SecOps

Des certificats de courte durée

La durée de vie des certificats ramenée à 1 an maximum. Une bonne raison de plus pour automatiser leur gestion, et abandonner enfin les CRL (Certificate Revocation List) ! Cet accord entre les autorités de certification fait suite à la décision (complètement arbitraire et sans concertation mais dans le but de “sécuriser internet”) des principaux navigateurs de ne plus accepter les certificats de plus d’un an. La situation est cependant un peu confuse car les navigateurs n’appliquent pas exactement les mêmes durées. A noter que les certificats émis avant la date d’entrée en vigueur (1er septembre 2020), ne sont pas concernés par cette limite.

Un accès sécurisé à vos clusters

Dans cet article, nous allons jeter un coup d'œil à Teleport, dans sa version open source. Pour résumer, au risque d'être simplificateur, il s'agit d'une solution de bastion qui tente le délicat exercice de protéger une ferme de machines et de services, sans être trop intrusif à l'usage.

Le hack twitter

Les comptes twitter d'Elon Musk, Bill Gates et Kanye West (entre autres), ainsi qu'Apple et Uber hackés, demandent d'envoyer des bitcoins pour en recevoir le double. Un hacker a gagné sa soirée! Une sombre histoire d'inside job. Twitter revient sur l’incident.

Une V2 pour Dex

Dex, le fournisseur d'identité OIDC bien connu pour brancher différents moyens d'authentification sur un cluster K8s (mais pas que) vient de sortir la v2 de son API. Il s'agit d'une réécriture majeure de cette dernière, en utilisant notamment gRPC et protobuf.

Tuto sécu dans Kubernetes

Un tutoriel OPA et Gatekeeper pour forcer l’application des politiques de conformité dans vos clusters K8s.

Enfin un dépôt standard pour les outils Hashicorp

HashiCorp a maintenant un dépôt Linux standard. Fini le téléchargement manuel d’une archive avec un lien copié-collé et la vérification du checksum, la décompression et l’installation aléatoire dans votre distribution. Les déploiements d’outils Hashicorp seront maintenant plus faciles en laissant tout ce travail là au gestionnaire de paquets (support actuel de Debian, Ubuntu, Fedora, CentOS, RHEL, and AmazonLinux). Pour l’instant, seuls Vault, Consul et Nomad sont disponibles. Terraform, Packer, et Vagrant seront disponibles plus tard dans l’année.

Meowwww =^..^=

L’attaque meow commence à prendre de l’ampleur, voici un résumé intéressant sur les dégâts causés. Cette attaque automatisée dont on ne connaît pas les origines, s’en prend aux systèmes de stockage de tous types, Mongo, ElasticSearch, Redis, systèmes de fichiers ouverts et mal protégées. Le robot vide le contenu et ne laisse qu’une entrée “meow, d’où son nom.

Datadog sur mobile

Pour les fans de datadog, vous serez ravis d’apprendre qu’une application mobile gratuite est disponible (mais évidemment datadog reste payant). Cela peut être bien pratique pour les astreintes.

Kubernetes / Conteneur

SUSE rachète (presque) Rancher

SUSE est sur le point de racheter Rancher. Chaque groupe cherche aujourd’hui à avoir une part du gâteau des orchestrateurs de conteneurs et pouvoir se proclamer leader sur le sujet. Cette compétition n’apporte pour l’instant pas de changement fondamental, on en est encore à l’étape où chacun place ses pions.

Déploiement ECS depuis la CLI Docker

Dans le cadre de leur partenariat avec AWS, Docker déploie (en beta) une intégration forte au sein de leur CLI pour un déploiement instantané dans AWS ECS Fargate.

Containerd sur Azure

Azure AKS a introduit containerd en preview et prévoit de le mettre par défaut à la place de docker sous peu.

Un plugin Nomad pour Podman

Le CTO de Pascom (un CTO Pascom les autres - Joachim) présente sur le blog d’HashiCorp, un plugin pour gérer les tâches Nomad au travers de Podman sous la forme d'un driver. Podman supporte les conteneurs OCI et vient avec un outil en ligne de commande permettant ainsi complétement se passer de Docker. Voici le code et la documentation.

Cloud Native

Maesh 1.3

Containous annonce la sortie de Maesh 1.3,  au programme optimisation de la boucle du contrôleur principal, support de CoreDNS sur AKS, et une gestion des Namespaces (entre autre).

Contour à la CNCF

Contour entre à la CNCF en incubation. De quoi gagner encore un peu plus de terrain parmi les Ingress Controllers et participer, aux côtés de Traefik et HAProxy 2, au déclin progressif de NGINX.

Traefik Pilot, une nouvelle plateforme SaaS

Containous annonce la sortie d'une plateforme SAAS pour Traefik, permettant de centraliser des middlewares, et avoir une vision centrale de ses instances traefik et des CVE en cours.

Vers un Traefik 2.3

Containous (encore) annonce la sortie la RC2 de Traefik 2.3 avec, entre autres,  l'ajout du provider ECS et l'intégration du nouveau service Traefik Pilot. Hey, psss, il parait que la RC3 vient tout juste de sortir, elle corrige notamment une CVE mineure sur le dashboard.

AWS CDK for Terraform

L’annonce d’HashiCorp, que Mitchell nous avait teasée sur twitter, AWS CDK for Terraform qui supporte Python et TypeScript. Vous pouvez ainsi générer du code Terraform à partir de Python ou JS. Il s’agit là d’une grosse collaboration avec AWS qui d’une part, confirme la direction prise par AWS vis à vis de CDK et CloudFormation, et d’autre part vient semer le trouble chez des concurrents qui avaient pris le marché comme Pulumi.

OVH achète OpenIO

Petit coup de tonnerre dans le domaine de l'hébergement et du stockage objet, OVHcloud vient d'annoncer l’acquisition de OpenIO. L'entreprise « se donne pour ambition de créer la meilleure offre de Stockage Objet du marché ».

BigQuery Omni, toujours plus grand

Google annonce BigQuery Omni, une solution d’analyse de données à grande échelle et qui se projette sur du multicloud en supportant AWS et Azure (bientôt). Omni se repose sur Anthos, la solution d'hébergement full managée d’infrastructure multicloud de Google.

Des instances AWS sur leurs processeurs AWS Graviton2

AWS annonce la disponibilité d'instances "gd" basées sur des processeurs Graviton, créés par Amazon, ces processeurs basés sur une Architecture ARM seraient jusqu'à 40% plus rentables en terme de prix/performance. Basées sur de l'instance storage en NVME, ces nouvelles machines présagent une nouvelle montée en puissance chez le leader du cloud public.

Cloudflare Workers "at edge"

Cloudflare améliore sa solution d’hébergement serverless en tirant au maximum partie de ses points de présences mondiaux avec les Workers Unbound. Cloudflare est déjà assez compétitif en termes de temps d'exécution et apporte ici une plus-value intéressante pour des clients qui auraient des besoins régionaux spécifiques.

Chaos Mesh à la CNCF

Chaos Mesh, la plateforme de chaos engineering qui permet d’orchestrer du chaos sur des environnements kubernetes, rejoint la liste des projets sandbox de la CNCF. Le projet fournit un opérateur open-source qui s’appuie sur les CRD et une interface web toujours en cours de développement.

Re:invent en virtuel pour 2020

Pas de Re:Invent, la grosse conférence AWS, en physique pour cette année mais des conférences virtuelles et gratuites à venir sur 3 semaines.

Divers

La CJUE annule l'accord sur les données personnelles

L'accord sur le transfert de données personnelles vers les US est annulé par l'EU. On est heureux en europe de savoir que la CJUE continue de faire attention à nos données personnelles. Aujourd’hui les entreprises américaines importent massivement nos données aux Etats-Unis pour les traiter de manière plus libre. La Cour de Justice a annulé la décision de 2016 qui rendait cela légal.

L'irlande partage à tous son application pour le COVID

Le service national de santé de l'Irlande donne à la fondation Linux, leur application de tracking du COVID. On espère que cela inspirera d’autres élans de contribution.

Et quoi de neuf dans l’univers WeScale ?

Teddy, ambassadeur Traefik, nous explique sur le blog comment se servir du nouveau provider ECS de Traefik dans un tutoriel très pédagogique.

Benoît nous explique dans les détails le fonctionnement des providers Terraform en fournissant une base de code mettant en illustration et vous permettant de pratiquer tous les exemples et cas tordus auxquels il pourra avoir pensé.

Si vous avez raté notre dernier live WeSpeakCloud sur Podman fait par Thomas, la vidéo est disponible avec le résumé des slides. Vous pouvez également retrouver un article plus détaillé sur son blog personnel.