Les nouveautés d’AWS

En début de mois, AWS organisait son événement annuel le plus attendu: 10ème année du Re:Invent! Et en présentiel après le passage forcé en distanciel l'année dernière! De nombreuses annonces comme d'habitude. Voici un onepager qui résume ces annonces: https://github.com/zoph-io/awscon-onepager/blob/master/reinvent/reinvent-2021.md

Annoncé sur le blog d’AWS fin novembre il est maintenant possible à l’aide d’un module Terraform de créer un compte AWS avec Control Tower. Vous pouvez désormais automatiser la création de comptes entièrement fonctionnels, ils auront accès à toutes les ressources dont ils ont besoin pour être prod ready ;). Ce module fonctionne avec Terraform open source, Terraform Enterprise et Terraform Cloud : https://aws.amazon.com/blogs/aws/new-aws-control-tower-account-factory-for-terraform/

AWS a également lancé une plateforme de code basée sur Amplify. Nommé Amplify Studio ! Destinée aux développeurs front, elle leur facilitera la vie en incluant, bibliothèques, de nouvelles fonctions de visualisation et une configuration plus simple des backend Amplify. Elle est désormais disponible sur 17 régions !
https://aws.amazon.com/about-aws/whats-new/2021/12/aws-amplify-studio/

Depuis le 1er décembre, AWS Transit Gateway prend en charge l'appairage intrarégional. Vous pouvez maintenant simplifier le routage et l'interconnectivité entre des réseaux de Transit Gateway dans une même région AWS. C’est la simplification intra-régionale des opérations cloud et de la connectivité réseau !
https://aws.amazon.com/fr/about-aws/whats-new/2021/12/aws-transit-gateway-intra-region-cloud-network/

Vous l’avez sûrement remarqué lors de la journée du 7 décembre mais plusieurs services AWS étaient indisponibles pendant un certain temps. Ce qui a impacté de nombreuses plateformes telles que Netflix ou Disney+.

Les incidents se sont déroulés dans la région AWS “us-east-1”. Cette région étant la principale et abritant énormément de fonctionnalités / services AWS, cela a impacté la plupart des régions AWS dans le monde. Cela a, au début, commencé par une simple indisponibilité de la console qui s’est transformée en énorme incident.

Le scénario implique une anomalie ayant causé une congestion du réseau, empêchant progressivement les autres services de communiquer entre eux. Cet incident rappelle encore une fois que les grands Cloud Providers sont faillibles et emmèneront de nombreux services reposant sur eux, le crédo d'AWS s'est encore appliqué ici: "everything fails all the time". De quoi encore alimenter les réflexions sur le multicloud.

Voici le post mortem publié par AWS : https://aws.amazon.com/fr/message/12721/

Sécurité

Ce mois-ci a été marqué par la découverte d’une faille importante dans le produit Log4J du monde Java. Cette faille nommée Log4SHELL a mobilisé la plupart des équipes juste avant les fêtes. Voici le CVE-2021-44228 associé à celle-ci : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

Et ce n'est pas la seule ! le 14/12, une autre faille était trouvée : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105

Ce genre de faille n'est hélas pas unique et il ne s'agit malheureusement ni de la première ni de la dernière fois qu'on en trouvera. L'importance de cette faille spécifiquement vient de sa facilité d'exploitation, du niveau d'intrusion qu'elle permet et de la multitude de produits utilisant la librairie. La mobilisation n'en a été que plus large pour couvrir et résorber la faille dans tous les produits impactés.

Ainsi, une fois connue, de nombreux attaquants ont commencé à sonder pour exploiter la faille. Voici un dashboard illustrant les attaques recensées, on peut constater l’ampleur de l’événement : https://crowdsec.net/log4j-tracker/

De nombreux articles ont été publiés sur cette faille, voici une courte sélection de quelques articles :

L'article complet de NextInpact, qui vous liste et explique les différentes vulnérabilités : https://www.nextinpact.com/article/49260/log4shell-jours-dapres

L'article de Teddy Ferdinand qui explique notamment comment les approches et outils DevSecOps peuvent y répondre : https://tferdinand.net/log4j-de-loeil-de-la-tempete/

Et un article assez léger qui décrit l'exploitation de la première vulnérabilité : https://ilearned.eu/log4j.html

Pour finir, voici une vue d’ensemble publiée par Microsoft qui donne une bonne vision des événements : https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

De nombreux éditeurs de logiciels ont communiqué sur leurs produits, AWS a donc publié sa note résumant la liste des services managés touchés : https://aws.amazon.com/fr/security/security-bulletins/AWS-2021-006/

Mais Log4SHELL n’est pas la seule faille, il ne faut pas oublier les autres produits: Grafana patche dans l'urgence une vulnérabilité de path traversal après la communication d'un chercheur un peu trop pressé de partager sur sa découverte. La CVE-2021-43798 impacte les versions de Grafana de la v8.0.0-beta1 à la v8.3.0. Concrètement l'URL des plugins installés permet un exploit par path traversal et donc aux attaquants d'accéder aux fichiers locaux du serveur distant : https://portswigger.net/daily-swig/grafana-urges-web-devs-to-update-following-path-traversal-bug-disclosure

Netflix introduit Snare, son produit interne utilisé par son équipe de sécurité pour identifier et répondre aux security findings : https://netflixtechblog.com/snaring-the-bad-folks-66726a1f4c80

Pendant quelques heures, la policy IAM d'automatisation du support AWS a eu la permission de lire les contenus des buckets S3 de vos comptes. AWS explique une erreur et assure qu'aucun système n'était en mesure d'exploiter cette permission, ce qui ne peut être malheureusement appuyé par aucune documentation publique : https://aws.amazon.com/fr/security/security-bulletins/AWS-2021-007/

En vrac

Meta a choisi début décembre et ce sera AWS. Le cloud d’Amazon servira pour le déploiement de son infrastructure en complémentarité de son infrastructure on-premise. C’est donc sur ce cloud provider qu’ils continueront leur recherche et développement sur l’intelligence artificielle : https://press.aboutamazon.com/news-releases/news-release-details/meta-selects-aws-key-long-term-strategic-cloud-provider/

L’ONG Noyb (None of your business) porte plainte contre la DPC, l’homologue de la CNIL en Irlande pour corruption. Celle-ci accuse la DPC de favoriser Facebook en portant le point de vue de Facebook auprès des autres CNIL européennes. L’ONG a diffusé tous les dimanches avant Noël des documents liés à cette procédure incriminant Facebook et la DPC : https://linuxfr.org/news/l-ong-noyb-porte-plainte-pour-corruption-contre-la-cnil-irlandaise

Un article très intéressant sur comment la notion de service mesh pourrait se redéfinir dans l'implémentation technique à travers l'usage d'eBPF, afin d’économiser des ressources : https://isovalent.com/blog/post/2021-12-08-ebpf-servicemesh

La version 1.23 de Kubernetes a été publiée. Le changelog nous indique : des objets promus en GA ou Bêta comme le PodSecurity plugin ou les pods éphémères, des options dépréciées ou retirées (particulièrement sur kubeadm) et des fonctionnalités ajoutées en pagaille comme la complétion pour kubectl Powershell : https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.23.md#changelog-since-v1220

Depuis le 9 décembre 2021, HashiCorp est officiellement sur le marché public ! C’est un nouveau chapitre pour HashiCorp comme ils le disent si bien ici : https://www.hashicorp.com/blog/a-new-chapter-for-hashicorp

Et ça s’accompagne de la version 1.1 de Terraform et de la version 1.11 de Consul :
https://www.hashicorp.com/blog/terraform-1-1-improves-refactoring-and-the-cloud-cli-experience

https://www.hashicorp.com/blog/announcing-hashicorp-consul-1-11

La faille Log4J est une bonne occasion de relancer la question du financement du logiciel libre. Pour ouvrir cette réflexion quoi de mieux qu'un article de blog : https://www.bortzmeyer.org/log4shell.html

Petit retour sur les performances de la norme HTTP/3 qui montre une belle amélioration générale notamment grâce à Quic et à l'amélioration du multiplexing : https://requestmetrics.com/web-performance/http3-is-fast

Google open-source le moteur derrière App Engine Java. Après avoir été les précurseurs du serverless, Google rend public une partie du code App Engine disponible sur Google Cloud Plateforme. Est-ce une manière de rassurer ses utilisateurs qui peuvent s'interroger sur la pérennité de cette technologie ? https://github.com/GoogleCloudPlatform/appengine-java-standard

Un petit changement pour les développeurs sous Windows :) Microsoft va faire de Windows Terminal la CLI par défaut sur Windows 11, remplaçant la traditionnelle cmd des versions précédentes : https://devblogs.microsoft.com/commandline/windows-terminal-as-your-default-command-line-experience/

A l'heure où le métier d'ops semble de plus en plus compliqué à définir, vue l'évolution des outils associés à ce métier, cet article expose le point de vue de quelqu'un se définissant lui-même comme ops : https://www.mcorbin.fr/posts/2021-12-18-metier-ops-2022/

Pour le 25 Décembre, Brainboard ouvre sa nouvelle fonctionnalité d’import de code Terraform pour la création de diagrammes : https://www.brainboard.co/solution/terraform-as-diagram

Pour clôturer cette dernière Revue de Presse de 2021, nous vous souhaitons d'excellentes fêtes de fin d'année ! A l'année prochaine!