Fatale Abhängigkeiten und Angriffe (aus dem Leben eines Chef / OpsWorkers)

Gestern Abend haben wir noch die letzten Anpassungen am X-OpsWorks-Projekt vorgenommen und noch ein paar Kleinigkeiten optimiert.

Gegen 23:45, als wir gerade die Aktualisierungen auf die letzten Instanzen deployen wollte, mussten wir feststellen, dass keine Deployments mehr möglich waren.

Ursache hierfür war die Nichterreichbarkeit von Rubygems.org, welche von OpsWorks benötigt wird um die entsprechenden Abhängigkeiten für Ruby, sowie der Chef-Module herunterzuladen und zu installieren.

Nach ein wenig Recherche konnten wir herausfinden, dass der Dienst DNSimple, welcher von Rubygems.org genutzt wird, unter weltweiten massiven DDoS-Attacken litt.

Auszug aus http://dnsimplestatus.com/

Update – Our network provider is presently working on increasing capacity to deal with the flood of traffic. We will continue to post updates as we have more details.
Dec 1, 20:42 UTC

Update – We are still working with our network provider to mitigate the volume of traffic and will post more details here as we have them.
Dec 1, 20:21 UTC

UpdateThis attack is volumetric in nature. While we have measures in place for DDoS attacks, they have been overwhelmed by the volume of this attack.
Dec 1, 20:03 UTC

Identified – We have identified a DDoS attack and are working with our network provider to mitigate it.
Dec 1, 19:45 UTC

Investigating – We are seeing DNS connection timeouts on all systems. Currently investigatin

 

Die Attacken auf den Dienst dauerten schon einige Stunden an. Rubygems nutzt zum großteil AWS Ressourcen, unter anderem auch EC2 und CloudFront, hat allerdings die DNS-Verwaltung auf den ServiceDNSimple ausgelagert.

Bis heute morgen um 08:15 waren keine Deployments in OpsWorks dadurch möglich, somit konnten keine neuen Instanzen initialisiert werden und in bestimmten Fällen auch keine bestehenden Instanzen aktualisiert werden.

Dies scheint auch wieder ein gutes Beipiel zu sein, dass das Risiko-Management nicht optimal lief. Wir fragen uns eigentlich nur, warum Rubygems nicht Route 53 genutzt hat, wo doch schon alle anderen Ressourcen auch überwiegend in AWS gehostet sind.

 

AWS Key Management Service … Verschlüsselung leicht gemacht

Auf der re:Invent in Las Vegas hatte Amazon Web Services jüngst den neuen Key Management Service vorgestellt.

Mit dem Key Management Service (KMS) können Kunden in ihrem AWS Account pro AWS-Region eigene Customer Master Keys erstellen und diese nutzen, um damit sehr einfach EBS-Laufwerke, S3-Daten und Redshift-Datenbanken mit AES-256 zu verschlüsseln.

Nun ist der KMS ein gemanagter Service und es stellt sich die entscheidene Frage, ob AWS Zugriff auf die Customer Master Keys hat. AWS sagt aus, dass der KMS so konzipiert wurde, dass ein Zugriff von AWS Mitarbeitern auf die Keys nicht möglich ist.


Can AWS employees access my keys in AWS KMS?

AWS KMS is designed so that no one has access to your master keys. The service is built on systems that are designed to protect your master keys with extensive hardening techniques such as never storing plaintext master keys on disk, not persisting them in memory, and limiting which systems can connect to the device. All access to update software on the service is controlled by a multi-level approval process that is audited and reviewed by an independent group within Amazon.

More details about these security controls can be found in the AWS KMS Cryptographic Details whitepaper. In addition, you can request a copy of the Service Organization Controls (SOC) report available from AWS Compliance to learn more about security controls AWS uses to protect your data and master keys.

