍19🔥5🤨2
Forwarded from AWS Weekly (Max Skutin)
▪️ Amazon Corretto Quarterly Updates | aarch64 Alpine Linux is GA
▪️ Amplify Flutter web and desktop support |
GA▪️ Amplify Push Notifications for mobile and cross platform apps
▪️ Backup SAP HANA databases on EC2
▪️ Chime SDK Hindi and Thai languages for live transcription
▪️ CloudFormation Template Sync Controller for Flux
▪️ CodeCatalyst
▫️ Dev Environment dashboard |
Preview▫️ General Availability
▪️ Competency Manufacturing and Industrial
▪️ Comprehend improves accuracy of document classification using layout data
▪️ Connect Customer Profiles now shows cases information in the agent workspace
▪️ Control Tower +7 additional Regions
▪️ DocumentDB ODBC driver to connect from BI tools
▪️ DynamoDB up to 50 concurrent table restores
▪️ EC2 Ubuntu Pro operating system in a subscription-included model
▪️ EFS up to 10 GiB/s of throughput
▪️ Elastic Disaster Recovery simplifies launch settings management
▪️ EMR enhanced error details
▪️ EMR Serverless job-level billed resources for efficient cost management
▪️ Glue monitor usage of Glue resources
▪️ GuardDuty support for AWS Lambda
▪️ Inspector deep inspection of EC2 instances
▪️ IoT Core for LoRaWAN public network and roaming with Everynet |
Preview▪️ Kafka Distro for OpenTelemetry support
▪️ Lake Formation Apache Hive Metastore resources
▪️ Lambda Python 3.10 runtime
▪️ Migration Hub Refactor Spaces +7 regions
▪️ Partner Central redesigned opportunity management
▪️ Personalize
▫️ enables popularity tuning for similar item recommendations
▫️ integration with SageMaker Data Wrangler
▫️ Kafka Sink connector to ingest real-time data with ease
▪️ RDS events now include tags for filtering and routing
▪️ Redshift
▫️ MERGE SQL command |
GA▫️ centralized access control for data sharing with Lake Formation
▫️ Dynamic Data Masking |
GA▪️ SageMaker organize models in the Model Registry with Collections
▪️ SageMaker Studio Lab combats bots with CAPTCHA
▪️ SAM CLI local testing support for API Gateway Lambda authorizers
▪️ Snowball Edge Compute Optimized S3 compatible storage
▪️ Systems Manager Incident Manager collaboration with MS Teams
▪️ VPC Prefix Lists +3 regions
▪️ WAF
▫️ Captcha JavaScript API support
▪️ WAF Ready Partner Offerings
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
How to create and manage Redshift clusters, as well as store, process, and analyze large data scopes?
How does AWS QuickSight facilitate data-driven decisions in companies?
📍Join the Data Analytics Meetup by N-iX!
Rostyslav Fedyshyn, Solution Architect | Head of Data & Analytics Practice at N-iX
and Oleksiy Ivanchenko, Solution Architect at AWS, will give deep answers to these questions and share best practices on:
• setting up and optimizing Redshift;
• using Redshift in real projects and optimal integration with other services;
• how QuickSight allows you to share analytical results with colleagues, which contributes to better decision-making and team collaboration.
Don't miss it!
April 26 at 18:00 (GMT+3)
Online
Participation is free of charge: https://bit.ly/3H8SyOG
See you there!
How does AWS QuickSight facilitate data-driven decisions in companies?
📍Join the Data Analytics Meetup by N-iX!
Rostyslav Fedyshyn, Solution Architect | Head of Data & Analytics Practice at N-iX
and Oleksiy Ivanchenko, Solution Architect at AWS, will give deep answers to these questions and share best practices on:
• setting up and optimizing Redshift;
• using Redshift in real projects and optimal integration with other services;
• how QuickSight allows you to share analytical results with colleagues, which contributes to better decision-making and team collaboration.
Don't miss it!
