Im März sind eine Vielzahl von Ankündigungen der vergangenen re:invent in den Status „GA“ gewechselt. Dieser Blogbeitrag stellt einen Ausschnitt aus den Neuerungen und Ankündigungen des Monats März dar, erhebt aber nicht den Anspruch auf Vollständigkeit. Das Hauptaugenmerk liegt hierbei auf Veränderungen, bei denen wir von einem direkten Einfluss auf unsere Kunden ausgehen. In diesem Beitrag werden insbesondere Änderungen und Ankündigungen der Services AWS Clean Room, Amazon S3 Object Lambda sowie Amazon VPC Lattice thematisiert.
Compute
Amazon S3 und Lambdafunktionen sind – ähnlich wie SQS und S3 – ein fast schon unzertrennliches Paar in der Welt der AWS. Mit den aktuellen Neuerungen der S3 Object Lambdas wird dies nun auch weiter verstärkt. Weiterhin kann GuardDuty nun auch für das Monitoring einer EKS Runtime genutzt werden.
AWS Object Lambda
AWS Object Lambda erlaubt es seinen Nutzern, selbsterstellen Code bzw. Codefragmente bei der Verarbeitung von S3-Abrufen zu verwenden. Das bedeutet, dass beispielsweise Daten, die mittels GET-Request abgefragt werden, während ihrer Abfrage von einer Lambda-Funktion manipuliert werden können, sodass sensible Daten maskiert werden. Neben GET-Requests werden aber auch weitere Abfragen wie LIST und HEAD unterstützt. Nun war es aber so, dass die Endpunkte des Objekts und der Lambda-Funktion sich unterschieden haben bzw. unterscheiden konnten. Dies ist zukünftig jetzt nicht mehr der Fall.
Im März hat Amazon nun sogenannte Aliase eingeführt für S3 Object Lambda-Funktionen. Diese Aliase werden automatisch generiert, wenn ein Object Lambda Access Point erstellt wird. Diese Aliase können exakt so wie die Namen der Buckets verwendet werden, d.h. in jeder Applikation und bei jedem Aufruf, in der üblicherweise der Name des Buckets stand, kann ab jetzt auch der Alias des Access Points eingetragen werden.
Die Aliase sind seit März in allen kommerziellen AWS-Regionen ohne zusätzliche Kosten verfügbar und werden automatisch für Nutzer erstellt. Letzteres gilt sowohl für neuerstellte Access Points als auch für bereits existierende Access Points.
AWS GuardDuty
AWS GuardDuty dient der Analyse von Ereignissen in der AWS Cloud und findet so häufig Einsatz in Kombination mit Cloud Trail, VPC Flow Logs oder EKS Audit Logs. GuardDuty nutzt Machine Learning Algorithmen, um die Logs der Netzwerke, Services und Objekte zu auf Auffälligkeiten zu analysieren. Sollte eine solche Auffälligkeit entdeckt werden, können Nutzer über EventBridge, den AWS Security Hub oder Amazon Detective die Nachrichten weiterverarbeiten.
Seit März kann nun, neben den Audit Logs von EKS, auch die Runtime selbst mittels GuardDuty überwacht werden. Dies geschieht mittels fully-managed EKS Add-On, welcher die Aktivitäten der einzelnen Container, wie beispielsweise Filezugriffe, Ausführungen und Netzwerkzugriffe offenlegt und analysiert. Dies erlaubt es, mittels GuardDuty kompromittierte Container innerhalb eines Clusters schnell zu identifizieren.
GuardDuty ist in Europa in allen relevanten Regionen verfügbar – selbst in der noch jungen Region in Zürich. Für bestehende Nutzer des Services ist das Monitoring von EKS die ersten 30 Tage kostenlos, danach fallen Gebühren in Abhängigkeit der Menge der zu analysierenden Ereignisse an. Das EKS Runtime Monitoring ist allerdings nicht automatisch aktiviert und muss zunächst manuell aktiviert werden. Dies ist allerdings schnell im „EKS Protection“ Reiter von GuardDuty erledigt.
Security
Wie jedes Jahr wurden während der re:invent eine Vielzahl neuer Services angekündigt. AWS Clean Room wurde bereits im Januar in die Preview gereicht. Nun ist der Service auch allgemein verfügbar. Ähnliches gilt auch für VPC Lattice. Auch dieser Service wurde während der re:invent angekündigt und vorgestellt und ist nun seit März für alle Nutzer der AWS verfügbar.
AWS Clean Room
Wie bereits erwähnt, wurde Clean Room während der re:invent als Neuerung angekündigt und soll die Zusammenarbeit von Unternehmen vereinfachen. AWS Clean Room reiht sich in die Liste der Analytics-Services ein. Der Service erlaubt es, Datensätze mit bis zu fünf ausgesuchten Partnern zu teilen, ohne die Daten physisch zu kopieren.
Weiterhin erlaubt Clean Room seinen Nutzern, Sicherheitsmaßnahmen zu konfigurieren und so beispielsweise Queries zu kontrollieren, den Output bestimmter Abfragen zu sichern und für spätere Analysen eben jene Queries zu loggen. Außerdem bietet Clean Room die Möglichkeit, dass die Daten auch während ihrer Verarbeitung verschlüsselt bleiben.
AWS Clean Room ist in Europa in Frankfurt, Irland, London und Stockholm verfügbar. Preistechnisch berechnet Clean Room sogenannte CRPUs/Stunde und es wird nur die benutzte Kapazität in Rechnung gestellt. Clean Room skaliert hierbei automatisch hoch und runter, um den aktuellen Anforderungen gerecht zu werden.
AWS VPC Lattice
Mit VPC Lattice bietet Amazon nun eine weitere Möglichkeit, die Kommunikation zwischen Services in der AWS Cloud zu überwachen und zu kontrollieren. VPC Lattice erlaubt es, Regeln zu definieren, die auf den Netzwerktraffic zwischen Services, Containers und auch serverless Applikationen angewandt werden. Der Service war bereits einige Monate in der Preview und im Vergleich zur Preview sind noch weitere Features hinzugekommen. So kann nun zum Beispiel der AWS Gateway API Controller in Kombination mit VPC Lattice genutzt werden, um den Service in Kombination mit Kubernetes Deployments zu verwenden und auch Verbindungen, die auf IPv6 zurückgreifen, werden nun unterstützt.
Der Service selbst ist zum aktuellen Zeitpunkt in Europa lediglich in Irland verfügbar. Die Kosten für die Nutzung des Services basieren auf der Datengröße und der Anzahl an Aufrufen, die über VPC Lattice geleitet werden.
Development
Ebenso wie Clean Room und VPC Lattice wurde auch Application Composer während der re:invent 2022 vorgestellt und ist nun für alle Nutzer der AWS verfügbar.
AWS Application Composer
Nach langer Zeit der on-premises Serverwartung und des Aufbauens von monolithischen Architekturen kann der Sprung in die Welt des serverless Computing zunächst einmal verwirrend sein. Wo soll man anfangen? Welche Services sind sinnvoll oder gar notwendig? Und wieso macht mein IaC-Template nicht das, was ich möchte? Und wie schaffe ich es, dass meine serverless Applikationen über gesicherte Kanäle miteinander kommunizieren?
Mit Application Composer möchte AWS genau den oben beschriebenen Sprung nun vereinfachen. Application Composer besteht schlussendlich aus einem grafischen Interface, in welchem PowerPoint‘esk serverless Services auf einem Canvas miteinander verbunden werden können. Das Resultat ist ein Template, welches dann deployed werden kann.
Wie eingangs erwähnt ist nun der Application Composer für alle Nutzer der AWS verfügbar. Seit der Preview sind auch weitere Features hinzugekommen. So kann nun beispielsweise eine API-Route des API Gateways mit der „Send Message“ Aktivität von SQS verknüpft werden und mittels „Change Inspector“ können unterschiede zwischen Deployments visuell aufgearbeitet werden. In Europa ist der Application Composer in Frankfurt, Irland und Stockholm verfügbar und für die Nutzung des Services fallen keine Kosten an – natürlich aber für die durch ihn erzeugte Infrastruktur.
Für weitere regelmäßige Updates zum Thema AWS Cloud, folgen Sie unserer Präsenz auf Xing und Instagram oder direkt unserem Blog.