allesnurgecloud #44 – Gaia-X, Google Cloud Störung, NPM Security, Technik bei Biden Wahlkampf und mehr.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der OpenSource, Cloud und IT Welt.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Gaia-X Gründungsmitglied Scaleway verlässt Projekt

In der letzten Woche hatte ich schon über Unstimmigkeiten im Gaia-X Umfeld berichtet, nun folgt der erste Paukenschlag.
Der französische Cloud Anbieter Scaleway tritt aus dem Projekt aus bzw. verlängert seine Mitgliedschaft nicht weiter.
Als Gründe nennt Yann Lechelle, der CEO von Scaleway

Good luck Gaia-X — we will be watching from the outside. Meanwhile, @Scaleway is full steam ahead on reversibility and interoperability today aka #multicloud
Quite simple: focus on velocity, bringing more and better cloud and #multicloud solutions to our clients, in France, in Euope and worldwide.

Das hört sich ja noch ziemlich diplomatisch und nachvollziehbar an.
Der offizielle Twitter Account von Scaleway wird hier noch deutlicher:

Scaleway will not renew its membership of European cloud association GAIA-X, as its initially-laudable objectives are being sidetracked by a polarization paradox, which reinforces the status quo of an unbalanced playing field, favouring non-EU players

Die initial erstrebenswerten Ziele würden sich mittlerweile in die falsche Richtung entwickeln und sogar nicht EU Mitglieder favorisieren. Im Vergleich zu OVH ist Scaleway eher ein Nischenplayer, der Austritt sorgt trotzdem für ordentlich Wirbel und macht die Probleme des Projektes noch einmal auf einer anderen Ebene transparent.
Heise.de dazu auch mit einem Kommentar: EU-Cloud Gaia-X mit Amazon & Co.? Ein reiner Etikettenschwindel!

Gaia-X: Cloudprovider Scaleway zieht die Reißleine und tritt aus

Google Cloud Störung am 16.11.2021

Am 16.11.2021 gab es eine globale Störung in der Google Cloud Netzwerk Infrastruktur. Populäre Sites und Dienste wie Spotify, Discord, Pokémon Go und Etsy funktionierten nicht mehr. In Deutschland zeigten unter anderem spiegel.de, rewe.de, saturn.de, mediamarkt.de und lidl.de die gleiche 404 Google Error Page.
Die Störung selbst wurde schnell behoben, lediglich Änderungen an Diensten wie Proxy/Loadbalancing waren für eine längere Zeit nicht möglich. Die Google Status Page listet mittlerweile ein wenig mehr Details zum Ausfall.
Eine Zusammenfassung des Ausfalls für den amerikanischen Markt findet ihr hier bei „The Verge“.

Corey Quinn von lastweeekinaws.com schreibt dazu auf twitter:

„Summary: Global: Experiencing Issue with Cloud networking“ This is *exactly* what I mean when I call out Google’s global control plane (vs. AWS’s regional approach) as a potential liability, despite some Very Smart People arguing the point

Er kritisiert damit das Design von Googles „Global Control Plane“, verschweigt aber, dass Störungen in der für AWS „zentralen“ Region „us-east-1“ auch schnell globalen Impact haben können, da diverse Zentralkomponenten von AWS dort beheimatet sind.

Ausfälle gibt es eben überall, ob OnPremise oder in Cloud, eine 100% Uptime gibt es in keiner Umgebung. Eine Downtime in der Cloud ist für Verantwortliche meist entspannter, weil da kann man nichts für bzw. sie trifft eben auch andere.
Läuft Google.com eigentlich schon auf der Google Cloud?

Nutzer melden Störungen auf etlichen Internetseiten

Sponsored

DevOps as a Service mit We Manage

Wir helfen Dir beim 24×7 Betrieb, bei Performance Problemen, bei Kostenoptimierung oder einfach beim Betrieb deiner Web-Applikationen.
Betreibst du Services wie GitLab, Zammad und Matomo selbst – hierbei unterstützten wir ebenfalls gerne – schau Dir einfach mal unsere Leistungen an.
Unsere Kunden kommen in unseren Case Studies zu Wort – wie beispielsweise everysize.com – eine Sneaker Suchmaschine mit Preisvergleich.

