allesnurgecloud #66 – Context Switching, „Zero Trust“ beim Bund, $4500 bei AWS, On-Call Umfrage und mehr.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der OpenSource, Cloud und IT Welt.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Context Switching ist nicht nur für CPUs anstrengend

Beim Schreiben dieses Newsletters wurde ich über 10 mal unterbrochen. Türklingel, Push Notifications, „Ich habe jetzt Hunger“ und andere Störungen sorgen für eine Unterbrechung der Konzentration. Dabei bin ich ja selber schuld – bekomme ich es aktuell einfach nicht hin, den Newsletter, oder zumindest 80% der Beiträge in Zeiten mit potentiell weniger Störungspotential zu schreiben.
Eigentlich müsste ich mir die Zeit dafür blocken, oder unter der Woche abends in Ruhe schreiben.
Das wäre sicherlich deutlich effektiver und vermutlich wäre ich deutlich schneller fertig.
Warum ist das so? Context Switching ist für den Menschen genauso anstrengend, wie für CPUs. Reden wir von Streß, glaube ich dass dies in einer Vielzahl von Fällen an Störungen oder mangelnder Selbstdisziplin mit dem „Zulassen von Störungen“ liegt.

Die Macher der SaaS Software Twist schreiben seit kurzem einen lesenswerten Newsletter zum Thema „asynchrone Arbeit und Kommunikation“. In der aktuellen Ausgabe geht es um das Thema Context Switching und Tips und Tricks zum korrekten Umgang mit selbigen. Der Artikel fängt schon sehr gut an:

You probably won’t finish this article. In fact, I may have already lost you to another tab in your browser. Or an email from your boss. Or a ping from a coworker. Or any number of other digital distractions that have come to define modern life.

Vielleicht habe ich euch jetzt auch schon verloren?
Einige Highlights, da der Artikel etwas länger ist:

  • Unsere digitalen Helfer sind so designed, dass sie uns unterbrechen und Aufmerksamkeit auf sich ziehen – deaktiviert daher alle nicht dringend benötigten Push Notifications. Laut Statistiken vergehen keine 6 Minuten, an denen wir nicht unsere Mails oder Instant Messenger checken.
  • Teilweise gehen wir in der Masse und schnellen Verfügbarkeit von Informationen unter
  • Context Switching ist ein Zins, den wir für Aufmerksamkeit bezahlen
    • Context Switching und Unterbrechungen wirken sich negativ auf die Produktivität aus.
    • Durch Ablenkungen überfordern wir mit der Masse an Information die kognitiven Funktionen unseres Gehirns
    • Context Switching kostet uns eine Menge Kraft
    • Zusätzlich bringt es ständig Prioritäten durcheinander

Was können wir also tun, um dem Verfall unserer Aufmerksamkeit entgegenzuwirken?

  • Nötige Todos und Wissen aus dem Hirn offline speichern – in einem Notizbuch, auf Post-Its, oder in Tools wie Todoist.
  • Framework für dringende und wichtige Tasks überlegen – hier kann auch einfach „3 wichtige Tasks“ pro Tag (beruflich und/oder privat) erstmal ausreichen
  • Zeiten blocken – im Kalender – und diese dann auch diszipliniert einhalten

Im Eintrag selbst findet ihr viele weitere Tips zum disziplinierten Umgang mit Störungen und euch selbst.
Wie managed ihr das? Welche Tools nutzt ihr dafür?
Antwortet mir gerne oder schreibt in den Kommentaren etwas dazu – danke.

#05: The productivity tax you pay for context switching

„Zero Trust“ kommt auch beim Bund

Nachdem die US Regierung im Januar eine „Federal Zero Trust Strategy“ angekündigt hatte, legt der Bund hier nun nach. Insbesondere nach dem russischen Angriffskrieg habe sich die Cybersicherheitslage derart geändert, dass dies einen Paradigmenwechsel erfordere.
Das Grundprinzip von „Zero Trust“ ist „Traue niemandem“. Die Einführung erfordert somit eine Authentifizierung bei jedem einzelnen Zugriff, beim Wechsel von Systemen oder bei der Machine2Machine Konfiguration. Prinzipiell könnten somit sämtliche Dienste im Internet stehen – ein VPN oder ähnliche Konstrukte mit sicheren Netzwerken seinen nicht mehr erforderlich.
Bei einem Vortrag warb der Leitung der Abteilung für Cyber- und IT-Sicherheit für bessere Kooperationen zwischen den Abteilungen innerhalb des Innenministeriums, zwischen Ministerien, aber auch mit Firmen aus dem privaten Sektor.
Der Bund, speziell das Cyberabwehrzentrum soll in Zukunft operativ enger mit anderen Abteilungen zusammenarbeiten, um schneller reagieren zu können und nicht nur im Nachgang involviert zu werden.
Teilnehmer des Vortrags hätten gerne eine offenere Kommunikation mit dem BSI selbst – man müsse erst eine Mitgliedschaft und Verschwiegenheitserklärung erhalten, um Informationen zur aktuellen Bedrohungslage zu erhalten
Die Kommentare bei Heise hierzu sind teilweise auch lesenswert.

