Hvis man har behov for at tilknytte en AWS Policy til en rolle, der skulle give adgang til en enkelt S3 bucket. Noget man bør gøre til backup eller sync jobs.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ListObjectsInBucket",
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": ["arn:aws:s3:::XXXBucketNavnXXX"]
},
{
"Sid": "AllObjectActions",
"Effect": "Allow",
"Action": "s3:*Object",
"Resource": ["arn:aws:s3:::XXXBucketNavnXXX/*"]
}
]
}

Det giver ikke rettigheder til at liste alle andre buckets, men du kan tilgå din AWS S3 bucket direkte. Husk at angiv –region når du kopiere filerne.

… alle domæner, servere og hjemmesider bliver solgt og jeg har opsagt serverne (undtagen den sidste hos TransIP). I løbet af weekenden kommer jeg til at køre det sidste udstyr til IT-skrot, og så er det kun de sidste 5 gamle bærbare der skal reinstalleres, før de bliver solgt.

Årsag:
Fra 1/4 er jeg all-in på AWS.

… læs mere på min LinkedIn profil omkring April måned – kan ikke sige mere nu.

Når din hostingleverandør brager ned for 3 gang inden for 2 måneder og du ikke kan komme igennem på telefonen fordi de også selv hoster deres egen PBX – hvad gør du så? … spørger dem på SMS/Twitter/Facebook/Linkedin? Eller bruger du din tid på at finde en hostingleverandør der ikke lyver om driftsstatus og giver dig direkte indsigt i din serverinfrastruktur via. overvågningen?… valget er dit.

Screenshot fra AWS status App

hosting driftstatus

Kunderne flygter allerede til AWS der levere varen og de gør det ikke pga. 1:1 pris på at konvertere infrastrukturen til en AWS/Azure/Serverless/Hybrid løsning, for det er på ingen måde billigt, hvis man skal betale AWS samtidigt med man enten skal betale for en eksisterende hostingkontrakt, eller en advokat til at komme ud af de sidste 2 år af en død kontrakt.

Den nederste halvdel af den danske hostingbranche er med hastige skridt på vej ud af en grusvej i modsat retning af kunderne, samtidigt med den stigmatisere resten af branchen, der enten kæmper i det kortvarige vakum der findes mellem traditionel hosting og serverless hosting, eller lever af nicheløsninger der ikke kan skaleres til en størrelse der sikre overlevelse på sigt.

Helt ærligt, det er alt andet end ambitiøst.

Mvh.
Kristoffer Wolfgang Hansen

Så er den første eksamen til min AWS Certificering bestilt! Året starter derfor ikke med en masse fitness som de fleste andre juleflæskede, men jeg starter kl 08:00 20190104 med AWS Cloud Practitioner eksamen. Nu er AWS Cloud Practitioner jo ikke den tungeste certificering at skaffe, men det er det optimale sted at starte, hvis man vil undgå at bruge for meget tid på at læse op.

Min learning path:
AWS Cloud Practitioner (Kickoff)
AWS Solutions Architect Associate (Knowledge)
AWS Security Specialty (Passion)
AWS Cloud Sysop Administrator Associate (Knowledge)
AWS Cloud Solution Architect professional (Knowledge/Vægt)

.. Hvorfor? Efter min mening bliver “Serverless” det næste helst store push, for at komme væk fra gammel legacy-systemer. Det er ikke en for/imod Cloud tanke, men 100% for teknologien og fremskridtet.

Min undervisning sker online via. disse sites:
1: A Cloud Guru undervisning og forum (koster).
2: AWS Training undervisning, docs. og bestilling af eksamen (gratis).
3: WhizLabs gratis prøve eksamen og undervisning.

Efter at ha forberedt mig i løbet af julen med omkring 15 timers video og 10 timers læsning, gennemførte jeg prøvetesten med en OK score.
aws test score

AWS learning path:
AWS learning path

Ord som IaaS, PaaS, FaaS og SaaS er i alle IT artikler i dag. Men jeg kan se på hits fra Google, at flere lander på siden fordi de søger på “hvad er Iaas” og “Iaas vs. Onprem

IaaS – Infrastructure as a service

Med Iaas tænker man som kunde ikke på selve serveren, men lejer kapaciteten(Server/Storage) hos en leverandør. Ofte er det lige over hardware-laget i form af enten Hypervisors eller fysiske servere. Iaas var det første step væk fra ren hosting, hvor kunden egne servere stod i et andet serverrum ude i byen, for forbedret sikkerhed og oppetid. Typisk betaler man blot for det man bruger, så du kan hele tiden skalere op og ned, uden at skulle tænke på store indkøb af server og storage over tid.

PaaS – Platform as a service

Med en PaaS løsning, lejer du en platform til afvikling af applikationer. Det vil sige, du tænker ikke på hvor mange servere eller kapacitet der skal til for at afvikle applikationen, du skal blot tænke på selve applikationen. Et ofte brugt eksempel er Elastic Beanstalk, der fungere som en applikations platform, der selv finde ud af om den skal bruge en database mere, eller 2 loadbalancere. Der subscriber man blot til selve platformen som selv skalere efter behov. Et andet eksempel kan være man beder sin leverandør stille en hypervisor-platform til rådighed, inkl service af os. Grænserne til IaaS defineres oftest af sælgeren 😉

FaaS – Function as a service

Samtidigt med at container og microservices vinder frem i landskabet, bliver FaaS også nemmer og mere kost-effektivt at benytte. Skal du i din egen applikation eks. bruge en PDF-generator, så behøver du ikke udvikle den selv, men blot benytte dig af en online-service der gør det samme. Nogle af de første på dette marked, var GIS løsninger, hvor selskaber kunne få beregnet deres egne kortdata på eksterne løsninger. FaaS ligger ofte tæt på SaaS og omtales ofte som det samme.

SaaS – Software as a service

I starten var SaaS oftest mail-services og spamfiltre. Der skulle man kun bekymre sig om sit interface, for leverandøren stod for alt vedligehold, udvikling og design. Et tidssvare eksempel er nogle af de hostede økonomiprogrammer(e-conomic) eller Microsoft Office365 med både mail og officeonline.

Der er mange software når man skal finjustere eller fejlsøge på sit storage og før i tiden startede men tit med SQLIO – men de fleste er nu gået over til Diskspd i stedet for.  (Microsoft download link)

Som hostingleverandør eller internt i IT-afd. kan det være en fordel at dagligt lave en lille scriptet disktest der læser og skriver en 1GB fil, og gemmer udvalgte målepunkter som KPI’er i en database. Alternativt kan man sende resultatet til sin Eventlog system.

Fordele:
– Test både diske, filer eller foldere.
– Output til XML.
– Tilpas CPU anvendelse.

diskspd 

Windows 10 snakker hjem – hele tiden. Det giver alle med et sikkerhed- /privatlivsperspektiv myrekryp, at din Windows 10 står og siver data til Microsoft mere eller mindre konstant. Heldigvis er der folk i markedet der bruger meget tid på at undersøge og forhindre den slags. Flere er enda så flinke at de lægger løsningerne online.

Download links
Erhverv/AD: Auto IT telemetry group policy pack
Private: ShutUp10

Information:
Microsoft holder det ikke hemmeligt, og det er da heller ikke ulovligt (GDPR liderlige vil nok debattere det til verdens ende) men her er to af deres artikler der beskriver Windows 10 telemetry i detaljer.
Windows diagnostic data i din virksomhed
Administrer connections fra Windows

Microsoft .NET bliver bedre og bedre tilpasset til afvikling på Linux OS. Derfor er det ikke en stor overraskelse at Visual Studio er tilsvarende nemt at installere på en Ubuntu. I mit tilfælde er det en Ubuntu 18.04 LTS jeg benytter som min daglige burner PC.

linux ubuntu visual studio

Installation af Visual Studio på Ubuntu 18.04 LTS
– Download fra code.visualstudio.com – vælg .DEB file til Ubuntu
– Læg filen i download folderen
– Åben Terminal vindue
– Naviger til download folder – skriv: cd /Downloads [enter]
– Skriv LS [enter] for at checke du er i den rigtige folder med dit download
– installer ved at skrive sudo dpkg -i PAKKENAVN [enter]
– (i mit tilfælde sudo dpkg -i code_1.28.2-1539735992_amd64.deb)
– done

Tip
For at få mest ud af Visual Studio på Ubuntu, skal du huske at gå ind under extensions i menuen. Der kan du eks. python formater eller PHP formater/markup extensions. Det gør arbejdet bedre og nemmere.

linux visual studio extensions

Det vi i dag kalder On-Prem (forkortet af On-Premises) skal sælgere, kollegaer og frem for alt software-udviklerne forstå, ikke automatisk betyder at de servere vi har gjort tilgængelig, står i jeres egen kælder. For det meste står serverne i et andet datacenter – nogle gange sågar samme sted som serverne der er grundlaget for Microsoft Azure cloud infrastrukturen.

Grunden til jeg har behov for at komme af med dette brok, er at flere og flere software og løsnings-leverandører fjerner On-Prem. muligheden for deres software.

Tit hører jeg forklaringen “det kan ikke køre On-Prem” eller “vi kan ikke deploye til det hvis det står hos jer” eller “det bliver for dyrt hvis det skal køre på jeres egen server

Der er helt sikkert situationer hvor det er nemmere for leverandøren, at levere en løsning hvis det kører på i deres egen cloud tenant – men det skal vel ikke blive mit problem, hvis en leverandør vælger ikke at designe deres løsning, så den kan deployes til en server der står hos en hvilken som helst MSP. Der er grundlæggende ingen forskel om du deployer din Umbraco løsning til en IIS der står hos Itadel/GCOS/NNIT eller om den kører i en public cloud. Det er dine udviklere der skal lære at forstå forskellen, fremsende system-requirements og anvende en tidssvarende måde at frigive software på.

Når det er sagt, forstår jeg godt der er kommercielle forhold der gør det mere interessant for en leverandør at levere det som en as-a-service. Men så fortæl dog kunden sandheden, i stedet for at dækker jer bag forlorne tekniske grunde.

Årsager til i skal insistere på at der kører On-Prem:

  • I har et kørende setup, selv om leverandøren går konkurs.
  • Hvis en kundespecifik-løsning kører på jeres egne server, er i typisk bedre stillet ved en copyright/IP tvist.
  • I har oftest en SLA på de servere jeres MSP stiller til rådighed. Det har en leverandør sjældent med en Public Cloud tjeneste, selv om oppetiden ofte er høj.
  • Det er generelt meget billigere og hurtigere at integrere med andre systemer, hvis alle løsninger kører på jeres egen server.

Eksempel fra den virkelige verden.
Et firma jeg vælger at holde hemmeligt, får i øjeblikket leveret en løsning baseret på WordPress. I udviklingsfasen blev løsningen præsenteret kørende på en Ubuntu 16.04 LTS og vi gjorde fra starten opmærksom på det skulle køre på en af deres egne servere. Efter kontrakten blev indgået, fik vi ad bagveje at vide løsningen var blevet ca. kr. 70.000,- dyrere end aftalt. Det havde leverandøren forklaret vores marketing-afdeling, var forårsaget af det var sværere at vedligeholde sitet på vores server end forventet. Konfrontatorisk som jeg er, tager jeg fat i leverandøren og dette er en recap af kommunikationen(fyld fjernet):

  • Mig: Forklar i detaljer omstændighederne der gør det mere tidskrævende at vedligeholde sitet
  • Leverandør: Det tager længere tid at deploye
  • Mig: Hvordan deployer i?
  • Leverandør: Via. et automatisk system vi kalder octopussy
  • Mig: Er du sikker på det ikke er Octopus?
  • Leverandør: Det ved jeg ikke
  • Mig: Vil du spørge jeres udviklere?
  • Leverandør: Det er den samme vi bruger
  • Mig: Hvorfor skulle det være sværere at deploye til vores server, i stedet for en server til i Azure?
  • Leverandør: Det siger vores udviklingsafdeling
  • Mig: Vil du bede dem forklare specifikt hvilken årsag?
  • Leverandør: De siger de godt kan nu, men den server Azure stiller til rådighed er mere sikker
  • Mig: Hvordan mere sikker?
  • Leverandør: De har en større firewall
  • Mig: Målt i units, meter eller kilo?
  • Leverandør: (forstod ikke dårlig joke)
  • Mig: *undskylder utidig joke* Vi har løbende nogle af de bedste pen-testere til at gennemgå vores løsning, så jeg tror den er sikker nok. Hvordan opdatere i styresystemet på jeres Linux?
  • Leverandør: Det gør vi ikke for det er et Cloud OS
  • Mig: Cloud OS? er det ikke bare en Linux server i Azure i selv installere?
  • Leverandør: Det tror jeg ikke
  • Mig: Vil du spørge dine udviklere?
  • Leverandør: Vi har en SLA på oppetid
  • Mig: *begynder at blive træt* Kan du få jeres udviklere til at forklare hvordan de opdatere serveren?
  • Leverandør: *indrømmer de har misforstået noget* Det gør de åbenbart ikke
  • Mig: Så den server der kører hos vores hosting-leverandør, der opdatere mindst en gang hvert måned, vil du mene at den er mere eller mindre sikker end den i har i Azure og ikke opdatere
  • Leverandør: Vi begynder at opdatere den nu
  • Mig: Når i har udfærdiget en patch-procedure, vil du så sende mig en kopi. Hvor mange kvalificerede Linux folk har i ansat der kan vurdere om en patch skal installeres?
  • Leverandør: *lang forklaring på at er søger nye ansatte* ikke nogen i dag
  • Mig: Så hvem var det der vurderede at, den server der kørte i Azure var mere sikker, end den vores certificerede Linux-leverandør stiller til rådighed
  • Leverandør: Vores udviklere
  • Mig: Dem der ikke kender Linux godt nok til at patche en Ubuntu?
  • Leverandør: Jeg vender lige tilbage til dig efter vores fredagsmøde
  • Mig: Bed dine udviklere forklare dig hvad forskellen er på at køre websites på en Ubuntu server i Azure, kontra en anden hosting leverandør

… gæt selv hvor den server kører i dag, og om vi betaler mere for at den kører hos vores egen hosting-leverandør.

Der går nok ikke en uge i øjeblikket, hvor der ikke er en der forsøger at sælge dit et produkt ved at benytte GDPR som løftestang. Men hvad ville du sige hvis du gratis (eller for under 20.000,- hvis du er doven) kan blive GDPR compliant i forhold til at logge filadgang/tilgang/forsøg? og hvis du samtidigt får den suverænt bedste logning(IKKE SIEM) af event fra både filer, applikationer og eventlogs – hvad siger du så? Der er selvfølgeligt tale om The Elastic Stack som jeg har nævnt før – og det er stadig i Nagios versionen, for der koster support kun $3,995.- pr. år.

Nagios Log File Access

Nagios + Elastic Stack = Nagios Logserver. Glem alt om Solarwinds licensmodeller, tælle RAM eller EPS – der er INGEN skjulte udgifter!

Faktum: Hvad skal du logge for at overholde persondataforordning? Intet.
Problem: Til gengæld skal du kunne vise hvem har haft adgang til dokumenterne, eller om andre end de tiltænkte brugere har tilgået dokumenterne, og det er svært at fremvise hurtigt, hvis man ikke logger data. Så selv om der ikke er direkte krav til logning, så er det tæt på umuligt at overholde hvis du ikke har en aktiv logning kørende på serverne.

Løsningen er ganske enkelt at aktivere de indbyggede audit logging GPO settings i Windows (eller andre OS’er) og logge data til eventloggen. Derfra vil den lille applikation forwarde alle events til den lokale Logserver, der sortere og arkivere alle logs efter behov. En lille virtuel server med 4 kerner og 8 GB ram kunne uden problemer håndtere 2500 EPS som kom fra vores firewalls og ca. 130 servere.

Uden de store problemer kan du installere Centos 7 og Logserveren på 2-3 timer, og derefter rulle agenterne ud på alle maskiner enten via en GPO eller SCCM på et par timer… Mere kræver det ikke.

P.S.
Hvis der er nogen fra Logpoint der ringer til jer, så sig pænt nej tak – det er uden sidestykke det værste forsøg på et SIEM produkt jeg nogensinde har arbejdet med.

P.P.S
Hvis du er rigtig doven eller kræver noget intelligens, så kig på IBM QRadar og lad en af deres kvalificerede partnere stå for det (SecureDevice kan anbefales)