¿Buscas nuestro logo?
Aquí te dejamos una copia, pero si necesitas más opciones o quieres conocer más, visita nuestra área de marca.
Conoce nuestra marca.
Editor's Picks
Volvemos de nuevo a repasar y resumir las novedades más interesantes en AWS. Este mes de mayo, en general, ha sido el más flojo en lo que llevamos de año, pero no por ello nos quedamos sin novedades interesantes. Además, el AWS re:Inforce nos trae alguna novedad dentro del ámbito de seguridad.
Top de novedades
1 AWS Database Migration Service Serverless
Nuevo modalidad serverless para uno de los servicios más importantes en cuanto a migraciones y que tiene multitud de usos adicionales.
AWS Database Migration Service es un servicio que permite replicar una base de datos en diferentes orígenes incluyendo on-prem. Es útil tanto para migración, un disaster recovery o, incluso, para replicar tablas específicas en AWS para minimizar la latencia de acceso a ciertas tablas sin la necesidad de atacar on-prem o, incluso, para minimizar el impacto de ciertas aplicaciones en lectura en nuestra BBDD.
Una de las ventajas de este servicio es que es muy útil para migraciones y, además, está incluido dentro de los fondos del programa MAP (Migration Acceleration Program), pero no solo es válido para este caso de uso, ya que un servicio que permite la replicación de una Base de Datos tiene infinidad de aplicaciones.
Este servicio hasta ahora requería la provisión de un servidor de DMS que había que dimensionar. Ahora con la adición del sabor serverless para este servicio, no se requiere provisionar y dimensionar un servidor, sino que el propio servicio se ocupará de estas tareas añadiendo elasticidad al permitir aumentar la capacidad (bastante importante si replicamos una BBDD completa) o reducir la capacidad (por ejemplo, cuando la BBDD está sincronizada y solamente replicamos cambios).
El servicio utiliza una medida llamada DMS Capacity Units, en la que una unidad equivale a 2Gb de RAM.
Personalmente, me parece un servicio maravilloso, ya que es una funcionalidad que podemos encontrar en diferentes vendors, pero a un coste muy alto. Además, esta funcionalidad funciona con múltiples motores de BBDD relacionales como MySQL, Oracle, PostgreSQL, DB2, Microsoft SQL o incluso con BBDD no relacionales como MongoDB.
Tenéis más información en la noticia de lanzamiento, en el blog de AWS y en la documentación del servicio.
2 Amazon Security Lake
Nuevo servicio presentado en el re:Invent y al que se ha dado bastante cobertura en el re:Inforce de 2023.
Amazon Security Lake es la centralización de datos de seguridad tanto de AWS como de terceros en una única cuenta, generando un Data Lake centralizado con todos los datos de seguridad.
Una gran ventaja es que se ha adoptado el estándar abierto Open Cyber Security Schema Framework (OCSF) para almacenar los datos en este formato y que sean explotables tanto por servicios de AWS como por servicios de terceros.
Con Amazon Security Lake podemos centralizar todos los datos de seguridad provenientes de múltiples fuentes de AWS, como AWS CloudTrail events, Amazon Route 53 resolver query logs, AWS Security Hub findings y Amazon VPC Flow Logs. Adicionalmente, podemos ingestar eventos de fuentes custom para añadir otras fuentes de datos dentro de AWS o de herramientas de terceros.
Algunas de las integraciones de terceros existentes son:
Barracuda Networks, Cisco, Cribl, CrowdStrike, CyberArk, Lacework, Laminar, Netscout, Netskope, Okta, Orca, Palo Alto Networks, Ping Identity, SecurityScorecard, Tanium, The Falco Project, Trend Micro, Vectra AI, VMware, Wiz, y Zscaler, lo que añade un amplio abanico de posibilidades en cuanto a la integración de este producto. Además, se ha publicado un artículo que explica cómo configurar la ingesta de Azure activity logs en este servicio.
