Im Juli 2022 hat AWS insbesondere im Bereich Sicherheit einige Neuerungen vorgestellt. Dieser Blogbeitrag stellt einen Ausschnitt aus den Neuerungen und Ankündigungen des Monats Juli dar, erhebt aber nicht den Anspruch auf Vollständigkeit. Das Hauptaugenmerk liegt hierbei auf Veränderungen, bei denen wir von einem direkten Einfluss auf unsere Kunden ausgehen. In diesem Beitrag werden insbesondere Änderungen und Ankündigungen der Services AWS GuardDuty, Amazon Detective on EKS sowie Amazon Redshift vorgestellt.
Data Warehousing
Mit Amazon Redshift Serverless vergrößert Amazon das Portfolio an auszuwählenden Redshift-Instanzen und entfernt sich von der klassischen Redshift-Architektur hin zu einer mehr an die Cloud angepassten Architektur.
Amazon Redshift Serverless
Bereits während der letzten re:invent im vergangenem Jahr wurde die serverless Variante von Amazon Redshift angekündigt. Seit Juli 2022 ist Redshift serverless nun allgemein verfügbar und im Vergleich zur Preview Version mit einigen neuen Fähigkeiten und Preisstrukturen versehen. Grundsätzlich orientiert der Service sich an der Architektur von Snowflake und folgt ebenfalls dem pay-as-you-go Modell.
Im Vergleich zu klassischen Redshift-Varianten bietet Redshift serverless die Möglichkeit, Compute Ressourcen je nach Bedarf automatisch vertikal zu skalieren. Dies ermöglicht es, Redshift nun auch für Workloads einzusetzen, die über seltene jedoch hohe Lastspitzen zu verfügen.
Nutzer des Services können pro Account und Region mehrere sogenannte Serverless Endpunkte anlegen. Diese stehen in enger Verbindung mit den sogenannten „Namespaces“ und „Workgroups“. Namespaces stellen hierbei eine Kollektion von Datenbankobjekten, Nutzern und Berechtigungen dar. Jeder Namespace kann genau eine oder keine Workgroup besitzen und vice versa.
Eine Workgroup ist eine Kollektion von Compute Ressourcen inklusive der Netzwerk- und Sicherheitskonfigurationen. Jede dieser Workgroups verfügt über einen serverless Endpunkt, welcher zur Verbindung von und zu verschiedene Applikationen genutzt werden kann und entweder öffentlich oder nur privat zugänglich ist. Die Verbindung kann via JDBC/ODBC oder aber über den Redshift Query Editor erstellt werden.
Amazon Redshift serverless ist seit Juli 2022 in Frankfurt, Irland, London und Stockholm verfügbar. Preislich orientiert sich der Service am pay-as-you-go Model und im vergleich zur Preview sind die Preise zum release von 0,5$ pro RPU-Stunde auf 0,375$ pro RPU Stunde gesenkt worden. Wie oben aber angemerkt, ermöglicht der Service lediglich eine vertikale Skalierung der Compute Ressourcen.
Security
Amazon Detective on EKS
Amazon Detective ist ein fully-managed Service der AWS, der die Analyse und Identifizierung von Sicherheitsrisiken vereinfachen und beschleunigen soll. Der Service extrahiert Events, wie beispielsweise Login-Versuche, API-Aufrufe und Netzwerktraffic von Services wie GuardDuty, CloudTrail und den VPC Flow Logs und visualisiert diese als Graph-Modell, welches das Verhalten der einzelnen Ressourcen und deren Interaktionen miteinander beschreibt. Seit Release sind einige neue Features hinzugekommen, wie die Integration in Splunk oder der Support von AWS Organisationen.
Seit Juli ist Amazon Detective nun auch für Kubernetes Workloads, die auf EKS laufen verfügbar. Bei Aktivierung des Features fängt Amazon Detective an, die Audit Logs von EKS zu extrahieren und untersucht die API-Calls von Nutzern, Applikationen und des Control Planes in EKS für Cluster, Pods und Container Images. Diese Daten werden automatisch in Verbindung gesetzt mit den aus CloudTrail oder den VPC Flow Logs extrahierten Daten. Dies erlaubt es, dass Security Teams schnell Korrelationen bemerken und auf ungewünschte Verhaltensweisen reagieren können.