April 26 at 18:00 (GMT+3)
Online
Participation is free of charge: https://bit.ly/3H8SyOG
See you there!
❤🔥2
Forwarded from Boris Golynski
YouTube
AWS User group 3City - AWS All Stars meetup
AGENDA
- Viktor Vedmich - Amazon Web Services, Senior Developer Advocate, DevOps evangelist, speaker, system architect, trainer (Munich, Germany)
"Chaos engineering Why breaking things should be practiced."
- Denis Astahov - AWS Hero, Solutions Architect…
- Viktor Vedmich - Amazon Web Services, Senior Developer Advocate, DevOps evangelist, speaker, system architect, trainer (Munich, Germany)
"Chaos engineering Why breaking things should be practiced."
- Denis Astahov - AWS Hero, Solutions Architect…
🔥8👍7
cfn-teleport
A command-line tool which can move CloudFormation resources between stacks.
https://github.com/udondan/cfn-teleport
cfn-teleport --source
#CloudFormation
A command-line tool which can move CloudFormation resources between stacks.
https://github.com/udondan/cfn-teleport
cfn-teleport --source
Stack1 --target Stack2 --resource Bucket21D68F7E8 --resource Bucket182C536A1 --yes#CloudFormation
👍8
Уже третий эпизод - и только о AWS организациях!
В первой части поговорили о Organization Units, во второй - о service control policies (SCPs). В новом выпуске продолжаем обсуждать безопасность: начали с IAM Access Analyzer, затронули то, как работает SOO и работу c SSO через CLI. А на сладкое поделились с вами проверенными практиками написания SCP политик, способами защиты root account и MFA, а также описали важные шаги в случае, если MFA была утеряна.
Тема настолько обширная, что, кажется, будет продолжение в 4 выпуске. Будем рады ответить на вопросы!
#podcast
Послушать можно тут:
- Apple Podcasts
- Google Podcasts
- Spotify
- PodBean
- YandexMusic
В первой части поговорили о Organization Units, во второй - о service control policies (SCPs). В новом выпуске продолжаем обсуждать безопасность: начали с IAM Access Analyzer, затронули то, как работает SOO и работу c SSO через CLI. А на сладкое поделились с вами проверенными практиками написания SCP политик, способами защиты root account и MFA, а также описали важные шаги в случае, если MFA была утеряна.
Тема настолько обширная, что, кажется, будет продолжение в 4 выпуске. Будем рады ответить на вопросы!
#podcast
Послушать можно тут:
- Apple Podcasts
- Google Podcasts
- Spotify
- PodBean
- YandexMusic
👍15🔥3
Forwarded from AWS Weekly (Max Skutin)
▪️ AppSync TypeScript and source maps in JavaScript resolvers
▪️ Athena Provisioned Capacity
▪️ CloudWatch Logs data protection in all Commercial Regions
▪️ CloudWatch new console capabilities and data visualizations
▪️ Connect
▫️ Contact Lens evaluation capabilities is now generally available
▫️ reduces Japan toll-free inbound minute rate
▫️ reduces South Korea DID rates
▪️ DataSync Discovery general availability
▪️ EC2
▫️ C6id, M6id, R6id instances are now available in additional regions
▫️ now supports AMD SEV-SNP
▪️ Elemental Link UHD Dolby Digital and Digital Plus
▪️ Fault Injection Simulator EC2 Instance disk fill
▪️ Firewall Manager multiple administrators
▪️ Global Accelerator +2 edge locations
▪️ Glue Crawlers creating partition indexes
▪️ IoT Core Device Advisor MQTT over WebSocket
▪️ IoT TwinMaker data overlays and text annotations in 3D scenes
▪️ Keyspaces supports IN operator for SELECT queries
▪️ Lambda Java 17
▪️ License Manager upgrading of EC2 Instances from Ubuntu to Ubuntu Pro OS
▪️ Location Service long distance matrix routing
▪️ Managed Grafana workspace configuration with version 9.4
▪️ MQ RabbitMQ 3.10.20 and 3.9.27
▪️ MSK multi-VPC private connectivity and cross-account access
▪️ Network Firewall ingress TLS inspection +8 regions
▪️ OpenSearch Service OpenSearch Ingestion
▪️ QuickSight two suites of data ingestion APIs
▪️ RDS M7g and R7g db instances
▪️ Resource Access Manager fine-grained customer managed permissions
▪️ Route 53 Resolver endpoints for hybrid cloud are now available in three new AWS Regions
▪️ S3 now applies two security best practices to all new buckets by default
▪️ SageMaker
▫️ accelerates local ML code conversion to remote jobs
▫️ hosted TensorBoard experience
▪️ Support in Korean
▪️ Systems Manager CDK applications support
▪️ Verified Access is now generally available
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
⭐️ Top AWS Week Updates
Прошедшая неделя была богата заметными AWS новостями.
🔹 Athena теперь имеет Provisioned Capacity, важная и полезная вещь. Однако попытка "включил и выключил — приключение на 20 минут" закончится аналогично, т.к. минимальная мощность 24 DPU, а время 8 часов, то есть около 60$.
🔸 В CloudWatch обновилась консоль и да, это важно. Вы ведь тоже ненавидите CloudWatch за те проклятые часы, когда накликанные дашборды уходили в небытиё из-за окончания сессии? Так вот, произошло чудо и туда таки завезли автосохранение (а в следующем году мог бы быть юбилей ненависти — 15 лет).
🔹 В FIS сервис завезли симуляцию переполнения диска — первая проблема по популярности (проблемы сети/DNS, понятно, вне конкуренции).
🔸 Пишущим на Java (мои соболезнования) в Lambda добавили поддержку Java 17.
🔹 Амазоновская Grafana проапдейтилась до 9.4 версии, ура! Кто кликал там всё вручную — придётся страдать и завидовать. Миграции не предусмотрено, просто при создании workspace можно выбрать версию 8.4 или 9.4.
🔸 Новость про поддержку в RDS инстансов
🔹 Амазоновская Kafka (MSK) теперь может работать cross-account и cross-VPC — реально круто.
🔸 В OpenSearch завезли OpenSearch Ingestion, просто супер. Что, уже можно выбрасывать свои костыли и всякие Лямбды для заброса логов с S3? Эээ, не спешите, посмотрите на ценник. $200 в месяц. Кому-то нормально, конечно, но если костыли работают очень давно, то это уже не костыли, а "исторически сложившаяся архитектура".
🔹 В RAM добавились кастомные политики расшаривания. То есть можно ограничить расшаренное в какой-то аккаунт, отдавая лишь кусочек нужного функционала. Не шибко применимо на сейчас, но супер круто на потом.
🔸 В S3 наконец-то сделали по дефолту ACL выключенным, а бакеты приватными, ура, свершилось! Хотя ещё в четверг пробовал, не было. Теперь можно удалять раздражающие блоки
🔹 Amazon Verified Access вышел в GA. Классный, крутой и полезный сервис. Если бы не цена. 200$ в месяц за то, что ваши девопсы не осилили настроить AWS ALB + SSO через Cognito — такое себе удовольствие.
🔸 В поддержку добавили корейский. Это не важно? Ну, как сказать. Тот нечастый случай, когда завидуешь гражданам КНДР.
🔹 В EC2 для AMD виртуалок завезли поддержку SEV-SNP. Если кому-то этот странный набор букв кажется не слишком важным, то, поверьте, это очень важно — расскажу в следующем посте.
#top #week
2023 April 23-29Прошедшая неделя была богата заметными AWS новостями.
🔹 Athena теперь имеет Provisioned Capacity, важная и полезная вещь. Однако попытка "включил и выключил — приключение на 20 минут" закончится аналогично, т.к. минимальная мощность 24 DPU, а время 8 часов, то есть около 60$.
