Re:tour Re:Invent

AWS Re:Invent 2017 est fini depuis trois semaines, de quoi prendre le recul nécessaire pour vous faire un retour d'expérience à froid et en toute objectivité.

C’est quoi donc ?

Pour ceux qui ont passé les dernières semaines loin de tout appareil connecté à Internet, sachez que la cinquième grande messe annuelle Amazon Web Services s’est déroulée à Las Vegas fin novembre.

Cette année, ce sont plus de 40 000 personnes qui ont participé à plus de 1000 sessions.

Difficile de résumer un tel événement tellement celui-ci est synonyme de démesure. Plus qu’un annuaire des nouveaux services annoncés, nous préférons revenir sur les sessions qui nous ont marqués, le GameDay et les à-côtés du Re:Invent.

Quelques présentations

SecOps 2021 Today: Using AWS Services to Deliver SecOps

Armando Leite, architecte sécurité chez AWS, et Alex Maestretti, responsable des ingénieurs sécurité chez Netflix, nous ont montré comment utiliser les services fournis par AWS afin d’ajouter ou de gérer la sécurité de ses propres services. Cette présentation a été réalisée en 2 temps :

  • Une démo des possibilités offertes par Armando Leite via l’utilisation de CloudTrail, CloudWatch Events, des fonctions Lambda pour ne citer qu’eux
  • Alex Maestretti a ensuite présenté comment l’équipe sécurité de Netflix réagit dans le cas d’une instance potentiellement attaquée. Ici, nous sommes dans une gestion multi-comptes, toujours avec des fonctions Lambda, des snapshots d’EBS, l’utilisation de Simple Server Manager (SSM).

Au travers de ces démonstrations, il apparaît que les services fournis par AWS permettent une gestion assez fine et réactive des potentiels événements se produisant sur notre infrastructure.

Vous pouvez aussi consulter :

CTD310 - Living on the Edge, It’s Safer Than You Think! Building Strong with Amazon CloudFront, AWS Shield and AWS WAF.

Encore une session liée à la sécurité !

Dans un premier temps, nous avons eu un détail du contenu des ‘edge locations” d’AWS qui permettent un déploiement mondial des services orientés sécurité : CloudFront (CDN), Shield (anti DDos) et WAF.

Intégrer CloudFront même sans caching est une bonne pratique puisqu’en cas de DDos, ce ne sont pas votre load balancer ou vos IPs élastiques qui sont exposés, mais potentiellement les 107 points de présence CloudFront. Le couple CloudFront et WAF Web ACL fournit un premier niveau de DDos. Pour aller plus loin, la mise en place Shield advanced s’impose. AWS Shield propose deux niveaux : standard et advanced. Tous les services AWS intègrent Shield standard de manière transparente : vous n’y avez pas accès sauf via les mails des services sécurité AWS. En plus des métriques sur les nombres et types d’attaques, le mode advanced propose un accès 24H/7 aux équipes DDos response d’AWS.

Dans un second temps, la gestion dynamique des règles de sécurité a été illustrée via des lambda qui :

  • mettent à jour périodiquement les règles AWS WAF pour bloquer les IPs publiques du réseau TOR
  • analysent les logs réseau pour bloquer les IPs faisant un appel hors cas d’utilisation (throttling)

la vidéo
les slides

SRV305 - What's New in Serverless

En toute objectivité, les conférences sont tellement nombreuses qu’elles sont de qualité assez inégale. Mais il faut tout de même noter qu’il y en a certaines qui sont bien représentatives de l’ambiance Las Vegas tout en étant parfaitement maîtrisées et apportant leur lot d’annonces. À ce titre, cette présentation était tout bonnement excellente via un petit tour de magie où deux personnes découpent une troisième personne sur scène (voir la vidéo vers 1:10). Bref, il faut bien trouver des moyens de maintenir tout le monde à flot malgré les jets lags des uns et des autres (9 heures pour nous, argh). La suite sera parsemée des nouvelles fonctionnalités dans AWS Lambda dont deux annonces des plus intéressantes : passage à 3Go de mémoire max (pour les edge aussi) et arrivée du support de GoLang bientôt officialisée.

la vidéo : https://www.youtube.com/watch?v=WrPOz2dx8XY

Le Gameday

Comme nous vous en avions déjà parlé, nous avons participé au GameDay au mois de Juin à Paris dans un cadre assez classique (maintien en condition opérationnelle d’une API avec une architecture s’adaptant à la charge afin de maintenir des coûts bas), la session à laquelle nous avons participé au Re:Invent s’est révélée un challenge bien différent.

Après un démarrage, somme toute assez classique, via la remise en service d’un site en différentes étapes qui ont nécessité la mise en place :

  • d’un bucket S3 pour réaliser de l’hébergement statique,
  • d’un autoscaling group derrière un load balancer. Les instances EC2 “s'arrêtant” périodiquement, il faut ajuster les health-checks.

Chaque étape doit être franchie pour débloquer les exercices suivants.

Ensuite, focus sur les outils DevOps d’AWS : CodeBuild, CodeDeploy et CodePipeline pour les mises à jour applicatives.

Une fois le site de nouveau en place, il faut retrouver le directeur de la société. Pour cela, quelques échantillons de son visage et différentes photos à analyser afin de savoir s’il est présent dans celles-ci et donc de suivre son parcours de fuite. À notre rescousse est venu le service Rekognition, qui nous a permis d’enregistrer nos échantillons et de disposer ainsi d’une base pour reconnaître le visage dans les images qui nous étaient fournies par la suite. La simplicité de mise en place des échantillons ainsi que la rapidité d’analyse sont assez impressionnantes.

En parallèle de la partie “enquête”, vous avez deux mini-jeux à réaliser. Ce principe est plutôt pratique et assez fun pour séparer les tâches dans l’équipe de quatre personnes que nous sommes.

Le premier consiste à retrouver une bribe de service se trouvant sur un snapshot crypté. L’idée est de remonter le snapshot crypté sur un volume non crypté monté sur une instance EC2. En cherchant correctement, vous trouverez la solution dans la documentation AWS. Une fois le tout remonté correctement, il devient alors possible de soumettre une clé à l’API et d’en récupérer un serial number. Cette dernière information sera l’élément permettant de valider auprès des organisateurs votre succès.

Pour le deuxième challenge, vous êtes une fois de plus plongé dans la peau d’un employé de la fameuse compagnie de location de costume de licorne. Le chef du marketing veut à tout prix disposer d’une application en mode chatbot pour opérer la commande de costumes. Votre challenge est alors d’utiliser AWS Lex pour réaliser cette discussion.

Coup de chance, le service est très similaire à ce que peut faire DialogFlow de GCP que nous connaissons. Bon, par contre, on aura quelques galères pour valider la discussion puisque celle-ci doit se faire par texto entre le service LEX exposé à travers une passerelle Twilio. Mais le staff AWS est toujours ultra disponible et nous prête son téléphone, Good !

En dehors des salles

Du fait de la répartition tout le long du “Strip” (Las Vegas Boulevard) des différents centres de conférence, nous avons eu l’occasion de traverser plusieurs fois durant la semaine ce boulevard (prévoir de bonnes baskets ;) ). Et donc de réaliser le gigantisme et l’exubérance de cette ville, qui est encore plus folle que ce qu’on peut décrire.

Conclusion

Cette semaine au Re:Invent a été l’occasion d’acquérir un grand nombre de connaissances sur les nouveaux services, de découvrir des cas d’utilisation pertinents pour des services bien connus et enfin de faire des rencontres enrichissantes avec différents utilisateurs AWS du monde entier. Nous ne saurons que trop vous conseiller d’aller sur ces différents liens et d’approfondir vos connaissances sur le monde d’AWS :

  • la chaîne Youtube Amazon Web Services qui propose différentes listes en fonctions des thèmes abordés
  • le slideshare dédié au Re:Invent 2017
  • un outil de recherche sur les vidéos des 6 derniers Re:Invent

Toutefois, attention, cela pourrait devenir très chronophage !