allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:
Datenübergabe an US Cloud unzulässig?
Die Vergabekammer in Baden Württemberg hat in einem Beschluss vom 13. Juli für etwas Furore gesorgt.
Und zwar hatte ein an einer Ausschreibung teilgenommenes, deutsches Unternehmen den Ausschluss eines Bieters in einem Einzelfall erwirkt. Der Bieter würde gegen die DSVGO verstoßen, da der Bieter eine deutsche Tochtergesellschaft eines US-Anbieters einsetzen würde.
Nach Ansicht der Vergabekammer BW liege “ ine datenschutzrechtlich unzulässige Übermittlung von personenbezogenen Daten in ein Drittland (außerhalb der EU) auch dann vor, wenn der entsprechende Server von einer in der EU ansässigen Gesellschaft betrieben wird, die ihrerseits Teil eines US-Konzerns ist.“.
Die Entscheidung ist aktuell nicht bestandskräftig, und es wurde wohl schon eine Beschwerde beim OLG Karlsruhe dazu eingereicht.
Details dazu findet ihr direkt im Urteil, die interessanten Passagen dazu sind 48, 55 und 66.
Auf twitter hat unter anderem Alvar Freude, einer der Datenschützer beim Land Baden-Württemberg, weitere Informationen dazu geteilt.
Vergabekammer BW: Keine Personenbezogene Daten an US-Tochterfirmen
Nigeria: Öffentliches S3 Bucket bei einem Dienstleister
Der Fall eines Dienstleisters des Staates zeigt mal wieder, wie schwierig es sein kann, Daten Dienstleistern anzuvertrauen.
In dem Fall sind es Gesundheitsdaten mit persönlichen Informationen, wie Ausweise und Fotos, die ein Dienstleister des Bundesstaates „Plateau“ in Nigeria verwaltete.
In über 11 öffentlichen S3 Buckets lagen 75.000 Files mit über 45GB an Daten. Security Researcher von „Website Planet“ hatten die unverschlüsselten und öffentlichen Daten gefunden und mehrfach versucht, die verantwortliche Agentur zu kontaktieren.
Mehrfache Versuche über Twitter, das CERT von Nigeria und über AWS selbst schlugen fehl.
Die erste Meldung ging am 5. April 2022 an die Regierung von Nigeria, selbst Anfang Juni waren die Buckets dann noch teilweise öffentlich.
Irgendwie findet sich fast jede Woche eine News zu öffentlichen S3 Buckets – in 2022 – schade.
Nigerian agency data breach exposes 75,000 personal details of citizens online
Einführung von SRE Praktiken
Über Site Reliability Engineering (SRE) habt ihr hier jetzt schon das ein oder andere Mal gelesen. Der unten verlinkte gibt eine gute Einführung in das Thema SRE, erklärt die Historie und die Abgrenzung zu DevOps Konzepten.
Zudem gibt es auch einen Einblick in Themen, die auch außerhalb von „Google Scale“ Sinn machen, wie beispielsweise ein „Operating und Maturity Model“ und die Begriffe SLI, SLO und SLA.
Im Kern geht es darum, Software Engineering Praktiken auf DevOps und Operations Prozesse anzuwenden:
SRE, or site reliability engineering, is the practice of applying software engineering expertise to DevOps and operations problems. Often, this means proactively writing code and developing internal applications or services to combat reliability and performance concerns.
Ich würde noch ein Stück weiter vorne anfangen, beim Thema „Customer Centric Monitoring“ – funktioniert das System eigentlich für den Kunden?
Hierzu habe ich einen kleinen Twitter Thread geschrieben, der die Basics eines „kundenzentrischen Monitoring Systems“ beschreibt. Hierzu gehören für mich:
- Uptime & Zertifikats Monitoring
- Überwachung der Page Speed und Web Vitals
- Automatisierte Browser Tests
- Error Tracking
Hat man dies alles am Start, sollte man sich SRE auf jeden Fall anschauen.
How to Adopt an SRE Practice (When You’re not Google)
AWS: RDS Kosten bei byhours.com halbiert
RDS (Relational Database Service) ist in der Regel die erste Wahl für einen managed DB Service bei AWS.
Normalerweise ist es auch einer der Dienste, die die Höhe der Rechnung doch stark beeinflussen.
Wie kann die Kosten optimieren kann, lest ihr im Detail im verlinkten Blog Eintrag.
Durch eine Mischung diverser Maßnahmen konnten die Mitarbeiter von byhours.com die Kosten für die Datenbanken halbieren:
- MySQL Update von 5.7 auf 8.0 (Als Vorbereitung für den Wechsel der CPU)
- Migration auf Graviton2 Instanz (ARM CPU, benötigt mindestens MySQL 8.0.17)
- Downsizing und Migration auf T4g Instanzen in der Staging DB (T4g ist auch eine Graviton2/ARM CPU)
- Storage Änderungen: „General Purpose SSD“ statt „provisioned IOPS“ für Staging und Reduktion der garantierten IOPS für PROD.
Gerade bei Multi-AZ Datenbanken machen solche Änderungen in Summe dann einiges aus. Insgesamt hat man bei byhours.com etwas über 51% im Monat gespart – nicht schlecht, oder?
Was machen eigentlich „Developer Advocates“?
Developer Advocates existieren in der Regel bei Firmen, die Tools für Entwickler herstellen. Das können Cloud Anbieter sein, CI/CD Tools oder andere Tools zum Support des Entwicklungsprozesses.
Die Community selbst hat nun die Plattform whatisdevrel.com geschaffen, um den Job selbst zu erklären.
Es gibt 3 Typen von „Developer Relations“, die genauer erklärt werden:
- Community Support (Events & Livestreams durchführen, Community Arbeit in Slack/Discord, etc.)
- Content Erstellung (Blog Einträge, Videos, auf Konferenzen sprechen, etc.)
- Product Verbesserungen (Tutorials und Dokumentation verbessern, Code Beispiele und Developer Erfahrung verbessern)
Die Seite dient als erste Übersicht und verlinkt am Ende auf diverse weiterführende Blog Einträge und längere Artikel zum Thema selbst.
Nutanix verletzt Open Source Lizenzen von MinIO
Der Storage Anbieter Nutanix verletzt schon seit 2019 die Software Lizenzen der Open-Source S3 Alternative „MinIO“.
Man hatte nun viel Geduld bei der Klärung der Sachverhalte mit Nutanix, diese nun aber nach diversen Jahren endgültig verloren.
Nutanix verwende im Produkt „Nutanix Objects“ Komponenten von Minio, ohne in der EULA oder sonst wo auf die Nutzung der Open-Source Software hinzuweisen.
Minio hierzu:
For the past three years, we have tried to resolve the license compliance issues in good faith discussions with Nutanix. However, we have not made meaningful progress. As a result, we have informed Nutanix that we are terminating and revoking any license or sublicense under Apache v2 and the AGPL v3 in accordance with the terms of those licenses.
Der öffentliche Blog Eintrag bei Minio hat mittlerweile geholfen und Nutanix zu einer Reaktion gezwungen.
Man entschuldige sich für die Vorgehensweise und werde in Zukunft besser mit der Verwendung von Open-Source Komponenten umgehen.
Nutanix Objects Violates MinIO’s Open Source License
Das Nervige an IT Bereitschaften
Wer schon länger in der IT arbeitet, der ist es vermutlich gewohnt, an einer „Bereitschaft“ (On-call) teilzunehmen.
Üblicherweise beinhalten bereits Stellenanzeigen Informationen zur Teilnahme am Bereitschaftsdienst.
Bobbie Chen erzählt im verlinkten Blog Eintrag von seinem Erfahrungen der „On-Call“ Teilnahme.
Er hat ins Product Management gewechselt und vermisst es gar nicht – wir sind es aber gewohnt.
Gewohnt, das Handy und den Laptop überall dabei zu haben. Die Familie ist nicht überrascht, wenn man das Essen unterbricht, um an einer Eskalation teilzunehmen, etc – man gewöhnt sich schließlich daran.
Bobbie beschreibt:
A friend of mine was on-call 24/7 for the entire week, every three weeks, due to some staffing changes on her team; it was a real drag on her ability to do anything outside the house. And at a different friend’s birthday party earlier this year, I watched someone sheepishly find a quiet corner to crack open their laptop.
Was kann man tun?
Mitarbeitende, die an der Bereitschaft teilnehmen, wertschätzen – und das nicht nur monetär. Bei einem früheren Arbeitgeber gab es immer einen freien Tag nach einer Woche Bereitschaft – somit hatte man ein längeres Wochenende, um sich zu erholen.
Denn selbst wenn es keine Einsätze gibt, dann bringt man doch erhebliche Opfer.
Gergely Orosz, der Autor des „The Pragmatic Engineer“ Newsletters, hat die Bezahlung von On-Call bei diversen Tech-Buden hier auf Linkedin zusammengefasst – ich bin mal gespannt, ob es dazu noch einen ausführlichen Artikel bei ihm gibt.