🔸 В CloudWatch обновилась консоль и да, это важно. Вы ведь тоже ненавидите CloudWatch за те проклятые часы, когда накликанные дашборды уходили в небытиё из-за окончания сессии? Так вот, произошло чудо и туда таки завезли автосохранение (а в следующем году мог бы быть юбилей ненависти — 15 лет).
🔹 В FIS сервис завезли симуляцию переполнения диска — первая проблема по популярности (проблемы сети/DNS, понятно, вне конкуренции).
🔸 Пишущим на Java (мои соболезнования) в Lambda добавили поддержку Java 17.
🔹 Амазоновская Grafana проапдейтилась до 9.4 версии, ура! Кто кликал там всё вручную — придётся страдать и завидовать. Миграции не предусмотрено, просто при создании workspace можно выбрать версию 8.4 или 9.4.
🔸 Новость про поддержку в RDS инстансов
m7g/r7g здесь была ещё 2 недели назад, но другим рассказали страшную правду лишь сейчас.🔹 Амазоновская Kafka (MSK) теперь может работать cross-account и cross-VPC — реально круто.
🔸 В OpenSearch завезли OpenSearch Ingestion, просто супер. Что, уже можно выбрасывать свои костыли и всякие Лямбды для заброса логов с S3? Эээ, не спешите, посмотрите на ценник. $200 в месяц. Кому-то нормально, конечно, но если костыли работают очень давно, то это уже не костыли, а "исторически сложившаяся архитектура".
🔹 В RAM добавились кастомные политики расшаривания. То есть можно ограничить расшаренное в какой-то аккаунт, отдавая лишь кусочек нужного функционала. Не шибко применимо на сейчас, но супер круто на потом.
🔸 В S3 наконец-то сделали по дефолту ACL выключенным, а бакеты приватными, ура, свершилось! Хотя ещё в четверг пробовал, не было. Теперь можно удалять раздражающие блоки
aws_s3_bucket_public_access_block и aws_s3_bucket_ownership_controls для каждого бакета.🔹 Amazon Verified Access вышел в GA. Классный, крутой и полезный сервис. Если бы не цена. 200$ в месяц за то, что ваши девопсы не осилили настроить AWS ALB + SSO через Cognito — такое себе удовольствие.
🔸 В поддержку добавили корейский. Это не важно? Ну, как сказать. Тот нечастый случай, когда завидуешь гражданам КНДР.
🔹 В EC2 для AMD виртуалок завезли поддержку SEV-SNP. Если кому-то этот странный набор букв кажется не слишком важным, то, поверьте, это очень важно — расскажу в следующем посте.
#top #week
👍12🔥5🥰3
Confidential Computing
Confidential Computing, если говорить упрощённо, это способ запуска своей виртуалки или приложения таким образом, что остальные части — гипервизор, хостовая ОС или условный BIOS (в общем, всё, что "выше" и можно подвести под термин "Cloud Provider") — не имеют доступа к вашей информации. Реализуется это на уровне процессора, когда память шифруется на лету, т.е. в DRAM сохраняется уже в зашифрованном виде и расшифровывается при чтении. Ключи шифрования не покидают процессор и вы можете проконтролировать этот процесс.
История
Intel в 2015-м году выпустил первые процессоры с Intel SGX, технологией, позволяющей на программном уровне внутри ОС или виртуалки создать шифрованную область, которая аппаратно защищена от любых других процессов.
AMD выбрала другой путь и в 2016-м выпустила процессоры с AMD SEV, шифрующие всю память на уровне виртуалки. Это намного удобней — нет специальных драйверов и разработки на уровне приложений. Кроме того такой подход позволяет обезопасить уже имеющиеся нагрузки (легаси) да и просто "облачней".
Каждый из конкурирующих вариантов имел проблемы. Intel SGX ломали столько раз, что Intel даже задеприкейтила эту технологию, начиная с десктопных процессоров 11-го поколения. AMD SEV не шифровал регистры при переключении, потому через год появился AMD SEV-ES. Проигрывая Intel по части отсутствия контроля целостности памяти, в 20-м году с выходом Zen3 появился функционал AMD SEV-SNP, который закрыл эту проблему.
