allesnurgecloud #65 – Cloudflare Ausfall und abgewehrte DDoS Attacke, Kostenfalle AWS, Sicherheit bei Health-Apps und mehr.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Cloudflare Ausfall vom 21. Juni 2022

Am morgen des 21. Juni 2022 waren viele Dienste nicht oder nur sehr schwer zu erreichen: Cloudflare hatte eine Störung nach einem Config Change in 19 seiner größeren PoPs (Point of Presence). Die Störung begann um 6:34 UTC (8:34 Uhr in Deutschland) und dauert bis ungefähr 7:21 Uhr UTC (9:21 Uhr bei uns) an. Details könnt ihr der Incident Meldung entnehmen.
Was war passiert?
Cloudflare führte Optimierungen an seinen Locations durch. Dabei wurde auch das BGP Routing so geändert, dass man sich selbst ausgesperrt hat. Der Change wurde in den größeren Locations durchgeführt (Frankfurt, London, Amsterdam, Atlanta, Chicago,..) und betraf 50% der Web Requests, die Cloudflare üblicherweise beantwortet.
Im Peak sind das ca 45 Millionen Requests pro Sekunde (Quelle: @jgrahamc) – 22,5 Millionen pro Sekunde konnten also nicht beantwortet werden.
Im Schaubild sieht das dann so aus:

Bedenkt man die Auswirkungen und Größe des Ausfalls, ist die Geschwindigkeit der Entstörung beeindruckend. Auch, dass man eine vernünftige Hintertür hat, um schnell auf die Remote Locations zuzugreifen, ist sicher viel wert. Ihr erinnert euch vielleicht noch an die Facebook/Meta Outage vom 4. Oktober 2021 – hier hatte man sich ähnlich per BGP ausgesperrt, die Endstörung dauerte mangels Remote Zugriffsmöglichkeit dann aber deutlich länger (Es gibt ja sogar Gerüchte über den Einsatz einer Flex…). Die FB Störung von 2021 hat nun eine eigene Wikipedia Page.
Ebenfalls beeindruckend bei Cloudflare finde ich, dass am gleichen Tag der Störung und wenige Stunden nach dem eigentlich Ausfall ein ausführliches, öffentliches Post-Mortem veröffentlicht wurde.
Übrigens garantiert Cloudflare für Enterprise Kunden eine SLA von 100% – im Service Level Agreement selbst kann man die Berechnung einer wahrscheinlich erfolgenden Gutschrift nachvollziehen.

Cloudflare outage on June 21, 2022

Vorsicht mit gekaperten AWS Accounts

Die Übernahme von AWS Accounts ist derzeit sehr beliebt. Häufig bekommen User erst spät mit, wenn jemand Anderes den Account für eigene Service missbraucht.
So passierte dies auch Sebastian. Er war sowieso mit der Performance und Verfügbarkeit von AWS nicht zufrieden und hatte seine Dienste zum günstigeren und schnelleren Vultr umgezogen und seinen AWS Account eigentlich stillgelegt.
Dachte er jedenfalls. Seine Bank monierte dann eine fehlgeschlagene Transaktion über $91.331. Der AWS Support konnte das Thema dann schließlich lösen und schloß den Account.
Bei AWS sind die Dienste mittlerweile historisch so gewachsen, dass ein ganzheitlicher Überblick schwierig ist. Notifizierungen bei Änderung der Kosten muss selbst konfigurieren, dabei hat AWS die Daten ja, um sowas zu generieren – nur einfach kein Interesse daran. Natürlich ist auch klar, dass man mal mindestens 2FA für seinen Account aktivieren sollte, was im Falle von Sebastian scheinbar nicht der Fall war.

AWS Tried to Withdraw $100K 💰 from My Bank Account!?! (Why I ❤️ Vultr)

Sponsored

Managed Hosting für Symfony und Laravel mit „We Manage“

Wir helfen Dir beim 24×7 Betrieb, bei Performance Problemen, bei Kostenoptimierung oder einfach beim Betrieb deiner Laravel & Symfony Web-Applikationen beim Cloud-Anbieter deiner Wahl.
Betreibst du Services wie GitLab, Zammad und Matomo selbst – hierbei unterstützten wir ebenfalls gerne – schau Dir einfach mal unsere Leistungen an.
Unsere Kunden kommen in unseren Case Studies zu Wort – wie beispielsweise diginights.com – ein Online Ticketing System auf Basis von Symfony.

Interessiert? Lerne uns einfach in einem 15 Minuten Video-Call kennen.

Jetzt We-Manage kennenlernen

Zerforschung: Sicherheitslücken in Gesundheitsanwendungen

Seit Oktober 2020 können Daten und Kommunikationen zu Patienten auch App basiert abgewickelt werden.
Die App Hersteller bekommen für Verschreibungen in den Apps 200-700€ pro Quartal, daher könnte dies ein lohnenswertes Geschäft sein. Leider zieht es auch Stümper an, wie die Analyse von Zerforschung zeigt.
Novego, eine App für die Behandlung von Depressionen, bietet beispielsweise eine Schnittstelle für den Datenexport vor. Leider konnte die Schnittstelle auch von nicht authentifizierten Usern genutzt werden – und leider leider leider wurde eine fortlaufende ID verwendet… den Rest könnt ihr euch ja denken.
Bei der App Cankado haben es die Analysten von Zerforschung durch das Erraten von API URLs sich selbst als Arzt zu hinterlegen und die Daten von allen Patienten abzurufen. Das finde ich dann ziemlich erschreckend – betroffen waren zum fraglichen Zeitpunkt hier über 12.500 Datensätze (inkl. Namen, Klartext-Passwort, Zugangsdaten, Arztberichte, Überweisungen, Diagnosen…).

Irgendwie scheinen die Standards immer schlechter, je wichtiger die Daten sind.

Datenabfluss auf Rezept

Firefox rollt Cookie Protection Feature aus

Firefox hat im Juni die „Total Cookie Protection“ ausgerollt und beschreibt die Details im verlinkten Blog Beitrag.
Grundsätzlich geht es darum, dass Cookies einer Seite nun komplett separiert abgelegt werden. Dies macht die Verfolgung eines Users über mehrere Sites mit den gleichen 3rd Party Cookies nahezu unmöglich. Man hatte das Feature vorher ausführlich in Firefox Focus und im privaten Modus getestet und es nun als Default für alle Desktop Browser aktiviert.

Firefox rolls out Total Cookie Protection by default to all users worldwide

BunnyCDN: Alternative Google Fonts Auslieferung

BunnyCDN, ein CDN Anbieter aus Slowenien, hat die Zeichen der Zeit erkannt und bringt mit „Bunny Fonts“ alle Google Fonts GDRP compliant an alle End-User.
Zur Verwendung müsst ihr einfach die Google URL (https://fonts.googleapis.com/css) mit der von BunnyCDN (https://fonts.bunny.net/css) ersetzen. Alle verfügbaren Schriften könnt ihr euch hier online anschauen.

Bringing privacy back into your own hands: Introducing Bunny Fonts!

Cloudflare: 26 Millionen rps DDoS abgewehrt

Noch ein kleiner Cloudflare Nachtrag. Anfang Juni 2022 hat Cloudflare eine 26 Millionen requests pro Sekunde beinhaltende DDoS Attacke abgewehrt. weiter oben haben wir gelernt, dass ein Cloudflare einen Clean-Traffic Peak von 45 Millionen rps ausliefert, da ist eine 26 Millionen rps DDoS Attacke schon ein enorm belastendes Szenario.
Im beobachteten Fall wurde der Angriff gegen eine Seite abgewehrt, welche den Cloudflare Free Plan nutzt – hier macht man also keinen Unterschied. Die Attacke wurde hauptsächlich von gekaperten VMs bei Cloud Providern ausgeführt.