Amazon Detective für EKS ist in allen Regionen verfügbar, in denen auch Amazon Detective verfügbar ist. Die Kosten für den Service steigen mit der Menge an extrahierten und prozessierten Logdaten. Für genauere Informationen verweisen wir auf die AWS Dokumentation: AWS Detective Preise
Amazon GuardDuty
Amazon GuardDuty erlaubt es, AWS Accounts und Workloads auf bösartige Aktivitäten zu untersuchen. Im Juli wurde der Service um die Erkennung von Malware ergänzt. Ganz generell ist Malware eine schädliche Software, die Workloads stört oder unerlaubten Zugriff auf Daten erhält.
Um Malware Protection nutzen zu können, müssen User eine IAM-Rolle definieren, die die notwendigen Berechtigungen hat, um einen Malware-Scan durchzuführen. Wenn ein solcher Scan durchgeführt wird, erstellt GuardDuty einen Snapshot des EBS-Speichers und stellt diesen Snapshot in einem zweiten EBS-Speicher wieder her. Anschließend wird eben dieser wiederhergestellte Snapshot überprüft und aktuelle Workloads werden nicht beeinträchtigt.
Amazon GuardDuty Malware Protection führt jedes Mal einen Scan aus, wenn eine EC2-Instanz oder ein Container-basierter Workload, der auf EC2 läuft, eine potenziell verdächtige Aktion durchführt. Wenn eine potenzielle Malware identifiziert wurde, stellt GuardDuty Informationen zum ausfindig machen und bekämpfen bereit, wie beispielsweise der Name der Datei, ihr Speicherort und die EC2-Instanz.
Die Malware Protection ist in allen Regionen verfügbar, in denen auch GuardDuty verfügbar ist. Die Kosten für die Nutzung des Services orientieren sich an der Größe der EBS-Volumen, die gescannt werden.
Networking
AWS Cloud WAN
Mit AWS Cloud WAN stellt Amazon seinen Nutzern nun einen managed Service zur Verfügung, mit dem Wide Area Networks erstellt und verwaltet werden können. Dies erlaubt es, Datencenter, Büros, sowie VPCS in mehreren AWS Regionen einfach miteinander zu verknüpfen.
AWS Cloud WAN erlaubt es, dass Networking Teams in AWS zentrale Netzwerk Policies erstellen und nutzen können, um ein vereinheitlichtes Netzwerk für alle Standorte und Netzwerktypen innerhalb des Unternehmens zu erstellen. Zusätzlich hierzu vereinfacht Cloud WAN auch das Monitoring dieser Netzwerke, da Informationen über Gesundheit, Sicherheit und Performance der einzelnen Netzwerke zentralisiert in Cloud WAN gesammelt und visualisiert werden können.
Um die Sicherheit des Traffics über dieses Netzwerk zu gewährleisten, können sogenannte Netzwerk Policies erstellt werden. Diese können beispielsweise dazu genutzt werden, den Traffic einzelner Arbeitsabläufe zu isolieren oder Entwicklungsumgebungen von produktiven Umgebungen abzukapseln.
Cloud WAN ist in Europa in den größten Standorten und somit unter anderem in Frankfurt, Irland und London verfügbar. Der Preis, der für die Nutzung des Services anfällt, orientiert sich grundsätzlich am pay-as-you-go Model. Preistreibende Faktoren bei der Nutzung des Services sind die Core Network Edges, die erstellt werden, die Anzahl an Verbindungen zu jedem dieser CNEs, wie beispielsweise einem VPC oder einem VPN, die Anzahl an Transit Gateways, die mit diesen CNEs über Peering verknüpft werden, sowie die Menge an Daten, die über jeden dieser CNEs verarbeitet werden. Ausführliche Informationen sind aber wie immer in der Dokumentation zu finden: AWS Cloud WAN Preise
Für weitere regelmäßige Updates zum Thema AWS Cloud, folgen Sie unserer Präsenz auf Xing und Instagram oder direkt unserem Blog.