Interessiert? Lerne uns in einem 15 Minuten Video-Call kennen.

NPM: Sicherheitslücke in Registry

GitHub ist aktuell der Verwalter der NodeJS Registry npmjs.com. Der verlinkte Blog Beitrag birgt ein wenig Zündstoff, darin heisst es unter anderem:

we received a report to our security bug bounty program of a vulnerability that would allow an attacker to publish new versions of any npm package using an account without proper authorization.

This vulnerability existed in the npm registry beyond the timeframe for which we have telemetry to determine whether it has ever been exploited maliciously.

Man konnte also NPM Pakete anderer Accounts manipulieren und kann nicht sicher sagen, ob und wann dies ausgenutzt wurde. Laut Telemetrie Daten von GitHub wurden die Lücke von heute bis September 2020 nicht ausgenutzt. Da die Daten aber nicht weiter in die Vergangenheit reichen, kann man es nicht genau sagen.
Mit NodeJS und seinem Ökosystem gibt es immer wieder Probleme, zuletzt mit einem Paket namens „coa„, welches über 22 Millionen wöchentliche Downloads hat. Bei „coa“ wurde die gleiche Password-Malware gefunden wie bei „rc„.
Die Community bei Hacker News regt sich vor allen über die Abhängigkeiten auf, und dass teilweise die einfachsten Dinge per Modul geladen werden, wie beispielsweise eine „ist die Zahl gerade“ Berechnung im Paket „is-even“.
Bitte schaut daher, dass ihr „npm audit“ in eurem CI/CD Prozess automatisch verwendet und schützt euch und eure User – danke.

GitHub’s commitment to npm ecosystem security

IETF Draft: Freigabe von 16 Millionen Loopback Adressen

In der Arbeitsgruppe der Internet Engineering Task Force (IETF) gibt es seit 8. November 2021 einen neuen Draft, der für ein wenig Furore sorgt.
Aktuell ist für die Loopback Netzwerk Interfaces ein komplettes Class A Netz (127.0.0.0/8) mit insgesamt über 16,7 Millionen IPv4 Adressen reserviert. Wie wir alle wissen, sind die IPv4 Adressen knapp.
Der Draft sieht vor, den für Loopback Devices reservierten Bereich auf 127.0.0.0/16 zu verkleinern – insgesamt 65.536 Adressen zwischen 127.0.0.0 und 127.0.255.255. Dies würde knapp 16 Millionen Adressen zwischen 127.1.0.0 und 127.255.255.255 an das Internet zurückgeben.
Wie immer gibt es starke Kritik an dem Vorhaben, den viele Hersteller, vor allem von HW Devices wie Routern, Switchen und Firewalls haben diesen Adressbereich intern für andere Zwecke verwendet. Änderungen seien daher Security Technisch ein Albtraum. So sehen das auch viele User bei HackerNews.
Es gibt noch 3 andere, seit den 1980ern reservierte, Adressräume, für die es ebenfalls Vorschläge zur Wiederverwendung gibt (1,2,3).
Dieses IPv6 wird sich so wohl nie durchsetzen.

Unicast Use of the Formerly Reserved 127/8

Technologie für Biden Wahlkampf im Überblick

Dan Woods war der CTO der Biden Kampagne im Jahr 2020. Es gibt einen CTO für die Kampagne eines politischen Wahlkampfs? Tja, wie es scheint, ist das sinnvoll.

I was responsible for the technology operations as a whole and I had a brilliant team that built the best tech stack in presidential politics.
We covered everything from software engineering to IT operations to cybersecurity and all pieces in between.