Cloudflare mitigates 26 million request per second DDoS attack

Meta: DRAM Kosten sparen durch NVMe Auslagerung

Das Engineering Team von Meta (Facebook) hat in einem Blog Artikel nun erläutert, wie Meta seit ca. 1 Jahr massiv an DRAM Kosten spart, indem man „kältere Daten“ auf NVMe Disks auslagert.
Diese Auslagerung sei nötig, da DRAM nicht mehr so skaliert wie früher und die Kosten sehr volatil seien. Meta schlägt deshalb vor, den Linux Kernel um eine Hierarchie für verschiedene Speicher zu erweitern, und dem Kernel in Zukunft die Verteilung der Elemente zu überlassen. Das Ganze klingt spannend und auch logisch, kennen wir das doch schon lange von Backup Strategien – warum nicht auch bei RAM?

Meta spart bis zu 30 Prozent Speicher durch NVMe-Offloads

CloudQuery mit $15 Millionen Funding

CloudQuery ist ein open-source basiertes „Cloud inventory“ management tool. Mit Hilfe von Cloud-Query könnt ihr Cloud Konfiguration per SQL abrufen und vergleichen, oder auch einen Security Audit durchführen.
Neben den 3 großen Hyperscalern (AWS, Google und Azure) unterstützt CloudQuery aktuell auch DigitalOcean, Yandex, Cloudflare, Terraform, Kubernetes und Okta über ein Provider System.
Nach einer Seed Runde über $3,5 Millionen in 2021 hat CloudQuery nun $15 Millionen in einer Series A eingesammelt. Mit dem eingesammelten Geld möchte man zu den 15 Mitarbeitern weitere einstellen, eine Community aufbauen und in Zukunft eine SaaS Version des Produktes anbieten.

CloudQuery raises $15M to demystify your cloud infrastructure setup

Portainer.io mit $6,2 Millionen Funding

Das als Docker Management Lösung gestartete portainer.io hat nun ebenfalls eine weitere Finanzierungsrunde über $6,2 Millionen eingesammelt. Portainer wurde als Docker/Docker Swarm Management Lösung bekannt, unterstützt nun aber auch Kubernetes und HashiCorp Nomad als Container Orchestrierung.

Portainer.io Closes US$6.2 Million Funding Round

GitHub stellt Atom ein

GitHub stellt Atom zum Ende des Jahres ein und archiviert das Projekt zum 15. Dezember 2022.
Nun benötige ich eine andere Lösung als verlängerte Copy & Paste Werkbank ;-).

Sunsetting Atom

Schmunzelecke

Quelle: @DThompsonDev

💡 Link Tipps aus der Open Source Welt

Furiko: Cloud-native Cron Job Plattform für Kubernetes

Das Tool Furiko ist eine recht neue Plattform zur CronJob Verwaltung innerhalb von Kubernetes. Jobs können in der aktuellen Version einfach als einmaliger Job, regelmäßiger Cronjob oder als Workflow (sequentiell oder in Abhängigkeit voneinander) ausgeführt werden. Furiko wird in Go entwickelt und aktuell gibt es erst 2 Releases.

https://github.com/furiko-io/furiko

Dashy – self-hosted Dashboard

Dashy ist ein einfaches self-hosted Dashboard , welches mit Widgets, Themes und Icons erweitert und angepasst werden kann. Dashy wird einfach als Startseite und zum Absprung in andere Tools verwendet. Wie das Ganze funktioniert und aussehen kann, könnt ihr bei den Showcases checken. Die Dashy Demo findet ihr unter demo.dashy.to.

https://github.com/Lissy93/dashy

Dockerfile best-practices

In diesem GitHub Repository findet ihr diverse Docker best-practices, die leider noch nicht so weit verbreitet sind, wie sie sollten.
Unter anderem dabei:

und einige. mehr, schaut einfach mal vorbei.

https://github.com/hexops/dockerfile

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


0

Share

By About
Abonnieren
Benachrichtige mich bei
guest
2 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Sascha
Sascha
5 Monate zuvor

Hi Andy,
es heißt „Entstörung“, nicht „Endstörung“, auch wenn das Ende einer Störung ersehnt wird. 😉
Vielen Dank für deinen Newsletter!
Gruß
Sascha

allesnurgecloud.com

© 2022 allesnurgecloud.com
2
0
Would love your thoughts, please comment.x