Ich persönlich bin sehr froh über diesen neuen KMS Service … warum, möchte ich wie folgt darstellen … es ist aber nur meine persönliche Meinung und stellt keinerlei Rechtsberatung dar …

Einige Datenschutzbeauftragte sahen in der Vergangenheit folgendes Problem bei der Speicherung von personenbezogenen Daten bei AWS:

  • AWS bietet für die AWS-Accounts Support an, der entsprechend weltweit wegen 24×7 rollierend ist.
  • AWS-Support-Mitarbeiter ausserhalb von Europa haben somit einen entsprechenden Zugriff auf AWS-Ressoucen der Kunden und könnten ggf. somit auch einen theoretischen Zugriff auf personenbezogene Daten haben.
  • AWS hatte zwar bereits in der Vergangenheit betont und auch auf Anfrage zugesichert, dass durch das entsprechende Design der Systeme dieses gar nicht nicht möglich sei, da die AWS-Support Mitarbeiter die AWS-Ressourcen nur von aussen als Infrastruktur sehen können und daher niemals Zugriff direkt auf die Daten der Kunden haben …

Das alles aber war immer wieder ein Diskussionspunkt. der manche Projekte nicht gerade leichter gemacht hat … durch den Einsatz von Verschlüsselung mittels des AWS KMS wird dieses Problem nun eigentlich obsolet … so zumindest meine Hoffnung ;-)

Unabhängig von dem AWS KMS kann man natürlich mittels des AWS Services CloudHSM eigene dedizierte Hardware bei AWS für die Speicherung von privaten Keys anfordern, bei der AWS technisch überhaupt gar keine Möglichkeit hat, an die privaten Keys heranzukommen … das ist aber entsprechend aufwändig zu implementieren, da entsprechende 3rd-Party Software für die Verschlüsselung verwendet werden muss und damit das eine oder andere Budget gesprengt wird.

AWSome Days RoadShow

In den letzten 2 Wochen waren wir auf Tour und haben gemeinsam mit AWS Deutschland die CloudSchool in Hamburg, Berlin, Frankfurt und München durchgeführt.

Die Resonanz und das Feedback der Teilnehmer war überwältigend. Hier ein paar Impressionen:

Frankfurt im Messeturm:

AWSome-Frankfurtx490

München im AWS Office:

AWSome-Muenchenx490

Hamburg in der Hafencity:

AWSome-HHx490

tecRacer ist AWS Premier Consulting Partner 2015

Auf der diesjährigen Amazon Web Services Konferenz re:Invent vom 11.-14. November in Las Vegas wurde tecRacer erneut ausgezeichnet. Wir sind jetzt

AWS Premier Consulting Partner 2015

AWS_Premier_Consulting_Partner

Damit steht tecRacer nun in einer Reihe mit weltweit nur 28 Unternehmen, die sich im Amazon Partner Network durch besondere Standards und Qualifizierungen hervorheben. tecRacer ist dabei der einzige Partner aus Deutschland. Auf ihrer Webseite schreibt Amazon Web Services:

AWS Premier Partner 2015The AWS Premier Consulting Partner tier highlights the top APN Consulting partners globally that have invested significantly in their AWS practice, have extensive experience in deploying customer solutions on AWS, have a strong bench of trained and certified technical consultants, have at least one APN Competency, have expertise in project management, and have a healthy revenue-generating consulting business on AWS.

tecRacer sagt Danke

Amazon AWS Region Frankfurt

Seit 23. Oktober ist AWS auch mit einer eigenen Region in Deutschland vertreten. Amazon Web Services trägt damit dem Bedürfnis vieler Kunden nach einer sicheren Datenspeicherung im eigenen Land Rechnung.

Da wir auf dem AWS Partnertag auf der “Launchparty” waren, kommt erst jetzt mein kurzer Beitrag dazu …

Neu bei AWS: die Region Frankfurt - German Datacenter

 

Die AWS Region Frankfurt ist ca. 8% teurer als die Region Irland, die geringere Latenzzeit und das Gefühl, das die Daten gleich um die Ecke sind, sollte das aber wert sein.

