GCP שיגרה את BeyondCorp Enterprise, שירות אבטחה חדש לחברות אנטרפרייז, ל-General Availability. השירות מבוסס על העיקרון של עיצוב רשתות עם zero trust, כשבוע לאחר שמיקרוסופט המליצה ללקוחות לאמץ מנטליות zero trust, ולחדול מלהניח שכל מה שברשת ה-IT בטוח. יש להזכיר כי גוגל מעודדת את לקוחותיה להשתמש ב-Google Identity-Aware Proxy כדי לנהל את גישת הארגונים לאפליקציות ב-GCP.
AWS שיחררה קורסים חדשים בתחומי advanced migration, security governance ו-ML. בין הקורסים ניתן למנות את AWS Solutions Training for Partners: Advanced Migrating to AWS (Technical) - קורס למתקדמים שינחה ויסביר כיצד מנהלים הגירה לענן ב-scale. קורס נוסף הוא AWS Solutions Training for Partners: Security Governance at Scale (Business), שנועד עבור עובדים מתחומי המכירות והעסקים.
נחשפה השבוע פגיעות של Microsoft Azure Functions (המקבילה ל-AWS Lambada) - פתרון serverless שמאפשר ליוזרים להריץ event-triggered code, ללא צורך לספק או לנהל infrastructure מפורשות, ובסקייל. אם משלבים בכך Docker, נוצרת עבור המפתחים האפשרות לפרוס ולהריץ את Azure Functions בסביבת הענן או on-premises. אולם, הבאג שנמצא הוא Docker container escape bug, שעלול להיות מנוצל למתקפה.
תגידו יש אפשרות להגדיר ל-Cloud trail לשלוח notification לפי איזה rules?
עם cloudwatch events (נקרא גם eventbridge). הנה דוגמא ללמדה שרצה כל פעם שיוצרים אינטסנס - https://blog.doit-intl.com/automatically-tag-aws-ec2-instances-and-volumes-753dcaa7d7b0
ה-Target יכול להיות למדה, SNS, קינסיס ECS ועוד 20 שירותים.
האם יש דרך לכתוב ניטור או event שישלח כל פעם שיש resource כלשהו ב-aws שמנסה לגשת resource אחר כלשהוא והוא נכשל כי חסר לו הרשאות?
בטח, באמצעות cloudtrail עם errorcode:
https://aws.amazon.com/premiumsupport/knowledge-center/config-accessdenied-cloudtrail/
ספציפית ה-pattern הזה יהיה לך בייסליין טוב להתחיל ממנו:
{($.errorCode = "UnauthorizedOperation") || ($.errorCode = "AccessDenied")}
שאלה בנוגע ל-terraform. כשאתם עובדים כצוות על הקוד איפה אתם מאחסנים את הstate file- terraform.tfstate עצמו? (מן הסתם שזה לא יהיה מקומי). אתם שמים אותו בגיט וכל קומיט לפני מארג' למאסטר יהיה שינוי בקובץ של ה-state בנוסף לקבצי tf הנוספים? שמים אותו ב-s3? מתעניין להבין מה ה-Best practice. האם יש דרך לבצע lock ל-state למנוע התנגשויות? ועוד שאלה, מה היתרון\חיסרון של לנהל workspaces ב-terraform בהשוואה לעבודה מול git branches לסביבות שונות?
שאלות טובות, אנחנו עובדים שהקבצי state נמצאים ב-object storage כמו s3 ואז אין קשר בין קומיטים לפרוייקט לבין עדכון הסטייט. בנוגע ל-lock טרפורם מייצר קובץ כזה שנועל במקרים מסויימים https://www.terraform.io/docs/language/state/locking.html
Oops! Something went wrong while submitting the form