Запись доклада с AWS re:Invent об архитектуре под капотом Lambda

Бонусом, неск тематических скетчей от Cindy Sridharan

#aws

🔎 И вот ещё s3audit - утилита для быстрой проверки S3 хранилища на соответствие правилам безопасности. https://github.com/scalefactory/s3audit

#aws #security #github

Прямо сейчас проходит AWS re:Invent, так что новостей об Амазоне будет ого-го.

Пока из самого интересного (субъективно):

- Amazon EKS on AWS Fargate Now Generally Available - теперь можно не париться ЕС2 нодами и просто кормить ямлы в кластер

- AWS launches Fargate Spot, save up to 70% for fault tolerant applications - гоняем всё тот же Фаргейт на спотах

- Announcing the Amazon ECS CLI v2 - про CLI теперь можно без Python и со встроенным SSO

P.S.: И ещё буквально две штуки, не связанные с Амазон. Однако, решил добавить в этот пост, чтобы не спамить.

- CrossGuard от Pulumi для управления политиками
- Thanos(хранилище метрики для Prometheus) вышел версией 0.9.0

#aws #iac #observability

Я что-то на долгое время умолк, но всякое случается.

На неделе надо будет разобрать для канала склад ссылок, а пока напишу про AWS Service Endpoints

Это почему-то не самая популярная тема. И я заметил, что часто эти знание передаются прям из уст в уста, “от отца к сыну”. Это, скорее всего, связано с не самой очевидной документацией Amazon, но всё же.

Привер использования - alias-запись типа A для балансеров в Route53. Через консоль это конфигурируется легко из выпадающего списка. Но, например, для Terraform нужно указать hosted zone, которая по логике соответствует hosted zone Route53, но нет. Балансеры живут в своей сервисной зоне.

Список зон балансеров и другие сервисные эндпойнты можно найти здесь, там же квоты по-умолчанию на ресурсы.

#aws

cfn-nag

Инструмент cfn-nag ищет шаблоны в CloudFormation , которые могут указывать на небезопасную инфраструктуру.

Что проверяется:
1) IAM и политики ресурсов (S3 Bucket, SQS и т. д.)
2) Security Group - например, ingress правило открыто для 0.0.0.0/0 , открыт диапазон 1-65535
3) Журналы доступа
Ищет журналы доступа, которые не включены для соответствующих ресурсов (например, Elastic Load Balancers и CloudFront Distributions)
4) Шифрование (на стороне сервера), которое не включено или не применяется для соответствующих ресурсов (например, томов EBS или для вызовов PutObject в корзине S3)

https://github.com/stelligent/cfn_nag

#tools #aws

HashiTalks 2020

Shifting Terraform Configuration Security Left - про безопасную конфигурацию, проблемы статического анализа Terraform, инструменты с открытым исходным кодом, которые могут помочь в тестировании

Vault Response Wrapping Makes The "Secret Zero" Challenge A Piece Of Cake - что такое "Secret Zero" в разрезе Vault, о методе Vault AppRole и как настроить и использовать функцию переноса wrapped-токенов

Moving Security and Sanity Left by Testing Terraform with InSpec - как проверить корректность деплоя с помощью InSpec, как не испортить нервишки и добавить тесты в уже существующую инфраструктуру

Securing AWS Accounts With HashiCorp Vault - как создавать разрешения с помощью AWS и использовать HashiCorp Vault вместе с динамическими секретами для генерации доступа и секретных ключей

Using an Image Release Process for Security Wins - создание защищенных образов машин Amazon с помощью HashiCorp Packer.

Полная программа следующим постом (лучше поздно, чем никогда)

#talks #aws #vault

В связи с переходом на удалённую работу, у меня пропало основное время для отбора материалов для канала - поездки в метро 😐
Из-за этого материалы стали выходить реже, что вы и так могли заметить.