Dan hat zuvor bei Target als „Distinguished Engineer“ gearbeitet und im Jahr 2016 schon an der Plattform der Kampagne von Hillary Clinton mitgearbeitet.
In der Kampagne selbst arbeiten Dan und sein Team viel mit Dienstleistern zusammen, um vor allem Daten zusammenzubringen. Zudem bauten Sie Websites und Apps für die Interaktion mit Wählern und Tools für das Wahlkampfteam.
Was haben Sie erreicht?

  • Über 100 produktive Services gebaut
  • Mehr als 50 Lambda Funktionen bereitgestellt
  • Diverse Apps gelauncht und supported, unter anderem die „Team Joe“ App
  • SMS Platform gebaut, um Wähler direkt zu erreichen – Ja genau, SMS!

Für die Website joebiden.com selbst nutzte das Team um Dan die SaaS Plattform „Pantheon“, alle anderen Service stellten sie aus AWS bereit. Details zum Stack könnt ihr im Artikel lesen, neben den Standard AWS Services wie RDS, Redshift, Lambda und AWS Elasticsearch kamen Grafana, Hashicorp Consul und Vault, PagerDuty und Travis CI zum Einsatz.
Folgende Tools hat man selbst gebaut:

  • Donor vetting – ein Toolset zum automatisierten Filtern von Spenden auf Basis von Flags oder Ursprung, um beispielsweise Lobby Spenden automatisiert abzulehnen
  • Tattletale – Cybersecurity Platform um IAM Rollen, externe Ressourcen und API Nutzung automatisiert zu kontrollieren und reporten
  • Conductor und Turbotots: Eigenes API Gateway und UI basierte Platform für User
  • Pencil: Peer-To-Peer SMS Platform für den Versand von Kampagnen SMS
  • CouchPotato: Eine Audio/Video Plattform zur Analyse von Medien. CouchPotato wirft man eine Mediendatei hin, diese wird unter Linux via PulseAudio Loopback abgespielt und in MP3 aufgezeichnet, mit AWS Transcribe in Text verwandelt, und dann in Elasticsearch importiert. Mit automatisierten Suchfiltern konnte man nun sämtliche Medien/Aufzeichnungen automatisiert durchsuchen. Beeindruckend und beängstigend zu gleich.

In Summe ist beeindruckend, was man in solch kurzer Zeit alles schaffen kann, wenn man genug Mittel und Personal dafür hat.
Über den deutschen Wahlkampf ist im Vergleich zum Thema Technologien kaum etwas bekannt, falls jemand doch ein paar Links dazu hat, gerne her damit.

Building Tech at Presidential Scale

Container Grundlagen ausführlich erklärt

Ivan Velichko ist SRE und stellt in seinem Blog ausführliche Erklärungen und Links zu den Themen Kubernetes, Docker und anderen Cloud-native Technologien bereit.
Im verlinkten Artikel erklärt er das Thema Container von Grund auf und zeigt auch, warum Container nicht einfach leicht gewichtige VMs sind. Zum Einstieg erklärt der Beitrag was Container eigentlich sind, wie Images funktionieren, erklärt Container Manager und auch das Thema containerd vs. Docker. Am Ende verlinkt er unzählige, weiterführende Artikel.
Schaut mal rein.Learning Containers From The Bottom Up

Apple: Ab Februar 2022 zurück ins Büro

Laut einem internen Memo sollen Apple Mitarbeiter ab dem 1. Februar 2022 wieder zurück in den Apple Park.
In Absprache mit dem Vorgesetzten soll es eine Anwesenheitspflicht von einem oder zwei Tagen pro Woche geben.
Zudem sollen Mitarbeiter einmal im Jahr für einen ganzen Monat komplett mobil arbeiten dürfen, beispielsweise um die Familie oder Freunde auf einem anderen Kontinent zu besuchen.
Im Sommer hatten die Mitarbeiter sich in einem öffentlichen Brief an das Apple Management gewandt, um die aktuelle HomeOffice Regelung beizubehalten (Ausgabe #23).

Apple-Mitarbeiter sollen nun ab Februar zurück ins Büro

Google Cloud Learn – kostenloses Online Training

Google Cloud veranstaltet am 8. und 9. Dezember ein kostenloses und virtuelles Online Training Event. Die „Cloud Learn 21“ richtet sich an Entwickler bis CEO und alle anderen, die die Funktionen der Google Cloud kennenlernen möchten.
Nach der täglichen Keynote unterteilt sich das Training in 3 Tracks: Für Allrounder, Entwickler und Data Analysts.
In Europa findet das Event um die Mittagszeit statt, für Teilnehmer soll es die Talks später als Aufzeichnung geben.

Google Cloud Learn

Humble Bundle: Python Programming und Cyber Security

Bei Humble Bundle könnt ihr euch aktuell wieder mit Bücher Bundles eindecken.
Aus persönlicher Erfahrung stimmt ihr mir sicher zu, dass man die meisten der Bundle Bücher nie liest, aber der FOMO Effekt zieht halt dann doch manchmal.

Cyber Security Bundle
In Zusammenarbeit mit Pluralsight veröffentlicht Humble Bundle ein „Cyber Security Bundle“ mit bis zu 20 Büchern für mindestens 21,59€. Darin enthalten sind Case Studies, Cloud spezifische Security Bücher und allgemeine Bücher mit Empfehlungen zum Umgang mit dem Thema Security und Compliance.

Zum Cyber Security Bundle

O’reilly Python Bundle

Für mindestens 15,55€ erhaltet ihr 14 Artikel aus dem O’reilly Verlag zum Thema Python. Über Python Grundlagen bis zu Machine Learning, AI, Web Scraping und Test-Driven Development mit Python ist hier alles mögliche dabei.

Zum O’reilly Python BundleHumble Bundle: Python Programming und Cyber Security

Schmunzelecke

Zurück im Büro: Wenn meetings nicht mehr online stattfinden? – auf youtube

💡 Link Tipps aus der Open Source Welt

OWASP Juice Shop – Security Testing

Der OWASP Juice Shop ist ein E-Commerce Shop welcher als Demo Shop für Security und Awareness Trainings dient.
Ihr könnt damit sämtliche OWASP Lücken und weitere Security Lücken an einem „lebenden“ Objekt ausprobieren.
Der Shop selbst in mit NodeJS gebaut und lässt sich einfach via Docker installieren.
Eine ausführliche Dokumentation leitet euch durch die möglichen Findings.
Der Shop selbst enthält auch ein Scoreboard, hier könnt ihr euer Security Training mit einem Gamification Ansatz zu mehr Spaß verhelfen oder ein CTF Event hosten.

https://github.com/juice-shop/juice-shop

Terraform Tutorial: Terraform-The-Hard-Way

In diesem Terraform Tutorial lernen Terraform Anfänger und Fortgeschrittene User die Grundlagen und „Advanced“ Techniken von Terraform. Anhand von einfachen Beispielen automatisiert ihr Infrastrukturen auf AWS und lernt dabei den Aufbau von Terraform, die Logik, Module und Provider kennen.
Am Ende könnt ihr das Deployment einer API Umgebung komplett selbst durchführen.

https://github.com/AdminTurnedDevOps/Terraform-The-Hard-Way

AWS Pricing Addon für Google Sheets

Dass der AWS Pricing Calculator mal wieder eine Usability Überarbeitung benötigt, ist sicherlich bekannt. Oder ist es gar absicht?
Jedenfalls schafft euch dieses Plugin für Google Sheets hier Abhilfe.
Aktuell kann es:

  • EC2 instanzen (Linux, RHEL, SUSE und Windows)
  • EBS Storage, Provisioned IOPS und snapshots
  • RDS DB Instanz
  • RDS Storage

Man kann dann beispielsweise mit „=EC2_LINUX_OD(„m5.xlarge“, „eu-central-1″)“ das Live Pricing für eine EC2 Instanz in Frankfurt in das Sheet bekommen.

https://github.com/mheffner/aws-pricing

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!


Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


  • Neueste Beiträge

  • Neueste Kommentare

  • 1

    Share

    By About

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    allesnurgecloud.com

    © 2021 allesnurgecloud.com