Intel тоже активно работал, штопая дыры и клепая версии Intel SGX. Первая позволяла защитить лишь маленькую область данных 128/256МБ, потому появилась Intel SGX Scalable, увеличив объём до 1 ТБ. Технология Intel SGX осталась в серверных процессорах и имеет на текущий момент уже третью версию драйвера. Догоняя AMD в популярном подходе шифрования на уровне виртуалки, она выпустила Intel TDX, доступный в последнем поколении серверных процессоров.
Итого на сегодня для реализации Confidential Computing для x86 имеем:
▫️ AMD SEV-SNP, построенная на базе AMD SEV и AMD SEV-ES — начиная с Zen3 (2021)
▫️ Intel TDX, построенная на базе Intel SGX — начиная с 4th Gen Intel Xeon Scalable processors (2022)
▪️ А что же для ARM? У ARM давно есть технология TrustZone, однако она имеет ограничения схожие с Intel SGX. В будущих процессорах ARM v9 это будет реализовано с помощью ARM CCA (Confidential Computing Architecture), то есть на текущий момент это лишь планы (2023+).
▪️ Наконец, Nvidia тоже с недавнего времени старается решить этот вопрос и год назад реализовала функционал Confidential Computing в NVIDIA H100 Tensor Core GPU (2022).
Итого, четыре крупных игрока, три из которых уже имеют решения для Confidential Computing.
А что же AWS? Амазон пошёл другим путём, по принципу сходным с Intel SGX, реализовав технологию AWS Nitro Enclaves, позволяющую создать защищённую область внутри EC2 виртуалки. Её тоже можно удалённо аттестировать, однако в отличие от Intel, у AWS имеется техническая возможность получить доступ к данным внутри, поэтому реализовать ZeroTrust подход невозможно, т.к. в трастовых всегда будет AWS как провайдер. В том числе поэтому спектр применения AWS Nitro Enclaves достаточно узкий.
👉 Продолжение следует.
#ConfidentialComputing
Confidential Computing, если говорить упрощённо, это способ запуска своей виртуалки или приложения таким образом, что остальные части — гипервизор, хостовая ОС или условный BIOS (в общем, всё, что "выше" и можно подвести под термин "Cloud Provider") — не имеют доступа к вашей информации. Реализуется это на уровне процессора, когда память шифруется на лету, т.е. в DRAM сохраняется уже в зашифрованном виде и расшифровывается при чтении. Ключи шифрования не покидают процессор и вы можете проконтролировать этот процесс.
История
Intel в 2015-м году выпустил первые процессоры с Intel SGX, технологией, позволяющей на программном уровне внутри ОС или виртуалки создать шифрованную область, которая аппаратно защищена от любых других процессов.
AMD выбрала другой путь и в 2016-м выпустила процессоры с AMD SEV, шифрующие всю память на уровне виртуалки. Это намного удобней — нет специальных драйверов и разработки на уровне приложений. Кроме того такой подход позволяет обезопасить уже имеющиеся нагрузки (легаси) да и просто "облачней".
Каждый из конкурирующих вариантов имел проблемы. Intel SGX ломали столько раз, что Intel даже задеприкейтила эту технологию, начиная с десктопных процессоров 11-го поколения. AMD SEV не шифровал регистры при переключении, потому через год появился AMD SEV-ES. Проигрывая Intel по части отсутствия контроля целостности памяти, в 20-м году с выходом Zen3 появился функционал AMD SEV-SNP, который закрыл эту проблему.
Intel тоже активно работал, штопая дыры и клепая версии Intel SGX. Первая позволяла защитить лишь маленькую область данных 128/256МБ, потому появилась Intel SGX Scalable, увеличив объём до 1 ТБ. Технология Intel SGX осталась в серверных процессорах и имеет на текущий момент уже третью версию драйвера. Догоняя AMD в популярном подходе шифрования на уровне виртуалки, она выпустила Intel TDX, доступный в последнем поколении серверных процессоров.
Итого на сегодня для реализации Confidential Computing для x86 имеем:
▫️ AMD SEV-SNP, построенная на базе AMD SEV и AMD SEV-ES — начиная с Zen3 (2021)
▫️ Intel TDX, построенная на базе Intel SGX — начиная с 4th Gen Intel Xeon Scalable processors (2022)
▪️ А что же для ARM? У ARM давно есть технология TrustZone, однако она имеет ограничения схожие с Intel SGX. В будущих процессорах ARM v9 это будет реализовано с помощью ARM CCA (Confidential Computing Architecture), то есть на текущий момент это лишь планы (2023+).
▪️ Наконец, Nvidia тоже с недавнего времени старается решить этот вопрос и год назад реализовала функционал Confidential Computing в NVIDIA H100 Tensor Core GPU (2022).
Итого, четыре крупных игрока, три из которых уже имеют решения для Confidential Computing.
А что же AWS? Амазон пошёл другим путём, по принципу сходным с Intel SGX, реализовав технологию AWS Nitro Enclaves, позволяющую создать защищённую область внутри EC2 виртуалки. Её тоже можно удалённо аттестировать, однако в отличие от Intel, у AWS имеется техническая возможность получить доступ к данным внутри, поэтому реализовать ZeroTrust подход невозможно, т.к. в трастовых всегда будет AWS как провайдер. В том числе поэтому спектр применения AWS Nitro Enclaves достаточно узкий.
👉 Продолжение следует.
#ConfidentialComputing
❤10👍4
☁️ Confidential Computing на AWS
https://aws.amazon.com/about-aws/whats-new/2023/04/amazon-ec2-amd-sev-snp/
Многие годы скептики переезда в облака и, в частности, в AWS, имели три железных аргумента:
1️⃣ Не доверяю этим вашим облакам, которые где-то там. Только настоящее железо у себя в серверной!
Появление AWS Outposts закрыло этот аргумент — можно поставить себе в серверную кусочек собственного и при этом настоящего AWS.
https://aws.amazon.com/outposts/
2️⃣ А ключи шифрования-то лежат у облачного провайдера, захочет — расшифрует!
Появление AWS XKS закрыло и этот аргумент — теперь в качестве AWS KMS можно использовать собственный ключ, который не будет покидать вашей серверной.
https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/
3️⃣ Всё равно провайдер, если захочет или если от него потребуют — получит доступ к вашим данным!
Появление поддержки AMD SEV-SNP закрыло и этот аргумент — создав виртуалку
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snp-attestation.html
И это реально круто. 💪
💰 Круто и недорого — за поддержку AMD SEV-SNP придётся доплатить 10% от стоимости виртуалки, а значит минимальная обойдётся в 60$/месяц. Теперь можно выполнять даже самые жестокие требования регуляторов.
🌤️ Но главное, повторюсь, у скептиков переезда в AWS из-за опасений по части безопасности не осталось аргументов — есть любые варианты. Можно спорить о цене и других моментах, но вопрос с безопасностью железно закрыт во всех смыслах.
👉 Продолжение следует
Часть 1 - Confidential Computing
#ConfidentialComputing
29 апреля 2023 компания AWS официально вступила в клуб Confidential Computing.https://aws.amazon.com/about-aws/whats-new/2023/04/amazon-ec2-amd-sev-snp/
Многие годы скептики переезда в облака и, в частности, в AWS, имели три железных аргумента:
1️⃣ Не доверяю этим вашим облакам, которые где-то там. Только настоящее железо у себя в серверной!
Появление AWS Outposts закрыло этот аргумент — можно поставить себе в серверную кусочек собственного и при этом настоящего AWS.
https://aws.amazon.com/outposts/
2️⃣ А ключи шифрования-то лежат у облачного провайдера, захочет — расшифрует!
Появление AWS XKS закрыло и этот аргумент — теперь в качестве AWS KMS можно использовать собственный ключ, который не будет покидать вашей серверной.
https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/
3️⃣ Всё равно провайдер, если захочет или если от него потребуют — получит доступ к вашим данным!