Для выходных скину сюда материалы AWS Well-Architected Framework - сборник принципов построения "хорошей" инфраструктуры в AWS. Внутри высокоуровневый обзор, который делится на несколько групп:

- Описание самого фреймворка
- Operational Excellence Pillar
- Security Pillar
- Reliability Pillar
- Performance Efficiency Pillar
- Cost Optimization Pillar

Фреймворк будет полезен и если вы только начинаете работать с AWS, и если уже с ним знакомы. Потому что информации много и что-то да забывается

#aws

Enforcing AWS S3 Security Best Practices Using Terraform & Sentinel

Пост о том, как использовать Terraform Enterprise / Cloud для обеспечения проверки S3 на соответствие лучшим практикам по безопасности (правила Sentinel на GitHub)

https://medium.com/hashicorp-engineering/enforcing-aws-s3-security-best-practice-using-terraform-sentinel-ddcd181ff4b7

#aws

Terraform Foundational Policies Library

HashiCorp объявила, что выпускает библиотеку на базе правил Santinel для Terraform Cloud and Enterprise из более чем 40 элементов управления, основанных на CIS Benchmarks, для защиты облачных сервисов, включая сети, базы данных, хранилища и вычислительные сервисы.

#terraform #aws #azure #gcp

Расшифровка каждого имени amazon web сервисов

https://adayinthelifeof.nl/2020/05/20/aws.html

#amazon #aws

serverless.tf - новый проект Антона Бабенко для работы с serverless решениями в AWS.

Это фреймворк, который позволяет управлять такими ресурсами, как Lambda, DynamoDB, SQS, S3, etc. при помощи Terraform модулей.

Почему возник serverless.tf и его сравнение с аналогами можно почитать на странице проекта

#aws #serverless #hashicrop #terraform

​​Курс: «AWS (Amazon Web Services) — От Профессионала до Эксперта»
Материал для системных администраторов.

- Старые и Новые сертификационные экзамены AWS
- Как получить дополнительные 30 минут на всех экзаменах AWS
- Как повысить лимит сервисов — Service Limit Increase
- Создание Группы ресурсов — Resource Groups
- Соединение Сетей — VPC Peering
- Расширение сети VPC — Multi CIDR VPC
- VPC Endpoints — Внутренний доступ от вашей сети к сервисам AWS
- Route53 — Health Checks — Мониторинг Web Серверов
- Route53 — Cross Region Load Balancer

👉 Скачать 👈

#Cloud #AWS

Cloud Pentest Cheatsheets

Полезное репо для тестирования публичных облаков (AWS, Amazon, GCP) на проникновение. Помимо команд, приведенных для проверки безопасности облака, в репо можно найти перечень инструментов (pacu, weirdaal для AWS, MicroBurst, PowerZure для Azure и другие), а также парочку стендов для практики (Cloudgoat, SadCloud,...)

Полезно будет не только для red team. Прикладываю в формате pdf.

#aws #azure #gcp #tools

CloudSecDocs

Один из крутых инженеров Marco Lancini, за активностью которого слежу, релизнул cloudsecdocs.com. Это большая Интернет-энциклопедия по безопасности облаков.

Вот что уже можно почитать:
- Secure SDLC: сканеры, работа с секретами, compliance as code, лабы, моделирование угроз, метрики, логирование
- Docker и Kubernetes, что это, какие компоненты, как деплоить и работать с этим
- Моделирование угроз для Docker и Kubernetes
- Опиcание RBAC
- Описание важных компонентов с точки зрения безопасности k8s
- Атаки и пентест на контейнеры
- Компоненты AWS и Azure, а также их защита
- Угрозы и методология тестирования облаков

#aws #gcp #azure #dev #ops #k8s #docker

HopsFS: 100x Times Faster than AWS S3

#hopsfs #aws #s3

Отличное введение в очереди/брокеры сообщений

https://sudhir.io/the-big-little-guide-to-message-queues/

#kafka #nsq #mq #nats #aws #fcp

Cloud Native Security

Свежая книга по cloud native безопасности (kubernetes, aws) с упоминанием некоторых DevSecOps-подходов (есть даже про "deprecation of PSP"). В основном все строится на практической составляющей с вводом-выводом на консоль и примерами интеграций конкретных инструментов.

#literature #dev #ops #k8s #aws

Cloud Security Orienteering

Статья на тему, что нужно делать, чтобы разобраться в безопасности AWS организации, про которую ты ничего не знаешь. Приведено большое количество фреймворков в стиле awesome, такие как AWS Security Maturity Roadmap 2021, The AWS Security Reference Architecture и Cloud Penetration Testing Playbook. Плюс сам автор статьи поделился своим собственным чеклистом.

#aws #ops