Cloud public

AWS

Il est désormais possible de partager une AMI avec le reste de votre organisation, ce qui facilite grandement la réutilisation d’AMIs entre comptes : https://aws.amazon.com/fr/about-aws/whats-new/2021/10/amazon-ec2-amazon-machine-images-organizations/

Amazon CloudFront prend désormais en charge la configuration des CORS et les en-têtes de réponse HTTP personnalisés et de sécurité. Plus besoin d'utiliser AWS Lambda@Edge : https://aws.amazon.com/fr/about-aws/whats-new/2021/11/amazon-cloudfront-supports-cors-security-custom-http-response-headers/

AWS Transit Gateway Network Manager a lancé de nouvelles APIs vous permettant d'effectuer une analyse automatisée de votre réseau mondial. Vous pouvez obtenir une vue agrégée de vos ressources, analyser des acheminements et récupérer des données de télémétrie dans les régions AWS : https://aws.amazon.com/fr/about-aws/whats-new/2021/11/aws-transit-gateway-network-manager-new-apis-network-route-analysis-global-network/

Annonce de la sortie du nouveau service AWS Resilience Hub qui fournit une vue centralisée pour définir, valider, et suivre la résilience de vos applications : https://aws.amazon.com/blogs/aws/monitor-and-improve-your-application-resiliency-with-resilience-hub

La documentation AWS laisse fuiter une nouvelle fonctionnalité d'AWS Lambda pendant quelques heures. Cette documentation annonce l'arrivée d'URLs pour exposer directement des fonctions lambdas ! https://www.adikts.io/une-nouvelle-fonctionnalite-pour-aws-lambda-fuite-quelques-heures-sur-le-net/

CloudZero propose une liste de 15 bonnes pratiques et stratégies à mettre en place pour bien utiliser les tags sur AWS dans une optique de réduction des coûts : https://www.cloudzero.com/blog/aws-tagging-strategy

AWS Control Tower permet désormais de faire du Nested Organization Unit. Une fonctionnalité intéressante mais à utiliser avec parcimonie : https://aws.amazon.com/about-aws/whats-new/2021/11/aws-control-tower-supports-nested-organizational-units/

Jusqu'ici, si une erreur survenait lors du traitement d’un lot de messages SQS avec une fonction Lambda, le retry impliquait le retraitement de l’intégralité des messages. Désormais il est possible de ne traiter à nouveau que les messages en erreur : https://aws.amazon.com/fr/about-aws/whats-new/2021/11/aws-lambda-partial-batch-response-sqs-event-source/

AWS a annoncé son nouvel OS : Amazon Linux 2022, celui-ci sera basé sur Fedora et viendra toujours avec les dernières fonctionnalités et les derniers outils pré-installés : https://aws.amazon.com/linux/amazon-linux-2022/

GCP

GKE offre une optimisation transparente pour le démarrage des pods à travers la nouvelle fonctionnalité "image streaming" qui s'apparente d'une certaine manière à du lazy loading d'image. Concrètement, votre applicatif pourra démarrer sans forcément attendre la fin du téléchargement d'une image. Le gain de temps sera constaté lors de la mise en échelle de l’application et sera d'autant plus élevé que l'image sera lourde. https://cloud.google.com/blog/products/containers-kubernetes/introducing-container-image-streaming-in-gke

Le changement de stratégie commerciale Google Cloud brillamment illustré par cette tribune de son CEO Thomas Kurian. Nous passons du "venez chez nous, nous avons les meilleures technologies" au "nous comprenons votre besoin et nous voulons vous accompagner". Déjà entamé avec Sundar Pichai CEO d'Alphabet, le tournant "business centric" est désormais au cœur de la stratégie GCP. https://cloud.google.com/blog/topics/inside-google-cloud/update-on-google-clouds-work-with-the-us-government

Managed Service for Prometheus est disponible en public preview. Avec ce nouveau service, Google propose un standard du monitoring mais construit au dessus de son propre service de stockage de metrics globalement scalable, lui même déjà utilisé et éprouvé avec GCP Monitoring : https://cloud.google.com/blog/products/operations/introducing-google-cloud-managed-service-for-prometheus

Gérer le risque et la conformité dans le Cloud n'est pas un exercice sur lequel un unique outil sera la réponse. En réalité, cela passe par la synergie de pratiques, d'une culture et de codes. C'est ce que rappelle Google dans cet article avec une mise en avant des services qu'ils proposent sur leur plateforme : https://cloud.google.com/blog/products/identity-security/risk-and-compliance-as-code

Si le sujet vous intéresse, vous pouvez aussi voir ou revoir la conférence d’Ismaël et Tanguy sur le sujet.

OVH

Après une annonce l'année dernière qui avait fait couler beaucoup d'encre, le service Google Anthos est disponible chez OVH : https://www.nextinpact.com/lebrief/48689/ovhcloud-lance-son-offre-google-anthos-avec-secnumcloud-en-2022

OVHcloud a annoncé la publication de l'intégralité du code de son Cloud PaaS en Open source, une nouvelle intéressante qui montre le soutien de l'acteur à cet écosystème : https://www.journaldunet.com/web-tech/cloud/1506699-ovhcloud-publie-son-cloud-en-open-source/

Sécurité

Réévaluation d'une faille importante sur GitLab d'un score CVSS de 9.9 à 10. La CVE-2021-22205 qui est patchée depuis le 14 avril, permet de réaliser une RCE (Remote Code Execution) sans être authentifié. Plus de 50% des instances GitLab publiques seraient vulnérables à l'attaque : https://thehackernews.com/2021/11/alert-hackers-exploiting-gitlab.html

Vous cherchez une alternative à Fail2Ban ? Découvrez CrowdSec à l'aide d'un tutoriel mis à disposition par Scaleway : https://www.scaleway.com/en/docs/tutorials/protect-server-using-crowdsec/

Le chiffrement de données est une contre-mesure habituellement mise en place pour se protéger en cas de vol de données. Mais nous ne sommes pas à l'abri que nos données chiffrées qui sont volées aujourd'hui, soient déchiffrées demain via des ordinateurs quantiques ! https://www.technologyreview.com/2021/11/03/1039171/hackers-quantum-computers-us-homeland-security-cryptography/

Selon une étude de Trend Micro, avoir trop d'outils de sécurité apporterait plus d'effets négatifs que positifs : https://www.cio-online.com/actualites/lire-la-multiplicite-des-solutions-de-securite-un-fardeau-pour-les-equipes-soc-13635.html

Des chercheurs de l'université de Californie ont découvert une faille Linux nommée SADDNS (Side-channel AttackeD DNS) ou CVE-2020-25705. Cette faille permet à un attaquant de rediriger des utilisateurs voulant accéder à un site légitime (eg. www.wescale.fr) vers un autre serveur via une technique d’empoisonnement de cache DNS. Près de 40% des serveurs DNS publiquement accessibles seraient impactés : https://www.cs.ucr.edu/~zhiyunq/SADDNS.html

Windows est victime d'une faille Zero Day qui permet d'élever les privilèges d'utilisateur à administrateur. Cette diffusion dévoile aussi une baisse de moyens et donc d'efficacité dans la campagne de bug bounty de Microsoft : https://cyberguerre.numerama.com/13875-une-faille-windows-0-day-rendue-publique-permet-de-devenir-admin.html

Excellent retour d’expérience expliquant comment une entreprise, Manutan s'est sortie d'une attaque par cryptolocker : https://www.lemagit.fr/etude/Recit-comment-Manutan-sest-sorti-de-la-cyberattaque-du-21-fevrier

Google à sorti ClusterFuzzLite, qui permet aux utilisateur d’exécuter des tests de fuzzing en continu sur leur pipeline d’intégration continue (CI/CD) : https://thenewstack.io/google-introduces-clusterfuzzlite-security-tool-for-ci-cd/

Ecosystème Cloud Native / Kubernetes

Longhorn, un système de stockage de blocs distribué pour Kubernetes, passe du bac à sable à l'incubateur CNCF ! Cette évolution est sans aucun doute un signe de maturité pour cette solution open source : https://www.cncf.io/blog/2021/11/04/longhorn-brings-cloud-native-distributed-storage-to-the-cncf-incubator/

Release de Knative 1.0. Souvent synonyme de General Availability, dans les faits seuls les composants "core" le sont. Certains composants ou features seront toujours en alpha ou bêta bien que, pour des raisons pratiques, leur version sera aussi alignée sur 1.0. Plus de détails dans cet article du blog Knative : https://knative.dev/blog/articles/knative-1.0/

La fondation Linux lance une nouvelle certification : la KCNA (Kubernetes and Cloud Native Associate) qui se positionne comme une certification de base au Cloud Native, qui peut être approfondie avec la CKAD, la CKA ou la CKS : https://www.cncf.io/announcements/2021/11/18/kubernetes-and-cloud-native-essentials-training-and-kcna-certification-now-available/

HashiCorp

La version 1.9 de Vault est désormais disponible. Au menu, une nouvelle fonctionnalité d'OIDC (OpenID Connect) provider en tech preview, de nouvelles fonctionnalités pour le moteur de secrets KV2, et bien d’autres choses : https://hashi.co/30BEF9m

Hashicorp met également à disposition de nouvelles intégrations pour faciliter la surveillance de Vault avec Grafana : https://hashi.co/2Y9gcai

Nomad n’est pas en reste avec la sortie de sa version 1.2 qui inclut la gestion de jobs batch, mais aussi et surtout Nomad Pack. À l’instar de Helm pour Kubernetes, Nomad a enfin son gestionnaire de paquets ! https://www.hashicorp.com/blog/announcing-hashicorp-nomad-1-2

Outils

WSL2 avec Windows 11 permet d'installer les outils graphiques comme gedit, nautilus côté linux et de les utiliser sous Windows (et de les épingler s'il le faut) : https://docs.microsoft.com/fr-fr/windows/wsl/tutorials/gui-apps

Grafana sort son nouvel outil de gestion d’alertes et d’astreintes: Grafana OnCall. L’outil est disponible en version bêta preview pour tous les utilisateurs de Grafana Cloud  ! Une nouvelle solution open source intéressante à suivre de près : https://grafana.com/blog/2021/11/09/announcing-grafana-oncall/

Une étude réalisée par des chercheurs de Google cloud montrant l’impact de l’adoption du cloud et des bonnes pratiques SRE ainsi que la documentation sur la performance de la production logicielle : https://cloud.google.com/blog/fr/products/devops-et-ingenierie-sre/2021-accelerate-state-devops-report

Divers

Après avoir abordé Cloud-Init le mois dernier dans un article que nous vous recommandons chaudement, NextInpact continue sa série sur les essentiels des systèmes Linux à connaître. Ce mois-ci ils abordent avec toujours une grande pédagogie et qualité l'ajout au démarrage d'un service : https://www.nextinpact.com/article/48655/lancer-script-au-demarrage-sous-linux-et-bsd-quelle-methode-pour-quelle-distribution

Création d'un standard Opendata nommé OpenBytes annoncé par The Linux Foundation : Le projet a pour objectif de rendre les données ouvertes plus disponibles et accessibles par la création de normes et de formats de données : https://betanews.com/2021/11/02/new-project-open-data-more-accessible/

Le parlement adopte une loi pour réduire l'empreinte environnementale du numérique, sont concernés : la consommation énergétique des data centers, les produits reconditionnés ainsi que l'obsolescence logicielle : https://www.usine-digitale.fr/article/le-senat-adopte-un-texte-pour-reduire-l-empreinte-environnementale-du-numerique.N1156677

Le poste d'administrateur système DevOps existe désormais officiellement en France ! https://www.lemondeinformatique.fr/actualites/lireamp-le-poste-administrateur-systeme-devops-officiellement-cree-84725.html

Les 9 et 10 novembre dernier se tenait l'Open Source Experience à Paris, si vous l'avez loupé Zwindler, revient sur ces deux journées pleines de conférences et rencontres :

Après une première année en demi-teinte et un grand nombre de déceptions notamment sur l'arrivée massive d'acteurs cloud non européens, Scaleway annonce ne plus renouveler sa présence dans l'organisme Gaia-X. L'organisation perd donc l'un des leaders français du cloud, un coup dur pour leur image qui ne cesse de se dégrader : https://www.nextinpact.com/article/48898/scaleway-va-quitter-gaia-x

Vous avez besoin de mettre à l’échelle une base de données MongoDB ? Découvrez comment fonctionne le sharding avec cet article complet et accessible : https://practicalprogramming.fr/comment-scaler-une-application

À voir et à revoir

L’épisode 5 de la saison 2 de notre podcast WeSpeakCloud a été mis en ligne. Vous entendrez parler de cloud native avec Bastien Cadiot, CTO chez Artifakt.

Après notre participation au DevFest en octobre, Nantes à été une nouvelle fois à l’honneur en novembre avec l’organisation par WeScale d’un petit déjeuner Cloud & Sécurité sur le Maillé-Brézé : https://blog.wescale.fr/2021/11/19/maille-breze-et-securite/

Les vidéos du DevFest Nantes sont disponibles sur youtube. Vous y trouverez le replay de la conférence d’Ismaël Hommani et Tanguy Combe, “La Policy As Code via le moteur de règles Cloud Custodian”. Vous y trouverez également la conférence de Vincent Poilvert, “Sécurisez votre pipeline de livraison multi-cloud avec HashiCorp Vault”.