Deutsche AWS Enterprise Summit am 24. März 2015

Am 24. März 2015 findet in Frankfurt die erste AWS Enterprise Summit statt. Diese kostenlose 1 Tagesveranstaltung richtig sich an Unternehmen, die Interesse an einem Einstieg in die Amazon AWS Cloud haben.

tecRacer wird als Silver Sponsor mit einem eigenen Stand vertreten sein.

Wir freuen uns besonders, dass unser langjähriger Kunde Herr Barthelmes von B.Braun Aesculap einen Vortrag über unser aktuelles Projekt „Aesculap Academy Website Framework goes AWS“ halten wird.

Eine ausführliche Agenda und die Anmeldung finden Sie hier: http://aws.amazon.com/de/campaigns/event-enterprise/

 

Management von n-AWS-Accounts … manchmal hilft Aussitzen

Als autorisierter AWS Managed Service Provider verwalten wir inzwischen richtig viele AWS Accounts für unsere Kunden.

Abrechnungs-technisch ist das Handling von n-AWS Accounts im Rahmen von Consolidated Billing kein Problem, wenn man die Feinheiten verstanden hat … dazu vielleicht mal mehr an anderer Stelle.

Unsere Kollegen im Managed Services Team müssen allerdings stets zwischen diversen AWS Accounts hin und her wechseln. Bisher haben wir das so gelöst, dass die Kollegen in jedem AWS Account einen eigenen IAM-User mit entsprechenden Rechten hatten … und durch das hervorragende Tool 1Password war der Login-Prozess für die Kollegen handhabbar, allerdings war die ständige Eingabe der Tokens im Rahmen der Multi-Factor Authentication sehr nervig.

Gewünscht haben wir uns immer eine zentrale Userverwaltung und ein zentraler Login für alle AWS Accounts. Auf reiner API-Ebene war das schon lange möglich … und man hätte sich damit eine Lösung bauen können wie z.B. diese hier … oder man hätte auch 3rd-Party-Tools von z.B. Okta oder PingOne nehmen können. War aber alles nicht perfekt.

Das Gute an AWS ist, das stets was Neues kommt und wenn man wartet, ist irgendwann die Lösung da. Deswegen hilft bei AWS manchmal auch die Strategie des Aussitzens …

Seit dem 7. Januar unterstützt AWS Offiziell Cross-Account Access in the AWS Management Console.

Alle unsere Kollegen sind nun als IAM-User in einem dedizierten Management-Account angelegt und melden sich da natürlich mittels MFA-Token an. Über entsprechende Links und definierte Rollen haben die Kollegen dann einen Zugang zu den anderen AWS Accounts.

Kommt spät, ist aber gut, danke AWS.

Public Cloud Outages Fewer in 2014

Outages von Cloud-Diensten sind absolut ärgerlich. Im November gab es z.B. einen globalen Ausfall von VisualStudio Online … und ein Programmierer-Team von 4 Leuten konnte an diesem Tag bei uns nicht richtig an einem .NET Projekt weiterentwickeln …

In diesem Artikel wird ein sehr guter Überblick über die Situation der Outages in 2014 bei den grossen Cloud-Providern gegeben.

Einige kommen nicht wirklich gut dabei weg, zu AWS allerdings wird folgendes geschrieben:

Although Amazon Web Services Elastic Compute Cloud (EC2) fared the best overall of the major cloud infrastructure-as-a-service (IaaS) providers with 2.43 hours of downtime total across all regions, based on reports from CloudHarmony

Fatale Abhängigkeiten und Angriffe (aus dem Leben eines Chef / OpsWorkers)

Gestern Abend haben wir noch die letzten Anpassungen am X-OpsWorks-Projekt vorgenommen und noch ein paar Kleinigkeiten optimiert.

Gegen 23:45, als wir gerade die Aktualisierungen auf die letzten Instanzen deployen wollte, mussten wir feststellen, dass keine Deployments mehr möglich waren.

Ursache hierfür war die Nichterreichbarkeit von Rubygems.org, welche von OpsWorks benötigt wird um die entsprechenden Abhängigkeiten für Ruby, sowie der Chef-Module herunterzuladen und zu installieren.

Nach ein wenig Recherche konnten wir herausfinden, dass der Dienst DNSimple, welcher von Rubygems.org genutzt wird, unter weltweiten massiven DDoS-Attacken litt.

Auszug aus http://dnsimplestatus.com/

Update – Our network provider is presently working on increasing capacity to deal with the flood of traffic. We will continue to post updates as we have more details.
Dec 1, 20:42 UTC

Update – We are still working with our network provider to mitigate the volume of traffic and will post more details here as we have them.
Dec 1, 20:21 UTC

UpdateThis attack is volumetric in nature. While we have measures in place for DDoS attacks, they have been overwhelmed by the volume of this attack.
Dec 1, 20:03 UTC

Identified – We have identified a DDoS attack and are working with our network provider to mitigate it.
Dec 1, 19:45 UTC

Investigating – We are seeing DNS connection timeouts on all systems. Currently investigatin

 

Die Attacken auf den Dienst dauerten schon einige Stunden an. Rubygems nutzt zum großteil AWS Ressourcen, unter anderem auch EC2 und CloudFront, hat allerdings die DNS-Verwaltung auf den ServiceDNSimple ausgelagert.

Bis heute morgen um 08:15 waren keine Deployments in OpsWorks dadurch möglich, somit konnten keine neuen Instanzen initialisiert werden und in bestimmten Fällen auch keine bestehenden Instanzen aktualisiert werden.

Dies scheint auch wieder ein gutes Beipiel zu sein, dass das Risiko-Management nicht optimal lief. Wir fragen uns eigentlich nur, warum Rubygems nicht Route 53 genutzt hat, wo doch schon alle anderen Ressourcen auch überwiegend in AWS gehostet sind.

 

AWS Key Management Service … Verschlüsselung leicht gemacht

Auf der re:Invent in Las Vegas hatte Amazon Web Services jüngst den neuen Key Management Service vorgestellt.

Mit dem Key Management Service (KMS) können Kunden in ihrem AWS Account pro AWS-Region eigene Customer Master Keys erstellen und diese nutzen, um damit sehr einfach EBS-Laufwerke, S3-Daten und Redshift-Datenbanken mit AES-256 zu verschlüsseln.

Nun ist der KMS ein gemanagter Service und es stellt sich die entscheidene Frage, ob AWS Zugriff auf die Customer Master Keys hat. AWS sagt aus, dass der KMS so konzipiert wurde, dass ein Zugriff von AWS Mitarbeitern auf die Keys nicht möglich ist.


Can AWS employees access my keys in AWS KMS?

AWS KMS is designed so that no one has access to your master keys. The service is built on systems that are designed to protect your master keys with extensive hardening techniques such as never storing plaintext master keys on disk, not persisting them in memory, and limiting which systems can connect to the device. All access to update software on the service is controlled by a multi-level approval process that is audited and reviewed by an independent group within Amazon.

More details about these security controls can be found in the AWS KMS Cryptographic Details whitepaper. In addition, you can request a copy of the Service Organization Controls (SOC) report available from AWS Compliance to learn more about security controls AWS uses to protect your data and master keys.

Ich persönlich bin sehr froh über diesen neuen KMS Service … warum, möchte ich wie folgt darstellen … es ist aber nur meine persönliche Meinung und stellt keinerlei Rechtsberatung dar …

Probleme  bei Speicherung personenbezogener Daten

Einige Datenschutzbeauftragte sahen in der Vergangenheit folgendes Problem bei der Speicherung von personenbezogenen Daten bei AWS:

  • AWS bietet für die AWS-Accounts Support an, der entsprechend weltweit wegen 24×7 rollierend ist.
  • AWS-Support-Mitarbeiter ausserhalb von Europa haben somit einen entsprechenden Zugriff auf AWS-Ressoucen der Kunden und könnten ggf. somit auch einen theoretischen Zugriff auf personenbezogene Daten haben.
  • AWS hatte zwar bereits in der Vergangenheit betont und auch auf Anfrage zugesichert, dass durch das entsprechende Design der Systeme dieses gar nicht nicht möglich sei, da die AWS-Support Mitarbeiter die AWS-Ressourcen nur von aussen als Infrastruktur sehen können und daher niemals Zugriff direkt auf die Daten der Kunden haben …

Key Management Service löst Datenschutzprobleme

Das alles aber war immer wieder ein Diskussionspunkt. der manche Projekte nicht gerade leichter gemacht hat … durch den Einsatz von Verschlüsselung mittels des AWS KMS wird dieses Problem nun eigentlich obsolet … so zumindest meine Hoffnung 😉

Unabhängig von dem AWS Key Management Service kann man natürlich mittels des AWS Services CloudHSM eigene dedizierte Hardware bei AWS für die Speicherung von privaten Keys anfordern, bei der AWS technisch überhaupt gar keine Möglichkeit hat, an die privaten Keys heranzukommen … das ist aber entsprechend aufwändig zu implementieren, da entsprechende 3rd-Party Software für die Verschlüsselung verwendet werden muss und damit das eine oder andere Budget gesprengt wird.

AWSome Days RoadShow

In den letzten 2 Wochen waren wir auf Tour und haben gemeinsam mit AWS Deutschland die CloudSchool in Hamburg, Berlin, Frankfurt und München durchgeführt.

Die Resonanz und das Feedback der Teilnehmer war überwältigend. Hier ein paar Impressionen:

AWSome Days in Frankfurt im Messeturm:

AWSome Days Frankfurt AWS Cloudschool

AWSome Days München im AWS Office:

AWSome Days 2014 Munich AWS Cloudschool

AWSome Days Hamburg in der Hafencity:

AWSome Days Hamburg 2014, Hafencity

tecRacer ist AWS Premier Consulting Partner 2015

Auf der diesjährigen Amazon Web Services Konferenz re:Invent vom 11.-14. November in Las Vegas wurde tecRacer erneut ausgezeichnet. Wir sind jetzt

AWS Premier Consulting Partner 2015

AWS_Premier_Consulting_Partner


Damit steht tecRacer nun in einer Reihe mit weltweit nur 28 Unternehmen, die sich im Amazon Partner Network durch besondere Standards und Qualifizierungen hervorheben. tecRacer ist dabei der einzige Partner aus Deutschland. Auf ihrer Webseite schreibt Amazon Web Services:

AWS Premier Partner 2015The AWS Premier Consulting Partner tier highlights the top APN Consulting partners globally that have invested significantly in their AWS practice, have extensive experience in deploying customer solutions on AWS, have a strong bench of trained and certified technical consultants, have at least one APN Competency, have expertise in project management, and have a healthy revenue-generating consulting business on AWS.

tecRacer sagt Danke

Amazon AWS Region Frankfurt

Seit 23. Oktober ist AWS auch mit einer eigenen Region in Deutschland vertreten. Amazon Web Services trägt damit dem Bedürfnis vieler Kunden nach einer sicheren Datenspeicherung im eigenen Land Rechnung.

Da wir auf dem AWS Partnertag auf der „Launchparty“ waren, kommt erst jetzt mein kurzer Beitrag dazu …

Neu bei AWS: die Region Frankfurt - German Datacenter

 

Die AWS Region Frankfurt ist ca. 8% teurer als die Region Irland, die geringere Latenzzeit und das Gefühl, das die Daten gleich um die Ecke sind, sollte das aber wert sein.

AWS hat gleichzeitig einige sehr umfassende deutschsprachige Whitepaper zum Thema Datensicherheit und Datenschutz veröffentlicht:

tecRacer zum 3. Mal auf der re:Invent in Las Vegas

Dieses Jahr findet zum 3. Mal die jährliche Amazon Web Services Konferenz re:Invent vom 11.-14. November in Las Vegas statt.

aws-reinvent-logo

Wie in den vergangen Jahren sind auch Mitarbeiter von tecRacer vor Ort dabei … die Deutsche Community ist ja in der Vergangenheit in nur geringer Anzahl vertreten gewesen … wir würden uns über ein gemeinsames Bier vor Ort im fernen Las Vegas sehr freuen.