https://www.heise.de/news/Zero-Trust-Bund-will-bei-IT-Sicherheit-niemandem-mehr-vertrauen-7156348.html

Sponsored

Managed Hosting für Symfony und Laravel mit „We Manage“

Wir helfen Dir beim 24×7 Betrieb, bei Performance Problemen, bei Kostenoptimierung oder einfach beim Betrieb deiner Laravel & Symfony Web-Applikationen beim Cloud-Anbieter deiner Wahl.
Betreibst du Services wie GitLab, Zammad und Matomo selbst – hierbei unterstützten wir ebenfalls gerne – schau Dir einfach mal unsere Leistungen an.
Unsere Kunden kommen in unseren Case Studies zu Wort – wie beispielsweise diginights.com – ein Online Ticketing System auf Basis von Symfony.

Interessiert? Lerne uns einfach in einem 15 Minuten Video-Call kennen.

Jetzt We-Manage kennenlernen

$4500 AWS Rechnung über Nacht dank CloudFront und [email protected]

Mit einem Fehler in einer NextJS Applikation hat ein Entwickler sich ein ordentliches Ei gelegt. Als Nutzer der AWS Dienste CloudFront und [email protected] hatte er mittels NextJS eine serverless function gebaut, die sich versehentlich selbst aufgerufen hat.
Dies wiederum passierte an allen CloudFront Standorten. Aufgrund der verzögerten Abrechnung dieser Funktionen kam der Billing Alert deutlich später an, als die eigentlichen Kosten entstanden sind. Seine „normale“ Abrechnung von 200$/Monat explodierte nach einem Tag schon über $4500 Dollar.
Der Billing Alert war ab $300 konfiguriert, aufgrund der verzögerten Billing Prozesse meldete sich der Alert aber erst, als die Rechnung schon über $1400 Dollar war (Quelle HN Kommentar).
In den über 300 HackerNews Kommentare gibt es eine interessante Diskussion zum Thema Serverless vs. VMs, Kosten, Aufwände, etc. Der Entwickler selbst kommentiert die Antworten entsprechend, hat vom AWS Support zur explodierten Rechnung wohl aber noch nichts gehört.

https://news.ycombinator.com/item?id=31907374

PromQL: nun auch für Google Cloud Metriken

Google Cloud stellt mit PromQL for Google Cloud Monitoring nun über 1000 kostenlose Metriken bereit, die mit PromQL abgefragt werden können. Dazu gehören Compute Engine Metriken, Metriken von GKE (Kubernetes Engine), Load Balancing, Cloud Storage, Pub/Sub und mehr.
Wenn ich das korrekt verstehe, ist das ganze kostenlos, wenn man den „Managed Service for Prometheus“ verwendet – nutzt man eigene Prometheus Instanzen, so bezahlt man für die in „Cloud Monitoring“ abgefragten Daten.

Cloud Monitoring metrics, now in Managed Service for Prometheus

HackerOne: Mitarbeiter nutzt Daten für persönliche Bereicherung

HackerOne, die wohl populärste Platform für den Zukauf von Ethical Hacker Diensten, hat Ende Juni einen interessanten Incident Report veröffentlicht.
Einem HackerOne Kunde kam eine Meldung auf einer anderen Platform spanisch vor, da sie einer vorher bei HackerOne gemeldeten Lücke wohl exakt entsprach. Zusätzlich habe der Hacker sich in der Kommunikation auffallend und einschüchternd verhalten. Der Kunde bat daher HackerOne, sich das Problem genauer anzuschauen.
Recht schnell fand man heraus, dass ein HackerOne Mitarbeiter die interne Meldung genutzt hatte, um sich damit auf anderen Portalen persönlich zu Bereichern. Man hat bei der Recherche dann 7 weitere Kunden gefunden, die in ähnlicher Weise betroffen waren.
Die Kommunikation von HackerOne ist vorbildlich transparent, und für einen internen Fall ungewöhnlich transparent. Zudem hat man sehr schnell reagiert, die Meldung des Kunden ging am 22.6.2022 bei HackerOne ein, wurde bearbeitet und ist seit dem 1. Juli öffentlich erreichbar.

June 2022 Incident Report

Japan: Mitarbeiter verliert USB Stick mit Daten von 500.000 Einwohnern

Die japanische Stadt Amagasaki (465.000 Einwohner) hatte eine externe Firma für eine steuerliche Recherche mit Daten Ihrer Einwohner versorgt. Der zuständige IT Mitarbeiter wollte die Daten auf einem verschlüsselten USB Stick zur weiteren Bearbeitung mit nach Hause nehmen – inklusive vollständige Adressen, Geburtsdaten, Bank Konten und Steuerdetails.
Nach einer Kneipentour hat der Mitarbeiter seinen Rucksack inklusive USB Stick „verlegt“ und die Daten als Verloren gemeldet. Nach bekanntwerden gab es einen kleinen Shitstorm und über 30.000 Einwohner beschwerten sich in einer telefonischen DoS Attacke bei der Stadtverwaltung.
Glücklicherweise kam die Erinnerung beim Mitarbeiter zurück und er fand den Rucksack mitsamt USB Stick bei einem Gebäude in der Nähe seines Zuhauses.

Japanese Man Lost a USB Drive With Entire City’s Personal Data After a Night Out

Traefik Proxy integriert sich nun mit Hashicorp Nomad

Im Mai veröffentlichte Hashicorp die Version 1.3 der Kubernetes Alternative Nomad. Neben diversen Verbesserungen und interessanten Features erlaubt die neue Service Discovery die Integration mit externen Ingress Proxies.
Man benötigt hierfür die Version 2.8 (Release Candidate) von Traefik Proxy und eben Nomad 1.3.
Ähnlich wie bei Amazon ECS definiert man in Nomad Services und Tasks. In den Services kann man nun den Provider „Nomad“ verwenden und aus Traefik direkt mit der Nomad API kommunizieren. Im verlinkten Beispiel wird deutlich, wie einfach das nun funktioniert.
Ob Nomad das richtige für euch ist, müsst ihr selber entscheiden – Cloudflare nutzt Nomad beispielsweise am Edge für das Deployment ihrer Services – die Details könnt ihr hier nachlesen.

https://traefik.io/blog/traefik-proxy-fully-integrates-with-hashicorp-nomad/

Vernünftiger Umgang mit 3rd-Party Ausfällen

Spätestens nach dem Cloudflare Ausfall vom 21. Juni 2022 machen sich Firmen erneut Gedanken über den Umgang mit Incidents bei vorgelagerten Dienstleistern – wie eben Cloudflare, Fastly – Cloud Providern wie Google, AWS und Azure und auch andere 3rd Party SaaS Dienste, die man selbst für die Erbringung seiner Dienstleistung benötigt.
Im Blog von Incident.io gibt es mal wieder einen sehr empfehlenswerten Artikel zum Umgang mit genau solchen Ausfällen.
Beispielsweise sollte man den Traffic Flow der Kunden verstehen und dokumentieren und überlegen, an welcher Stelle man Ausfälle mitregieren kann – beispielsweise durch temp. Deaktivierung von Cloudflare (Sofern das Dashboard während einem Ausfall funktioniert). Transparente Kommunikation zu den eigenen Kunden ist bei größeren Ausfällen immer empfehlenswert, egal ob über Status Pages, Social Media oder andere Formen der Information. Nichts ist für den Kunden schlimmer, als im Dunkeln zu tappen, warum nun etwas nicht funktioniert.
Schaut gerne mal beim Artikel rein, generell lohnt sich ein Abo beim Incident.io Blog.

https://incident.io/blog/third-party-outages

On-call: Umfrage zu IT-Bereitschaften

Ebenfalls von incident.io kommt eine aktuelle Umfrage zur Bezahlung von On-Call Mitarbeitern. Die Ergebnisse der Studie sind öffentlich zugänglich ohne Login (Download Link). Über 200 Antworten hat man verarbeitet, von Startups bis hin zu Airbnb, Google und Amazon.
Meine Highlights daraus:

  • Im Schnitt werden $540 Dollar für eine „On-Call“ Woche bezahlt
  • 41% der Teilnehmer werden für den On-Call Dienst nicht bezahlt
  • Die größten Probleme sehen die Teilnehmer bei
    1. 30% – negativem Einfluss von On-Call auf das Privat Leben
    2. 24% – fehlender Kontext und Informationen während der Bearbeitung eines Ausfalls
    3. 12% – Schlafmangel
    4. 10% – Fehlalarme

Persönlich überrascht mich die 41% der Antworten, wo man nicht für die Teilnahme am On-Call bezahlt. Dann fände ich mindestens einen freien Tag als Ausgleich angebracht. Selbst wenn man keine Einsätze hat, so ist man doch permanent in Lauerstellung und im Privatleben eingeschränkt.
Managed ihr On-call Teams oder seid Teil davon? Schaut euch die Ergebnisse gerne mal an.

Uncovering the mysteries of on-call

Taiscale VPN nun auch für SSH

Tailscale, ein populäres Zero Config VPN, startet mit „Tailscale SSH“ einen auf Tailscales Systemen basierenden VPN Dienst.
Ist der User in Tailscale selbst authentifiziert, so gelten die in Tailscale konfigurierten Regeln für den SSH Zugriff. Man muss keine SSH Keys mehr verteilen und mit den Usern gemeinsam verwalten. Tailscale nutzt Wireguard für die Verschlüsselung der Verbindung und authentifiziert die User dann über sein SaaS Angebot.
In einer kurzen Youtube Demo (1:35 Minuten) zeigt Tailscale die einfache Installation des Dienstes.
Würden ihr einen solchen Service als SaaS Angebot nutzen, um eure Services abzusichern?

Introducing Tailscale SSH

Schmunzelecke

Jeff Geerling (Autor diverser Ansible Rollen und Bücher – Ansible for Devops, Ansible for Kubernetes) bekam eine InfoSec Anfrage von EpicGames mit Fragen zur Architektur, Quellcode und nach einem UML Diagramm eines seiner OpenSource Projekte.
Über 100 Fragen soll er beantworten, Details hier im Screenshot. Da bin ich ja beruhigt, dass es auch in den USA bekloppte $Company$ Prozesse gibt.

Wordle sollte mittlerweile jeder durchgespielt haben – wie sieht es aber mit PassWORDLE2 aus?
Hier müsst ihr Wordle gegen die Top 100 Passwörter spielen (Quelle der PWs: hier bei Wikipedia).

💡 Link Tipps aus der Open Source Welt

Spin: Open-Source WebAssembly Framework

Spin ist ein Open-Source Framework, um den Bau von Anwendungen auf Basis von WebAssembly zu erleichtern.
Das Projekt selbst ist noch relativ neu, die aktuellste Version ist eine 0.3.0, welche im Juni veröffentlicht wurde.
Die Doku zum Projekt ist schon recht gut und lädt zum Ausprobieren ein.

https://github.com/fermyon/spin

Testconainers: JUnit Docker Instanzen

Testcontainers ist eine Java Bibliothek mit Wegwerf Instanzen für populäre Datenbanken, SaaS Endpunkte und weitere. Es erleichtert euch somit das lokale Testing gegen externe Provider, ohne großen Aufwand in beispielsweise einen PostgreSQL Container zu stecken. JUnit 4, Jupiter/JUnit 5 und Spock sind als JVM testing frameworks kompatibel.

Module gibt es beispielsweise für ElasticsearchRabbitMQAzure und eine Vielzahl an Datenbanken.

https://github.com/testcontainers/testcontainers-java

AirGuard – Schutz vor AirTags

Die Apple AirTags können bekanntlich auch für Tracking Schabernack genutzt werden. Möchtet ihr wissen, ob euch jemand einen AirTag untergejubelt hat?
Mit der unten verlinkten F-Droid App „AirGuard“ könnt ihr solche Geräte in eurer Umgebung erkennen. Neben den AirTags werden noch weitere Bluetooth Tracker gefunden. Ist ein Tracker 3 mal in eurer Nähe aufgetaucht, so erhaltet ihr eine Warn Meldung und könnt einen Ton auf dem Tracker abspielen und ihn damit lokalisieren.
Danke Manfred für den Tip zu AirGuard.

https://f-droid.org/packages/de.seemoo.at_tracking_detection/

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!


Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


0

Share

By About
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

allesnurgecloud.com

© 2022 allesnurgecloud.com
0
Would love your thoughts, please comment.x