Появление поддержки AMD SEV-SNP закрыло и этот аргумент — создав виртуалку
c6a/m6a/r6a в Ирландии или Огайо, её можно аттестовать и убедиться, что AWS не имеет доступа к данным в ней на аппаратном уровне.https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snp-attestation.html
И это реально круто. 💪
💰 Круто и недорого — за поддержку AMD SEV-SNP придётся доплатить 10% от стоимости виртуалки, а значит минимальная обойдётся в 60$/месяц. Теперь можно выполнять даже самые жестокие требования регуляторов.
🌤️ Но главное, повторюсь, у скептиков переезда в AWS из-за опасений по части безопасности не осталось аргументов — есть любые варианты. Можно спорить о цене и других моментах, но вопрос с безопасностью железно закрыт во всех смыслах.
👉 Продолжение следует
Часть 1 - Confidential Computing
#ConfidentialComputing
👍19🎉3❤1
Forwarded from AWS Weekly (Max Skutin)
▪️ AppSync GraphQL Private API
▪️ Aurora Serverless v1 PostgreSQL 13
▪️ Aurora Serverless v2 +4 regions
▪️ Backup cross-region backups +4 regions
▪️ Batch dashboard customization on the console
▪️ CloudWatch Metric Streams filtering by metric name
▪️ CloudWatch Synthetics Synthetics NodeJS runtime version 4.0
▪️ Compute Optimizer
▫️ filtering by tags
▫️ identifies and filters Microsoft SQL Server workloads
▪️ Сonfig +23 resource types
▪️ Connect forecasting, capacity planning, and scheduling is now available in Canada Central
▪️ Console Mobile Application launches push notifications
▪️ Console Web User Notifications general availability
▪️ Device Farm Rooted Android Private Devices
▪️ Direct Connect new location in Phoenix
▪️ EC2 VSS application-consistent backups now supports PowerShell logging
▪️ EFS Replication is now available in all AWS Regions
▪️ Elemental MediaConnect SRT failover support
▪️ Elemental MediaConvert video passthrough
▪️ EMR on EKS
▫️ self-hosted notebooks for managed endpoints
▫️ vertical autoscaling to auto-tune application resources
▪️ GuardDuty Malware Protection on-demand scanning
▪️ Health now publishes service health events to EventBridge in primary and backup Regions
▪️ Inspector now allows customers to search its vulnerability intelligence database
▪️ IoT Core TLS 1.3 support through Configurable Endpoints
▪️ Kendra content-based query suggestions
▪️ Local Zones in Auckland is GA
▪️ MSK Kafka version 3.4.0
▪️ Network Firewall
▫️ Reject action in stream exception policy
▫️ Suricata HOME_NET variable override
▪️ OpenSearch Service Multi-AZ with Standby
▪️ QuickSight launches dataset parameters to optimize slicing and dicing experiences
▪️ RDS for PostgreSQL pgvector for simplified ML model integration
▪️ Redshift ra3.xlplus instances in Middle East, Europe and Asia Pacific Regions
▪️ Rekognition
▫️ face occlusion detection to improve identity verification accuracy
▫️ improves accuracy of content moderation for images and videos
▪️ Resilience Hub Trusted Advisor and Amazon DynamoDB support
▪️ Route 53 Application Recovery Controller Zonal shift + 18 Regions
▪️ SageMaker ml.inf2 and ml.trn1 instances for model deployment
▪️ Sagemaker Data Wrangler image data preparation
▪️ Security Hub
▫️ +4 integration partners
▫️ detailed tracking of finding changes with finding history feature
▪️ SimSpace Weaver Snapshots generally available
▪️ SNS
▫️ FIFO topics +5 regions
▫️ message data protection +5 regions
▪️ VPC IP Address Manager (IPAM) +2 regions
▪️ Well-Architected Tool Service Catalog AppRegistry integration
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1