AWS hat gleichzeitig einige sehr umfassende deutschsprachige Whitepaper zum Thema Datensicherheit und Datenschutz veröffentlicht:

tecRacer zum 3. Mal auf der re:Invent in Las Vegas

Dieses Jahr findet zum 3. Mal die jährliche Amazon Web Services Konferenz re:Invent vom 11.-14. November in Las Vegas statt.

aws-reinvent-logo

Wie in den vergangen Jahren sind auch Mitarbeiter von tecRacer vor Ort dabei … die Deutsche Community ist ja in der Vergangenheit in nur geringer Anzahl vertreten gewesen … wir würden uns über ein gemeinsames Bier vor Ort im fernen Las Vegas sehr freuen.

AWS Virtual Cloud Summit 2014

AWS Virtual Cloud Summit 2014Am 4. November 2014 lädt Amazon Web Services zu seinem ersten Virtual Cloud Summit ein.
Damit bietet sich für alle, die den AWS Summit Berlin in diesem Jahr verpasst haben, ein erneute Möglichkeit, sich mit der AWS Cloud vertraut zu machen und individuelle Fragen zu klären.

Vorträge und Webinare von Cloudexperten

Interessierte Teilnehmer erwarten über 30 Vorträge von AWS-Experten rund um die Cloud . Im Chat können Cloudexperten zu persönlichen Anliegen befragt werden. Amazon präsentiert aktuelle AWS Trainings und Webinare und stellt Jobangebote für Cloudexperten vor.
Vortragende sind unter anderem

  • Martin Geier
  • Bertram Dorn und
  • Andreas Wittig

Virtual Cloud Summit 2014 – Highlights

  • 32 Sessions
  • Experten-Chat
  • Trainings mit AWS
  • Kundenvorträge

Kostenlose Anmeldung zum AWS Virtual Cloud Summit

Die Teilnahme am AWS Virtual Cloud Summit 2014 ist kostenlos. Weitere Informationen und die Anmeldung zum Event finden Sie unter
AWS-summit.de

 

tecRacer wurde von AWS mit der Managed Service Provider Kompetenz ausgezeichnet

Als erster deutscher AWS Partner wurde tecRacer nun von Amazon Web Services mit der “Managed Service Provider” Kompetenz ausgezeichnet.

“APN Partners who’ve attained the MSP Competency have demonstrated success in fully managing their customers’ AWS-based infrastructure, associated databases, and applications deployed on AWS.”

Damit trägt Amazon Web Services unser mehr als 2-jährigen Erfahrung beim AWS Managed Hosting unserer mehr als 30 Kunden Rechnung.

http://www.aws-partner-directory.com/PartnerDirectory/PartnerDetail?Name=tecRacer

AWS Cloudwatch Logs nun auch in Irland verfügbar

AWS Cloudwatch Logs ist nicht Cloudwatch … sondern ist ein neuer Service innerhalb von Cloudwatch. Bei Cloudwatch Logs kann man diverse Log-Dateien direkt nach AWS Cloudwatch Logs streamen (bzw. uploaden). Dabei ist es eigentlich egal, ob dies Log-Dateien auf EC2-Instanzen oder auf anderen OnPremise-Servern sind (z.B. Apache oder IIS-Logdateien).

Die Log-Dateien können dann für lange Zeit bei Cloudwatch Logs archiviert werden, dafür gelten die monatlichen Preise von S3 (0,03 USD / GB pro Monat.).

2014-10-07 16_10_35-CloudWatch Management Console

Für das “ingesting”, sprich das Uploaden/Streamen der Log-Dateien nach Cloudwatch Logs berechnet AWS 0,57 USD / GB in Irland.

In Cloudwatch Logs kann man dann entsprechende Alarme definieren, wenn beispielsweise Security relvante Sachen in den Log-Daten auftauchen.

Weitere Infos gibt es hier: