allesnurgecloud #31 – No Kubernetes bei ably, Simple Systeme, Security.txt und DSGVO Bußgeld

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

548 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

ably.com skaliert auch ohne Kubernetes

Ably.com ist ein Anbieter einer verteilten API und Messaging Plattform, welche nach eigenen Angaben über 550 Milliarden Nachrichten an über 250 Millionen User pro Monat übermittelt. Man staunt daher nicht schlecht, wenn Maik Zumstrull, Head of Infrastructure, erklärt, dass man mit Docker only auch gut klar kommt, je nach Use-Case.
Kubernetes skalieren wäre „doing mostly the same things, but in a more complicated way“. Die Applikationen von ably.com laufen alle in AWS auto-scaling VM Gruppen, denen die Applikationen dediziert zugeordnet sind. Das skalieren, sichern, deployen und überwachen der Umgebung sei so sehr viel einfacher als mit Kubernetes.
Mich erinnert das Ganze an einen „StackConf“ Vortrag von Rewe Digital zu Ihrem Setup auf der Google Cloud, ganz ohne Kubernetes (Zum StackConf Vortrag bei YouTube).
Der Ably Blog Eintrag hatte im Juli eine heiße Diskussion auf HackerNews ausgelöst, welche so populär wurde, dass die Blog Seiten von Ably ironischerweise für einige Zeit nicht erreichbar waren. Im News Artikel bei The Register findet ihr eine Zusammenfassung der Kommentare.

ably.com: No, we don’t use Kubernetes

Sponsored

Hier könnte Deine Werbung stehen

Du möchtest deine Firma, angebotene Dienstleistungen & Services, dein SaaS Produkt gerne hier im Newsletter vorstellen?
Oder eine Job Anzeige schalten?

Antworte mir einfach auf diesen Newsletter – danke.

Warum einfache Systeme weniger Downtime haben

Dieser Beitrag von Greg Kogan passt gut zum obigen „No Kubernetes“ Beitrag von ably.com.
Greg erklärt am Beispiel der Maersk Container Schiffe der Triple-E Klasse (ja genau, die Evergreen), dass einfache Systeme resilienter gegen Ausfälle sind. Da der Artikel aus dem März 2020 ist, wusste er noch nichts von der Suez Kanal Blockade.
Wie dem auch sei, das Ruder des Schiffes ist durch mehrfache Redundanz abgesichert.

  • Fällt der Autopilot aus, so kann man manuell übernehmen
  • Fällt die Elektronik zur manuellen Steuerung aus, so kann man die Pumpe im Maschinenraum von Hand steuern
  • Fällt die Hydraulik zur manuellen Steuerung aus, so gibt es eine mechanische Notsteuerung
  • Fällt die mechanische Notsteuerung aus, so kann man das Ruder mit Ketten manuell bedienen

Weniger komplexe und standardisierte Systeme sind auch hilfreich bei:

  • Wissenstransfers und Übergaben zwischen Teams und Mitarbeitern
  • Einarbeitungszeiten neuer Mitarbeiter
  • Troubleshooting ist in der Regel kürzer
  • Alternative und Fallback Lösungen häufig einfacher

Greg erklärt am Beispiel eines Startups mit einer selbst entwickelten „Insel“ Marketing Lösung die Probleme die entstehen können, wenn ein zentraler Know-How Träger eines solch komplexen Systems das Unternehmen verlässt und die Software dann auseinander fällt. Es macht daher in den seltensten Fällen Sinn, seine Systeme zu „over engineeren“.

Grek Kogan: Simple Systems Have Less Downtime

Debakel bei CDU Connect App geht weiter

In Ausgabe #19 hatte ich bereits über die von Lilith Wittmann gefundene Sicherheitslücke in der CDU Connect App und dem stümperhaften Umgang der CDU damit berichtet.
Lilith hat nun Post vom LKA Berlin erhalten, denn die CDU hat ein Ermittlungsverfahren eingeleitet. Dazu gab es Zwischenteitlich eine Klarstellung von Stefan Hennewig, dem Bundesgeschäftsführer der CDU.

Der Schaden ist nun allerdings schon angerichtet, denn er das Verfahren zeigt, dass selbst ein ordentlicher durchgeführtes Responsible-Disclosure Verfahren von Institutionen noch immer nicht ausschließlich positiv verwendet wird.
Der CCC hat in Konsequenz angekündigt, keine Sicherheitslücken mehr an die CDU zu melden, was unterm Strich für weniger Datensicherheit führt. Bei Netzpolitik finder ihr eine weitere Zusammenfassung der Historie und des Vorfalls.
Mittlerweile wurden neuen Lücken in der der CDU Connect App gefunden und veröffentlicht, auch andere Systeme werden nun genauer geprüft.
Lilith Wittmann bereitet derweil ihre Verteidigung vor, da das ganze ein teurer Spaß wird, kann man sie auf Patreon unterstützen und sich für ihren Einsatz bedanken.

Zeit.de: Danke für den Hinweis, Anzeige ist raus

Eigenes CDN in 5 Stunden selber bauen

Die Macher der Edge Computing Plattform fly.io haben auf ihrem Blog ein Tutorial zum Deployment eines egenen CDNs auf Basis von nginx veröffentlicht. Das Ganze soll in 5 Stunden stehen und die Grundfunktion eines CDNs abbilden: einen verteilten Reverse Proxy Cache.
Im Beispiel erfolgt die Verteilung auf den nächsten Edge Node via Anycast DNS auf der fly.io Plattform, darum muss man sich also nicht kümmern. Nebenbei erlernt man im Artikel auf einfache Art und Weise, wie ein CDN funktioniert.
Den nötigen Beispiel-Code für Fly und den nginx findet ihr auf GitHub.

fly.io: The 5-hour CDN

Happy Birthday, Internet!

Am 6. August 1991 stellte Tim Berners-Lee die erste Website ins Netz. Seitdem ist einiges passier, aber die Älteren unter euch waren vielleicht sogar dabei. Wie das damals auf dem NCSA Mosaic Browser, dem Vorgänger der Netscape Navigators, ausgesehen hat könnt ihr auf diesem Video sehen.
Die Seite des CERN ist heute immernoch online, ihr findet sie hier.
Alles Gute zum 30. Geburtstag!

Twitter Video: Happy 29th Birthday WWW

Security.txt – Robots.txt für Security

Security.txt ist ein Vorschlag für ein standardisiertes Kontaktverfahren bei Sicherheitsvorfällen mit einer Website.
Eine Beispiel Implementierung könnt ihr bei securitytxt.org direkt sehen.
Links zu HackerOne, OpenBugBounty oder Kontakt-Email Adressen sind genauso möglich wie Links zu Encryption Keys.
Den Draft bei der IETF gibt es schon länger, den Draft selbst könnt ihr euch hier ansehen.
Mit Hilfe des Formulars auf securitytxt.org könnt ihr euch eine eigene security.txt zusammenbauen. Diese könnt ihr dann direkt im Root eurer Website unter /security.txt oder unterhalb von /.well-kown/security.txt ablegen.

securitytxt.org

DSGVO Bußgeld aufgrund fehlender Updates

Der Betreiber eines Online Shops aus den Niederlanden muss 65.500€ Strafe zahlen, da er seine Shop Software nicht aktualisiert hat.
Man hat dies bei der Prüfung nach einem DSGVO Vorfall festgestellt, denn der Shop lief mit einer über 7 Jahre alten xt:Commerce Version. Die Passwörter der Kunden waren zudem nur mit MD5 gehashed abgelegt worden, was leider noch immer viel zu häufig passiert.
In der Regel sind hier nicht alleine die Unternehmen schuld, sondern die implementierenden Agenturen verfehlen manchmal ihren Aufklärungsauftrag.
Alles was online passiert, ist ständig in Bewegung, und nicht mit traditionellen Print und Werbemaßnahmen vergleichbar. Das Unternehmen benötigt also einen Wartungsvertrag für ein Onlineerzeugnis, regelmäßige Updates und Releasewechsel.
Gleiches gilt auch für den Einsatz von Standart Software wie Microsoft Exchange, eine Vielzahl der deutschen Exchange Server wurden seit dem März nicht gepatched. Der Online Security Scanner Shodan zeigt diese nun in einer Karte und listet die verwundbaren Patches direkt in der Suche.

