Vernetzung

Im Netzpolitik.org Blog gibt es die Rohfassung eines Kommentars von Markus Beckedahl zum IT-Gipfel, der auch in der TAZ erschienen ist.

Im Offiziellen IT-Gipfelblog betrieben durch das HPI Potsdamm gibt es einige Video Interviews. Die ständige Einrichtung soll auch zwischen den (geschlossenen) Gipfeln für einen offenen Diskurs sorgen.

Die Anzahl der Twitter Follower zeigt aber anschaulich, dass die Veranstaltung nicht wirklich akzeptiert wurde in der Community. Vermutlich wegen der doch sehr elitären Einladungsveranstaltung.

Schon bisher haben Firmen die Amazon S3 Storage Cloud für die Auslieferung von Bildern und Downloads genutzt. Allerdings hatte S3 im vergleich zu den anderen kommerziellen Content Delivery/Distribution Networks einen Performance Nachteil: wenn man ein CDN in die Web Site einbindet, so erhofft man sich Performance Vorteile insbesondere im Bereich Latenz. Das bedingt Caches die in die Nähe der User repliziert werden.

Amazon hat reagiert, mit der Public Beta zu Cloudfront kann man jetzt eine solche automatische Replikation und globales (DNS) load balancing aktivieren. Preise bewegen sich zwischen 17 und 22 USD cent je GB (je nach Abrufort). Dazu kommen noch 1,2-1,3 cent pro 10.000 GET Requests und die normalen S3 Gebühren für Storage und der Replikation des Content zu den Caches. Dieses einfach Preismodell könnte den Anbietern wie Akamai ziemlich nahe gehen - zumindest solange es um statischen Content geht.

Die folgenden 14 Standorte bietet Amazon für die Verteilung an: United States (Ashburn, VA; Dallas/Fort Worth, TX; Los Angeles, CA; Miami, FL; Newark, NJ; Palo Alto, CA; Seattle, WA; St. Louis, MO); Europe (Amsterdam; Dublin; Frankfurt; London), Asia (Hong Kong; Tokyo).

Bekannte Einschränkungen (laut RightScale blog): kein HTTPS, keine detaillierten Usage Reports, kein Streaming, nur Public S3 Content und kein Fine-Tuning der Caches möglich.

Zum Weiterlesen
Werner Vogels' Ankündigung (Amazon CTO).
Jeff Barr's Ankündgung auf dem AWS Blog

Das Hardening von Rechnern besteht typischerweise aus einer Abarbeitung von Checklisten. Ebenso gibt es jede Menge verbindlicher Standards und Security Profile, die eine gewisse Konfiguration von Rechnern voraussetzen. In der Vergangenheit waren diese Arbeiten immer mit handgestrickten Scripten oder kommerziellen Produkten verbunden.

Dank der Amerikanischen Cyber Terror Angst werden aber durch diverse Behörden und Regierungsnahe Stellen immer wieder sehr nützliche Innovationen vorangetrieben. Einiges läuft dort inzwischen unter dem Information Security Automation Program:

OVAL ist eine XML Sprache zur Beschreibung von Platform Checks. Mit einem OVAL Interpreter können diese ausgeführt werden, und die entsprechenden Reports helfen somit bei der Systemadministration. Neben der OVAL Language gibt es auch das OVAL Repository das eine Reihe von Prüfungen (Vulnerabilities, Patches, Inventory) frei anbietet. Neben der Referenzimplementierung des OVAL Interpreters werden auch noch weitere Open Source Projekte entsprechende Tools anbieten. So zum Beispiel OpenVAS 2.0 Beta.

Neben OVAL das auf die Systemtechnische Seite von Security Empfehlungen eingeht gibt es noch das XCCDF (The Extensible Configuration Checklist Description) Format. Schwerpunkt hier ist es die ganzen Punkte einer Checkliste formalisiert darzustellen. Unterstützt werden dabei sowohl Profile (Subsets von Controls) als auch die Integration von automatisierten Checks (z.B. mittels OVAL).