Wie sieht das bei euch aus?
Kostenloses Observability Engineering Buch von O’Reilly
Einige der Mitarbeiter des Observability SaaS Tool Anbieters Honeycomb haben am O’Reilly Buch „Observability Engineering – Achieving Production Excellence“ mitgeschrieben.
Bei Amazon kostet die Kindle Ausgabe 30,74€, das Taschenbuch sogar 40,99€ – bei Honeycomb selbst erhaltet ihr das 321 Seiten starke Buch als PDF Download komplett umsonst.
Ich habe das Buch selbst noch nicht gelesen, habe es aber mal auf meine Leseliste gepackt.
Für wen ist das Buch was?
Aus dem Vorwort:
…this book is most useful for software engineers responsible for developing production applications. However, anyone who supports the operation of software in production will also greatly benefit from the content in this book.
Habt ihr es schon gelesen?
Schreibt mir gerne euer Feedback dazu.
Honeycomb’s O’Reilly Book Observability Engineering
Apple BGP Adressraum für 12 Stunden gekapert
Das hier hatte ich nicht mitbekommen, ist aber schon interessant.
Zwischen dem 26. und 27. Juni hatte ein russischer Provider (Rostelecom) eine spezifischere Route als Apple selbst announced. Konkret konnte Rostelecom damit Traffic für 17.70.96.0/19 zu sich umleiten. Ob das Ganze Absicht oder ein Versehen war, ist bisher nicht klar. Apple benötigte 5 Stunden, um gegen 02:41 UTC eine eigene, passende Route zu announcen.
In Zukunft sollen BGP Routenänderungen über ein auf RPKI basiertes Verfahren abgesichert werden – viele Provider sind hier aber leider noch nicht so weit.
Ob euer Provider das kann, könnt ihr auf isbgpsafeyet.com prüfen – einem Service con Cloudflare.
Bei mir ist es die Telekom (AS3320) und leider noch nicht dabei:
Wie sieht es bei euch aus?
Russischer Provider kapert Apple-Adressraum
Lücken bei Atlassian Confluence Server und Data Center
Seit ungefähr 10 Tagen ist eine aktuelle Lücke in Confluence Server und Confluence Data Center im Umlauf, die aufgrund nicht aktualisierter Systeme noch immer ausgenutzt wird.
Betroffen sind Systeme mit installiertem „Questions for Confluence“ Plugin, welches einen neuen Default User „disabledsystemuser“ mit einem hart kodierten Passwort anlegt. Angreifer können damit bestehende Permissions umgehen und erhalten lesenden und schreibenden Zugriff auf die gesamte Confluence Installation (mit Einschränkungen).
Details findet ihr im CVE-2022-26138 bei Atlassian selbst oder bei cve.mitre.org.
User in der Atlassian Cloud sind nicht betroffen. Das Thema ist durch ein Plugin Update oder ein Löschen des „disabledsystemuser“ einfach zu lösen…. trotzdem gibt es noch diverse verwundbare Instanzen.
Jetzt patchen! Attacken auf Atlassian Confluence
Schmunzelecke
- Bei sysarmy.com könnt ihr das Sysadmin Wordle „BOFHLE“ spielen – zu raten sind hierbei Unix Commands.
- Unterschiede Junior und Senior IT Mitarbeiter bei „Wo sehen sie sich in 5 Jahren?“ – @carlaNotarobot
💡 Link Tipps aus der Open Source Welt
SnoopForms – Open-Source Typeform Alternative
Mit SnoopForms bekommt ihr eine Open-Source Alternative zur beliebten Umfrage und Formularsoftware von typeform.com.
Mit einem einfachen „No-Code“ Baukasten könnt ihr euch Formulare erstellen und diese einfach an Webhooks, Datenbanken und andere 3rd Party Tools anbinden.
Das Projekt steht noch ziemlich am Anfang (Release 0.1.0) sieht aber schon sehr vielversprechend aus.
https://github.com/snoopForms/snoopHub
Cloud Security Wiki
Im Cloud Security Wiki findet ihr allerhand Cloud Security Know How – der Fokus liegt auf AWS und Azure.
In den Kategorien findet ihr diverse Guides zu Services wie CloudFront, DynamoDB, IAM und Lambda – wie auch für Azure Monitor, Azure Key Vault oder Azure Storage.
Über das passende GitHub Projekt könnt ihr Content selbst contributen.
https://github.com/withsecurelabs/cloud-wiki
❓ Feedback & Newsletter Abo
Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.
Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!
Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren: