November News from the Clouds

AWS

Ce mois-ci, nous avons assisté à plusieurs événements :
Les lancements de deux nouvelles régions :
- Zurich,
- Hyberabad.

Et de nouveaux services :
- Nitro Enclaves (qui est l’équivalent des Confidential VMs ou des Confidential Instances disponibles respectivement sur Google Cloud et Azure) et les certificats SSL qui leur seront associés via Amazon Certificate Manager.
- OpsCenter : une intégration de CloudWatch dans AWS System Manager qui nous permettra d’effectuer des aggrégations d’événements, d’alertes et d’incidents dans un seul et même dashboard.
- AWS Gateway Load Balancer, un service qui facilite et économise le déploiement, la mise à l’échelle et la gestion de la disponibilité des appareils virtuels tiers tels que les pare-feu, les systèmes de détection et de prévention des intrusions et les systèmes d’inspection approfondie des paquets dans le cloud.
- AWS Glue DataBrew, un outil visuel de préparation de données développé dans le but de normaliser et nettoyer les données provenant de Redshift, RDS, un datastore JDBC ou bien des données indexées par AWS Glue Data Catalog (un service similaire à Cloud Dataprep de Google Cloud),
- AWS Network Firewall, un service de firewalling dédié au VPC complémentaire aux Network Security Group.
- S3 Storage Lens, un outils d’analyse et optimisation de votre espace de stockage S3 développé grâce aux 14 ans d’expérience acquise par AWS dans l’exploitation du service.

Azure

Alors qu’en Juin 2020, Azure avait annoncé de nouvelles offres CPU/Memory optimized basées sur les processeurs Cascade Lake d’Intel, le fournisseur de services Cloud n’avait plus communiqué sur le sujet.
Le 4 Novembre, ils ont annoncé l’extension de leur certification SAP-HANA afin de permettre l’exécution de charges sur des machines virtuelles à base des processeurs cités précédemment.
De nouvelles fonctionnalités DNS spécifique à Azure Firewall sont disponible, dont Custom DNS, DNS Proxy et FQDN Filtering.
Alors que la fonctionnalité de Long Term Retention Backup n’était disponible que pour Azure SQL Server, Azure a élargi son champs d’application à PostgreSQL.

Google Cloud Platform

Trois nouvelles fonctionnalités sont disponibles en Preview pour CloudCDN, il s’agit de :
- Cache Modes,
- Cache TTL,
- Custom Response Headers

Lancement d’un nouveau service : Document AI Platform une interface de traitement de document unifiée pensée et développée pour améliorer l’efficacité d’extractions de données via l’utilisation de l’intelligence artificelle et du Machine Learning.

Google Cloud annonce également :
- le support de PostgreSQL 13 pour CloudSQL,
- Database Migration Service et propose une série de bonnes pratiques
- La nouvelle certification Google Cloud : Professional Machine Learning Engineer

Hashicorp

La prochaine version de Terraform (la 0.14), actuellement en preview, proposera de nouvelles fonctionnalités :
- un rendu de diff plus concis lors du terraform plan,
- les sensitive values en output,
- Le Dependency Lock file, généré automatiquement au lancement d’un init, cette fonctionnalité s’applique principalement aux providers customisés.

Les versions 0.16 de Sentinel et 1.6 de Vault sont également annoncées.

Ainsi qu’une mise-à-jour de l’UI de Nomad introduisant de nouvelles fonctionnalités :
- La première se nomme Topology Visualization et permet l’observation du cluster,
- La seconde quant a elle, disponible uniquement pour l’offre Entreprise, est appelée Dynamic Application Sizing et propose d’effectuer l’optimisation intelligente de la consommation de ressource,

Docker

Docker a enfin annoncé l’intégration de Compose CLI et d’Azure Containers Instances, dans les cartons depuis l’annonce du partenariat entre Docker et Microsoft (en Mai).
Suite à l’événement One More Thing d’Apple annonçant la future disponibilité du processeur maison M1 sur les Mac Mini, Macbook Air et Macbook Pro 13”. Docker a décidé de l’intégrer dans sa roadmap de développement afin que tout soit compatible nativement (et non en passant par Rosetta 2 comme c’est le cas actuellement).
Dernière annonce de la part de Docker : Docker Compose for AWS est dorénavant disponible et permet de déployer des services sur ECS. Pour cela, il suffit d’avoir installé la toute dernière version de Docker Desktop Community (version 2.5.0.1 ou plus récente).

Cybersecurity

Pour commencer, un petit article sur les différentes stratégies possible de prévention des fraudes.
le Project Zero de Google a détecté une nouvelle faille 0-Day sur Windows au sujet d’une vulnérabilité Buffer Overflow dans le driver Cryptographique du noyau, ainsi que deux nouveaux exploits sur Chrome.

L’acquisition prochaine de PAS Global par Hexagon a été annoncée ici

Actuellement, personne n’est épargné par les cyber-attaques, Capcom en a également subie une.

Dans la continuité du Google Project Zero et des détections de failles de sécurité, Apple a mis à disposition plusieurs patch dans le but corriger trois failles 0-Day sur chacun de leur OS.
Deux d’entre elles peuvent permettre à un attaquant d’exécuter du code arbitraire sur le système dépourvu du patch, la dernière permettrait à une application malveillante de divulguer le contenu du kernel.
Suivant l’exemple de Google et d’Apple, Microsoft a également corrigé de nombreuses failles de sécurité (112 pour être exact), dont certaines se sont révélées critiques.

Voici un article intéressant de Alan Bavosa sur les différentes méthodes d’attaques possible dans le but de bypasser une fonctionnalité MFA.

Les dernière élections américaines, bien qu’extrêment sécurisées, risquent de faire des dégats au sein de l’agence CISA. En effet, le directeur de l’agence s’attendait à se faire licencier d’ici la fin du mandat du président Trump.
Ce qui est arrivé quelque jours plus tard.

Tooling

Nous venant de la Sandbox de la CNCF, voici Metal³ un outils de provisionning Bare Metal pour Kubernetes à surveiller.
Cette fois-ci, il s’agit de Security & Compliance Automation avec Divvy Cloud, supportant de nombreux environnements tels que AWS, Azure et GCP (pour ne citer qu’eux) et proposant de l’intégration avec Slack ou Pageduty, DivvyCloud gère aussi bien l’aspect Security as Code (incluant IAM, Threat Protection et Risk Assessment) que l’automatisation des actions visant à renforcer la sécurité dans le Cloud.
DeployHQ est un nouvel outil de déploiement de package…certes, encore un…mais celui-ci gère également le build, le provisionning des serveurs sur lequels votre code va compiler et tourner, ainsi que le déploiement.