Como punto a tener en cuenta es que el precio, que como en la mayoría de herramientas de seguridad, es algo elevado y hay que tener en cuenta que ciertos logs que almacenamos en S3 están comprimidos y este servicio factura por ingesta pura de datos sin comprimir, por lo que debemos de calcular nuestros datos sin comprimir (el factor de compresión de log en AWS es superior a 10 veces el tamaño original).
Tenéis más información en la noticia de lanzamiento, en el blog de AWS, en la documentación del AWS, sesión del re:Invent y en el video de demostración del servicio.
3 AWS User Notifications
Nuevo servicio para centralizar las notificaciones de AWS. Este servicio es fundamental para notificar diferentes alertas en nuestras cuentas de una forma sencilla, comprensible para los usuarios de AWS y gestionable de forma centralizada.
Ya existía la posibilidad de configurar destinos de alertas utilizando SNS (Amazon Simple Notification Service), pero los mensajes en ocasiones eran bastante complejos de entender para la mayoría de usuarios y no está centralizado para todos los servicios.
Este nuevo servicio trata de simplificar tanto la gestión de estas alertas como el contenido de estas, centralizando toda la gestión en un único servicio, algo que se echaba en falta dentro de AWS.
Es un servicio que durante el mes de su lanzamiento ha añadido nuevas funcionalidades, lo cual indica la importancia para AWS, ya que mejora la comunicación con los usuarios de forma ostensible, pudiendo gestionar notificaciones hacia diferentes destinos como emails, dispositivos móviles que tengan la AWS Console Mobile Application e incluso herramientas de chat (Chime, Slack y Teams).
Adicionalmente, al lanzamiento original que incluía AWS Health events, Amazon CloudWatch alarms, y notificaciones sobre EC2, se han añadido notificaciones de AWS Backup y AWS Data Exchange.
Intuimos que este servicio irá añadiendo nuevos orígenes de eventos mes a mes. Os recomendamos dar un vistazo al nuevo servicio, ya que puede ayudaros mucho de cara a gestionar la comunicación de eventos en AWS. Tenéis más información en la noticia de lanzamiento, en el blog de AWS y en la documentación del AWS.
4 AWS Fault Injection Simulator
AWS Fault Injection Simulator se lanzó hace más de 2 años. Lo recogemos ahora, ya que si bien era un servicio muy interesante, con los últimos añadidos para simular errores dentro de ECS y EKS, se ha convertido en un servicio interesantísimo para realizar prácticas de chaos engineering.
Chaos engineering es una metodología que simula fallos en nuestros entornos, para descubrir cómo se comportan e identificar cómo nos afectan estos fallos y solventar problemas futuros antes de que sucedan. AWS Fault Injection Simulator nos permite poner en práctica metodologías de Chaos Engineering simulando fallos en diferentes componentes de AWS.
De este modo podemos simular errores en APIs, cambios de Alarmas en CloudWatch, errores en EBS, EC2, ECS, EKS, RDS e incluso simular fallos de networking dentro de AWS.
Este servicio nos va a permitir simular ciertas acciones como qué pasaría si un pod o una Task en ECS falla, si perdemos la comunicación dentro de una subnet, si falla una instancia EC2, si se llena un disco, básicamente es un servicio que nos permite experimentar diferentes fallos de forma controlada y poder descubrir cómo se comportan nuestros entornos para hacerlos más resilientes a fallos.
Me parece una herramienta muy completa y que ayuda mucho en el uso de una metodología de Chaos Engineering y que todos deberíamos de usar.
Os recomiendo que reviséis varios post de AWS que nos dan más información sobre cómo utilizar este servicio: Improve application resiliency with Amazon EBS volume metrics and AWS Fault Injection Simulator, Securely validate business application resilience with AWS FIS and IAM, Automating and Scaling Chaos Engineering using AWS Fault Injection Simulator, y Chaos experiments on Amazon RDS using AWS Fault Injection Simulator.
Novedades en la región de España
Este mes tenemos varias novedades en la región de España y también tenemos una novedad en Colombia, ya que se ha disponibilizado la ubicación de Direct Connect en Bogotá, lo cual se completará con el lanzamiento de la nueva Local Zone en Colombia próximamente.
Por otro lado, el día 15 de junio es el AWS Summit Madrid en el que estaremos presentes.
Las novedades de este mes en la región de España son las siguientes:
- Amazon EFS Replication.
- AWS Backup Cross-Region.
- Amazon Aurora Serverless.
- Amazon MQ.
- AWS Shield Advanced.
La novedad principal este mes es la llegada del servicio serverless de Amazon Aurora, que nos permite levantar una BBDD serverless sin necesidad de gestionar la capacidad de nuestros servidores de BBDD y que es totalmente escalable.
El servicio funciona de forma totalmente gestionada por AWS, sin necesidad de levantar infraestructura en nuestras cuentas, utilizando la carga de la BBDD para escalar la capacidad de esta.
Adicionalmente, está disponible el servicio de mensajería MQ gestionado por AWS y AWS Shield Advanced que es un servicio altamente recomendable para grandes organizaciones, ya que mejora la protección ante ataques de denegación de servicio que tiene AW. Además, nos brinda el soporte del Shield Response Team en 24x7 y tiene alguna ventaja añadida sobre el modelo de pricing de WAF.
Con estas novedades la región de España se iguala prácticamente a las otras regiones de AWS en Europa, brindándonos casi todo el porfolio de AWS (con la excepción de Irlanda, que es la región principal de AWS en Europa y siempre tiene las últimas novedades primero). Por este motivo, en próximas ediciones de este resumen probablemente dejaremos de hacer tanto foco en esta región.
Más novedades
Como todos los meses en nuestro Top de novedades no entran todas las novedades interesantes que presenta AWS, así que pasamos a resumir el resto de novedades importantes que se han presentado en este mes.
Amazon OpenSearch
Llevamos mucho sin hablar de este servicio que nos encanta. Se ha lanzado un nuevo servicio llamado OpenSearch Ingestion, que permite la ingesta de datos de forma masiva antes de indexarlos en Opensearch de forma que se puedan procesar, filtrar o enrutar antes de indexarlos en clusters de OpenSearch o en OpenSearch Serverless.
También se ha lanzado un nuevo modelo de despliegue Multi-AZ permitiendo un nodo en Stand-By para implementar alta disponibilidad.
Amazon Athena
Athena lanza la posibilidad provisionar capacidad de forma que ciertas queries que sean más críticas utilicen esta capacidad provisionada para que no encolen y se ejecuten rápidamente sin encolarse.
Athena es un servicio serverless responde a la carga que se ingente y que, en ciertas ocasiones, puede encolar ciertas queries debido a la carga global del servicio, con este nuevo añadido se pueden priorizar ciertas queries provisionando su capacidad.
Amazon GuardDuty
GuardDuty es otro de nuestros servicios favoritos y vuelve este mes con novedades. Ahora es posible lanzar los análisis de Malware Protection a demanda, para analizar nuestras EC2 cuando lo requiramos sin esperar al análisis automático. Esta novedad nos ayuda a la hora de analizar nuestras EC2 de posibles Malware sin necesidad de instalar agentes.
GuardDuty y Route53 se integran para permitirnos utilizar una lista de dominios gestionada en Amazon Route 53 Resolver DNS Firewall que bloquea los dominios maliciosos que GuardDuty detecte.
Amazon Inspector
Ahora es posible buscar CVEs dentro de la Base de Datos de Inspector, para validar que una vulnerabilidad está cubierta por el servicio y, por tanto, se está escaneando los servidores en busca de esta vulnerabilidad.
AWS Verified Access
AWS Verified Access es un nuevo servicio que nos permite acceder a aplicaciones de forma privada sin necesidad de utilizar una VPN. Este servicio evalúa las peticiones en función de la identidad del usuario y de la configuración del dispositivo utilizado para validar la petición y securizar el acceso.
De esta forma, solo se permite acceder a los usuarios que estén validados y que utilicen dispositivos que cumplan los parámetros requeridos en cuanto a compliance. Adicionalmente, se puede integrar con WAF para maximizar la seguridad.
AWS Glue
Se han disponibilizado tipos workers más grandes en Glue para las cargas de trabajo que requieren mucha más capacidad.
Con esta adicción los trabajos más intensos podrán ejecutarse en estos nuevos workers reduciendo el tiempo de ejecución y permitiendo la ejecución de algunos trabajos que no podían ejecutarse en los tipos workers existentes.
Amazon SNS
Novedad muy interesante en Amazon SNS y bastante solicitada, que es la eliminación automática de las suscripciones que no están confirmadas.
Era habitual mandar una invitación a SNS que no fuese respondida y que la suscripción quedase pendiente durante mucho tiempo, hasta un borrado manual. Con esta nueva funcionalidad, esta tarea se ejecuta automáticamente a las 72 Horas.
Private Access to the AWS Management Console
Se ha habilitado la posibilidad de limitar el acceso desde un cliente a ciertas cuentas y organizaciones de AWS.
Con esta novedad es posible limitar el acceso a cuentas fuera de nuestra organización o cuentas personales desde AWS. También se puede utilizar para limitar el Shadow IT, que es un problema existente en algunas compañías.
Amazon CodeWhisperer
Ahora podemos utilizar CodeWhisperer, desde los Jupiter Notebook en Sagemaker, de forma que podemos utilizar esta maravillosa herramienta para ayudarnos a generar código y resolver problemas directamente desde nuestros notebooks.
Amazon Cognito
Amazon Cognito dispone de una nueva versión de la consola más moderna y simplificada para ayudarnos con este servicio.
Con este nuevo lanzamiento, gran parte de las consolas en AWS han mejorado su experiencia con una nueva interfaz, esperemos que en breve se mejoren la experiencia en algunas consolas como API Gateway (personalmente, es una de las consolas que necesita mejorar).
Instance Metadata Service (IMDS) Packet Analyzer
IMDSv2 fue lanzado en noviembre de 2019 y mejoraba sustancialmente la seguridad de los metadatos en EC2, debido a que existían vulnerabilidades para utilizar IMDSv1 maliciosamente. Desgraciadamente, muchas instancias siguen utilizando IMDSv1, ya que si utilizamos estos metadatos no es sencillo migrar.
AWS ha lanzado Instance Metadata Service (IMDS) Packet Analyzer para simplificar la migración a IMDSv2.
Si no estás forzando a utilizar IMDSv2 y tienes instancias con IMDSv1, esta herramienta te puede ayudar mucho. Os recomendamos efusivamente que no utilicéis IMDSv1 y que pongáis controles de seguridad para que solamente se levanten instancias con IMDSv2 activado.
¡Hasta el próximo mes!
AWS Database Migration Service Serverless, Amazon Security Lake o AWS User Notifications son algunas de las nuevas herramientas que nos han presentado durante mayo. También se han incorporado nuevas funcionalidades en Amazon OpenSearch o Amazon Athena, pero no son las únicas. Hasta aquí nuestro repaso mensual sobre todo lo que nos ofrece el ecosistema de AWS ¿Has echado algo en falta? ¿Conoces algún servicio que nos hemos dejado fuera de este listado?
Miguel Ángel Muñoz
He estado ligado al mundo OnPrem y especialmente al mundo Unix durante muchos años, un día probé a "subirme a la nube" y evolucioné para ser Arquitecto Cloud. En Paradigma ayudo a definir estrategias y arquitecturas para nuestros clientes en su camino hacia el Cloud. Siempre digo que soy un converso, antes era muy escéptico con todo el tema de virtualización y más aún de Cloud, hasta que empecé a estudiarlo más en profundidad y me di cuenta de todas las ventajas que ofrece este mundo.
Ver más contenido de Miguel Ángel.Más contenido sobre esto.
Leer más.
Junio en AWS, el mes de los eventos y la seguridad.
AWS Summit Madrid 2022, ¿qué nos encontramos en esta edición?
¿Para qué sirve la malla de eventos?
Apache Kafka y AWS Lambda, condenados a entenderse.
Los comentarios serán moderados. Serán visibles si aportan un argumento constructivo. Si no estás de acuerdo con algún punto, por favor, muestra tus opiniones de manera educada.
Cuéntanos qué te parece.