heise.de: DSGVO-Bußgeld wegen des Betriebs einer Website mit veralteter Software

Konferenz Tipps 02/2021

In der zweiten Hälfte von 2021 gibt es auch wieder einige interessante Konferenzen zu besuchen, viele finden Hybrid oder rein virtuell statt – daher ist die Hürde zum Anmelden hoffentlich klein:

  • 21.-23.09.2021: ContainerDays: Hybrides Event, virtuell von überall, ansonsten in Hamburg, Infos auf containerdays.io
  • 11-15.10.2021: KubeCon und CloudNativeCon North America – findet virtuell statt, Infos siehe events.linuxfoundation.org
  • 12-14.10.2021: Google Cloud Next 21: Virtuell, leider parallel zur KubeCon – Infos und Anmeldung hier
  • 09.-11. November 2021: Open Source Monitoring Conference in Nürnberg (auch wirklich) – aktuell nur Warteliste – osmc.de

Welche habe ich vergessen? gerne per Mail antworten – danke.

Schmunzelecke

Auf gitmoji.dev findet ihr einen emoji guide für eure GIT Commit Nachrichten.

Wie die AWS Services eigentlich hätten heißen sollen, damit man sie nicht googlen muss oder ein Cheat-Sheet benötigt, erfahrt ihr hier: expeditedsecurity.com

💡 Link Tipps aus der Open Source Welt

Grafana Loki 2.3 released

Grafana Loki, das Prometheus für Logs, ist in der Version 2.3 veröffentlicht worden. In Tests waren wir mit der Performance nie zufrieden, diese soll nun bis zu 15 mal schneller sein, je nach Anwendungsfall.
Zusätzlich gibt es mit LogQL die Möglichkeit, unstrukturierte Logs einfacher zu parsen und in strukturierte Daten umzuwandeln. Über das Custom Retention Feature könnt ihr Logs mit verschiedenen Selektoren nun auch unterschiedlich Lange aufbewahren.

https://github.com/grafana/loki

osquery – SQL fähige Endpoint Datenbank

MIt osquery könnt ihr eure Server & Desktops inventarisieren und mittels SQL abfragen. Das Tool sammelt Fakten von Hosts über einen Daemon ein und stellt diese zentral bereit. Wiederkehrende Abfragen können automatisiert ausgeführt werden.
Beispielsweise „Zeige mir alle nicht verschlüsselten Home Partitionen“, „Zeige mir alle ROOT Logins der letzten 24 Stunden“ oder auch „Selektiere mir alle aktiven Prozesse ohne Binary“.
osquery gibt es für macOS, Linux, Windows und FreeBSD.

https://github.com/osquery/osquery

AWS Incident Response Playbooks

AWS hat einige Templates seiner Incident Response Playbooks Open-Source auf GitHub veröffentlicht.
Steht ihr bei dem Thema noch am Anfang? Dann schaut unbedingt mal rein.
Nichts ist schlimmer, als in einer extremen Stress-Situation wie „Unser Online Shop ist down“ ins Schwitzen zu kommen, weil man schlecht auf Incidents vorbereitet ist. Downtimes wird es immer gebe, egal ob OnPremise oder in der Cloud.
Die Playbooks behandeln eine DOS-Attacke, Ransomware VerschlüsselungCredential Verlust und Datenverlust (Public S3 Bucket, was sonst).

https://github.com/aws-samples/aws-incident-response-playbooks

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

548 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


  • Neueste Beiträge

  • Neueste Kommentare


  • Share

    By About
    Abonnieren
    Benachrichtige mich bei
    guest

    0 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments

    allesnurgecloud.com

    © 2024 allesnurgecloud.com
    0
    Would love your thoughts, please comment.x