In dem Umfeld gibt es eine ganze Reihe Protokollen:

• CVE - Die öffentliche Software Schwachstellen Datenbank
• CCE - Configuration Items
• CPE - Platformen
• CME - Malware
• CWE - Software Weakness und
• CAPEC - Angriffsmuster

Besonders CVE ist dabei sehr weit verbreitet, da es die Unzahl vor Hersteller und Distributoren spezifische Codes vereinheitlicht hat. Diese Notwendigkeit ist insbesondere im Linux Umfeld entstanden, da jeder Distribution ihr eigenes Süppchen gekocht hat. Aber auch die Vereinheitlichung der anderen Dimensionen der Klassifizierung von Schwachstellen macht das Leben eines Systemadministrators oder Security Officers einfacher.

Es gibt Neuigkeiten im Bereich Kryptographie, insbesondere im Bereich der sicheren Hash Funktionen: Halloween war Einreichungsschluss beim NIST Wettbewerb "NIST hash competition" der unter dem Namen SHA-3 einen würdigen Nachfolger für die in Verruf geratenen Hash Algorithmen SHA-1 und MD5 sucht. Es gibt noch keine offiziellen Ergebnisse, aber eine inoffizielle Bewertung im SHA-3 Zoo Wiki der TU-Graz.

Außerdem hat NIST eine neue Revision des Secure Hash Standards (SHS) in FIPS 180-3 (PDF) veröffentlicht. Hier werden die folgenden fünf Algorithmen definiert: SHA-1, SHA-224, SHA-256, SHA-384 und SHA-512. Auf die bekanntgewordenen Angriffe gegen SHA-1 geht die FIPS Publikation allerdings nicht ein, die Sicherheitsbewertungen wurden aber entfernt, damit diese in Special Publications schneller aktualisiert werden können.

(Via D-kriptik Blog)

Ich habe grade festgestellt, dass es bei Google Mail ein paar nette neue Features gibt. Neben dem freien IMAP Zugriff und dem einsammeln von bis zu 5 bestehenden POP-Accounts gibt es jetzt die Möglichkeit eine alternative From: Adresse per Dropdown Box auszuwählen.

Und dann gibt es noch einige Labs Widgets die man aktivieren kann, darunter dieses hier:

Amazon wurde gefeiert als sie SLAs für Ihre Cloud Offerings angeboten haben. Das bezieht sich insbesondere auf die Amazon Web Services Dienste S3 (Storage Cloud), EC2 (Compute Cloud), ECB (Elastic Block Storage) und die Host Lösungen für Queueing (SQS) und Datenbank (SimpleDB).

Betrachtet man sich allerdings die SLAs, so muss man sagen diese sind ziemlich nutzlos in einem kommerziellen Umfeld (um traditionalle Bedenken zu zerstreuen):

Die neuen EC2 SLA definieren, dass ein Kunde 10% der Gebühren für die letzten 365 Tage zurückerstattet bekommt, wenn die Verfügbarkeit unter 99.5% fällt. Dabei wird die Zurückerstattung nur für zukünftige Gebühren gut geschrieben. Die Zurückerstattung ist auf 10% gedeckelt. Strafen/Schadensersatz werden keine zugestanden. Und zu allem Übel ist die Definition der Verfügbarkeit noch so, dass der Kunde sich selbst darum kümmern muss ausgefallene Instanzen neu zu starten, und nur wenn dies nicht gelingt gilt der Service als ausgefallen. D.h. wenn eine Amazon Instanz alle Stunde ausfällt und der Startup einer neuen Instanz 5mins dauert, so gelten diese 5 Minuten nicht als Ausfall.

Bei den S3 SLA werden Gutschriften für erfolglose Requests gezählt. 10% bei unter 99.9% und 25% bei unter 99%. Dabei kann Amazon aber weder Requests zählen die nicht angekommen sind, noch steht Amazon mit Strafen/Schadensersatz für Datenverlust ein. Gleiches gilt für EBS, hier gibt es keine SLA, die typische jährliche Fehlerrate (AFR - Anual Failure Rate) wird mit 0.1% - 0.5% angegeben (Lokale Harddisks haben angeblich 4%).

Natürlich wird AWS durch diese SLA unter Druck gesetzt einen guten Service zu erbringen. Von daher haben diese schon einen Effekt. Der Kunde muss darauf aber vertrauen und das Risiko eines Schadens komplett selbst tragen. Eine reduzierte Amazon Rechnung wird Ihn da kaum trösten.

Cloud Computing definiert nicht nur die Technologie neu, sondern auch die Ökonomie des Outsourcings: statt ewig Langer Vertragsverhandlungen, umfangreichen SLA Monitorings, Schuldzuweisungen und umfangreiche Konventionalstrafen (die zu Aufschlägen beim Betreiber führen um sein Risiko abzusichern) wird auf ein Kooperatives Vorgehen gesetzt, das von Vertrauen geprägt ist. Deswegen haben es auch die Großen Anbieter in dem Markt einfacher akzeptiert zu werden. Die technischen Vorkehrungen die ein Betreiber trifft werden stärker betrachtet als seine Vertraglichen Zusagen. Zusätzlich ist die Lösung durch den Kunden schon stärker auf Ausfall ausgelegt.

(Diesen Artikel nehme ich zum Anlass eine neue Cloud Kategorie hier im Blog einzuführen)

Oracle und Amazon arbeiten zusammen um Oracle Anwendungen im Amazon Grid anzubieten. Es gibt jetzt einige Images die von Oracle kostenlos bereitgestellt werden. Oracle erlaubt sogar den Betrieb von Produktiven lizenzierten Anwendungen im EC2 Grid. Die Konfiguration ist sogar für offiziellen Support zertifiziert.

Besonders interessant sind aber auch die Möglichkeiten die vorinstallierten Anwendungen wie Application Express oder Enterprise Manager Grid einfach mal ausprobieren zu können.

• Amazon/Oracle Partner News
• Oracle Cloud Computing Center

Manchmal ist es ja schon erstaunlich wie lange sich Probleme auf einer High Profile Webseite halten. Aber bei diesem hier denke ich mir mal, ich bin der Einzige der diese komischen Übersetzungsfehler hat?

Außerdem fragt man sich ob das mit dem IM Service jemals wieder wird - den Hinweis können Sie sich echt sparen.

Virtuelle Realitäten wie Second Life werden ja schon für Geschäftsmeetings (z.B. Vorträge) genutzt. Sun arbeitet mit Project Wonderland an einer Plattform, die speziell für die Zusammenarbeit in Teams ausgelegt ist.

Hier ein nettes Demo Movie der Telefon Integration in Wonderland. Und eine ältere Demo des "virtuellen" Sun Gebäudes MPK20.

Das ganze ist verspielt, und es muss sich erst zeigen ob Konferenzteilnehmer dadurch wirklich Produktivität gewinnen und nicht verlieren, aber unterhaltsam ist es allemal.

Heute finden an der Uni-Karlsruhe gleich zwei interessante Termine statt. Die Java User Group Karlsruhe musste deswegen in den Raum -102UG in der Informatik Fakultät ausweichen, dort gibt es um 19:15Uhr (-21:15) einen Vortrag von Dr. Patrick Schemitz (Netpioneer GmbH) zum Thema Grundladen [Web] Security Auditing.

In -101UG spricht Dr. York Sure von SAP Research im Rahmen der GI/ACM Regionalgruppe Karlsruhe über Internet of Services. Dabei geht es um den Einsatz von Semantischen Technologien bei der Vermarktung von Internet Services.

Beide Termine finden sich auf dem IT-Kalender des Stadtblog KA. Dort findet sich auch eine Ankündigung für Morgen: Gründung des "Verein der Karlsruher Software-Ingenieure" um 16:00-18:00 am FZI. Näheres dazu in der Presseerklärung von FZI, KIT, adrena objects, 1&1, SAP und HsK.

Ich werde wohl bei der JUG-KA vorbeischauen heute Abend und mir Morgen die Info Veranstaltung ansehen.

Google Lively ist so was wie ein uneheliches Kind zwischen Secondlife und (Ex-)Combots :)

Bei Youtube findet sich eine Video Botschaft von Dr. Mathias Döpfner (CEO) an die Angestellten des AxelSpringer Verlags. Bei Timecode 1:30 findet sich dann auch diese Aussage hier:

Ich glaube jeder Arbeitsplatz sieht ein bisschen schöner aus, wenn ein Apple Gerät daraufsteht.

Ich bin mir nicht sicher, ob man IT mit Spass und Schönheit verkaufen muss, aber ich frage mich ob man wirklich Geld dabei sparen kann - besonders wenn man selbst erkannt hat dass es noch keine großen Anwender Unternehmen gibt (Axel Springer wird damit zum 2. größten Apple Firmenkunden nach Google weltweit).

Wie gut eignen sich die Apples denn in großen Unternehmensnetzen? Gibt's da Dinge wie Group Policy, Directory und System Management Server?

In einem Report (PDF) des U.S. DoD findet man folgende - doch recht amüsante - Anmerkung:

The primary process relied upon by the DoD for evaluation of the assurance of
commercial products today is the Common Criteria (CC) evaluation process. The
task force believes that Common Criteria is presently inadequate to raise
sufficiently the trustworthiness of software products for the DoD. This is
particularly true at Evaluation Assurance Level-4 (EAL4) and below, where
penetration testing is not performed. Nonetheless, Common Criteria evaluation is
an international program, well established, and not easy to change.

Es ist interessant zu sehen, dass einer der Haupt-Initiatoren der Common Criteria nun erkennt, dass diese nicht sehr nützlich ist - und was noch viel interessanter ist - nicht so einfach geändert werden kann, da diese nun im Standardisierung-Morast festsitzt.

Auf den Report hat übrigen's Oracle's CSO Mary Ann Davidson hingewiesen.

Seit einiger Zeit beobachte ich schon, dass Oracle eine Menge Grundlagenartikel zu Linux (zu Oracle Enterprise Linux) in Ihrer Knowledge Base anlegt. Zum beispiel werden alle Linux daemons beschrieben (555093.1 "Linux OS Service: tux"), oder der KB Artikel 559611.1: "Maximum Number of CPU cores Supported by a Single Linux System".

Da frage ich mich doch, ob dieser extreme Aufwand der hier (parallel zur Mutterdistribution RHEL und parallel zur Linux Community) getrieben wird irgendwie sinnvoll ist:

a) die Informationen sind in der properitären KB versteckt
b) die Informationen duplizieren teilweise schon längst erstellte Ressource (insbesondere Manpages)
c) ein Großteil der Infos ist Linux spezifisch
d) Oracle könnte ihre Ressourcen intern sicher besser einsetzten als jetzt "echter" Linux Distributor zu werden

Eventuell hat ja Oracle das Problem Content in der KB bereitstellen zu müssen um Mehrwert verkaufen zu können. Aber selbst dann könnte man doch einen Prozess aufsetzen in dem z.B. ein vorhandenes Dokumentations-Projekt mit Kick-Start Content versorgt wird, und regelmäßig Zwischenstände redaktionell bearbeitet in die Oracle-KB übernommen werden. Damit wäre beiden Seiten gedient.

In dem Zusammenhang ist interessant zu sehen, dass Google hier wieder mal sich des Themas annimmt, und Google knol ins leben ruft. Eine Art Community Knowledge-Base - die allerdings irgendwie den Community/wiki Gedanken noch etwas vermissen läßt.

Im Gegensatz zum Begriff Grid Computing ist das Thema Cloud computing etwas eindeutiger definiert. Es geht darum IT-Resourcen (Rechner oder Laufzeitumgebungen) aus der Wolke des Internets einzukaufen, also die Anwendungen remote zu betreiben.

Die bekanntesten Vertreter dieses Genres sind Amazon's EC2 (Elastic Cloud Computing - eine Serverfarm auf der man Xen Images auf Stundenbasis laufen lassen kann) und Google App Engine (eine Python Web Server umgebung für Web Anwendungen).

Beide haben grade aktuell Neuigkeiten zu vermelden: Google App Engine ist nun offen für alle Entwickler (die kostenfreie Einsteigerversion erfordert eine SMS Registrierung, und kann auch mit Google Apps for Domains zusammenarbeiten).

In der Public Beta des Amazon Cloud Services werden bald persistente Volumes möglich sein: damit sind dann auch klassische Enterprise Anwendungen einfach zu betreiben und nicht nur Compute Jobs (Video Rendering) oder replizierte Datenbanken.

In zwei kommenden Artikel will ich beide Dienste etwas näher vorstellen, und meine Bewertung dazu abgeben wo und wie das Utility Computing funktionieren kann.