+55 11 3995-6919 / +55 11 3900-1010

Novidades-da-semana-17-a-21-de-agosto

Novidades da semana da AWS 17 a 21 de agosto

Todos os dias a AWS lança uma série novidades e atualizações em seus produtos que visam melhorar a vida de seus usuários. Reunimos algumas delas que fazem mais sentido para nosso mercado e que certamente aplicaremos em nosso dia a dia. Confira!

Segurança e Governança

AWS Systems Manager OpsCenter: Agora possuí Gráficos do CloudWatch e simplifica remediações

O OpsCenter do Systems Manager centraliza anomalias e incidentes em infraestrutura. Agora ele suporta gráficos, além de simplificar runbooks de remediação de incidentes.

AWS License Manager: Agora é possível forçar licenças em EC2 Dedicated Hosts

O AWS License manager é uma ferramenta para gerenciar as licenças de software em uso. Com ele agora é possível forçar o uso de licenças em servidores dedicado, dessa é possível travar o uso de licenças por determinado periodo de tempo, o que facilita e evita equívocos.

AWS Transfer: Familia Transfer tem homologação de segurança FIPS 140-2

Assim como diversos outros serviços, o AWS Transfer agora é homologado FIPS-120. O AWS Transfer permite expor um bucket S3 via serviço FTP, FTPS e SFTP.

AWS ACM: Permite compartilhar CA Privada entre Contas

O AWS ACM agora permite usar o RAM (Resources Access Manager) para compartilhar CA (Certificate Authority) entre contas de uma Organização.

Networking

AWS Site-to-Site VPN: Suporte para novos parâmetros de Encriptação

O AWS Site-to-site agora oferece suporte a novos parâmetros de Encriptação, Integridade e DH Groups, muito importante para adequação com “appliances” e políticas de segurança.
Encryption: AES128-GCM-16, AES256-GCM-16.
Integrity: SHA2-384, SHA2-512.
Diffie-Hellman groups: 19, 20, 21.

AWS Site-to-Site VPN: agora oferece Suporte IPv6

O serviço também anunciou Suporte a IPv6. Essa é uma novidade importante, principalmente por vir na mesma semana que o Lacnic anunciou o uso do último bloco IPv4 disponível.

AWS SES: Bulk Import/Export Suppression List

O Serviço de e-mails transacionais da AWS, o SES, permite criar uma lista de e-mails para evitar o envio manual (usado para e-mails sabidamente com falhas). Agora é possível fazer o cadastro e remoção via listas, antes era permitindo apenas e-mail por e-mail.

Computing e Storage

AWS FSx: Agora disponível em São Paulo

Como já era esperado, o serviço de servidor de arquivos Windows (CIFS/SMB) gerenciado da AWS agora está disponível no Brasil.

Amazon API Gateway: Integração com 6 novos serviços AWS (SQS e Kinesis)

O Amazon API Gateway agora pode ser integrado com EventBridge, AppConfig, Step Functions, Kinesis e SQS. Ou seja, agora é possível enviar requisições HTTP direto para uma fila SQS sem a necessidade de processamentos via EC2 ou Lambda, por exemplo.

Storage Gateway: Novas funcionalidades de proteção (WORM e Retention Lock)

O Storage Gateway VTL (Virtual Tape Library) agora suporta Write-Once-Read-Many (WORM) e Retention Lock. Essas novas funcionalidades permitem a adequação com mais de políticas de segurança internas e externas para backup no AWS Glacier.

AWS ELB: ALB e Classic ELB suporte Nova técnica de mitigação de Ataque “Desync Mitigation Mode”

Os serviços ELB e ALB agora suportam Desync Mitigation Mode , que identificam e classificam a técnica que se aproveita da diferença entre RFCs 1945, 2068, 2616 e 7230 para atacar aplicações HTTP. Antes era necessário mitigar na aplicação, pode ser detectado ou bloqueado no Classic ELB ou no ALB.

Amazon AppStream 2.0: Novo suporte à Experiência Nativa de Desktop

Agora com AppStream 2.0, é possível ter acesso do desktop completo via aplicação web. É como um acesso via Remote Desktop via browser. Até hoje, esse acesso era permitido somente a programas específicos, agora a interface gráfica completa está disponível.

Integrações DevOps

AWS EKS: Anúncio do ACK, Amazon Controller for Kubernetes que permite controlar recursos AWS via Kubernetes

O novo Amazon Controller for Kubernetes permite criar e gerenciar serviços como S3, SQS e SNS via Kubernetes. Dessa forma se torna possível estender a Infraestrutura como Código (IaC) do EKS para outros recursos AWS de forma nativa.

AWS EKS: Node Groups suporta “Launch Template” e AMIs Customizadas

Os Node Gruops, grupos de servidores gerenciados por clusters Kubernetes, agora podem usar Imagens customizadas e Launch Templates.

AWS EKS Fargate: Suporte EFS

Agora é possível usar o servidor de arquivos NFS gerenciado da AWS no Fargate, com EKS. Essa funcionalidade permite levar muito mais serviços para containers Fargate (sem servidor), já que aplicações que permitem persistência de arquivos passam a ser suportadas.

AWS Cloud9 – Suporte Avançado VPC (Acesso Privado)

O AWS Cloud9, ambiente de desenvolvimento integrado (IDE) cloud-based, agora se integra de forma simples com a VPC, permitindo entre outras coisas evitar a exposição de SSH de forma pública.

AWS Copilot CLI: Suporte configurações de VPC e build com Dockerfile

O AWS Copilot permite enviar sua aplicação diretamente para o Fargate com ECS, o desenvolvedor cria a estrutura de forma simples através de sua CLI. A versão 0.3 do Copilot CLI permite personalizar parametros de VPC e passar argumentos de build no Dockerfile.

ML, IA e Outros

Amazon Transcribe: Identificação de “Dono da Voz”

O Amazon Transcribe, serviço que converte voz em texto, agora detecta o “interlocutor”. Dessa forma o serviço consegue identificar até 10 personagens em um video de streaming, por exemplo.
https://aws.amazon.com/about-aws/whats-new/2020/08/amazon-transcribe-supports-speaker-labeling-streaming-transcription/

Amazon Chime: Nova funcionalidade, Voice Focus para supressão de ruído

Agora no Chime é possível habilitar a supressão de ruídos, para evitar que sons externos atrapalhem sua reunião.

Amazon IVS: Suporte a autenticação clientes (playback)

O IVS permite agora fazer streaming privado com autenticação dos clientes, isso garante o uso do novo serviço para streaming em areas logadas.

Amazon Personalize: Tem recomendações até 50% mais rapido

O Personalize ajuda fazer correlações e recomendações de ofertas para uso em sua ferramenta de e-commerce, por exemplo. A eficiência do Personalize traz inovações que podem otimizar essas recomendações em 50%.

Amazon Textract: Otimização na extração de texto em tabelas (HighIQ/RPA/CSV)

Agora a extração de texto em imagens do Amazon Textract converte tabelas em CSV, contando com o provider HighIQ, excelente para uso com RPA (Robotics Process Automation).

Amazon ECS: Suporta a instâncias inf1, otimizada para Machine Learning

As novas AMIs inf1, otimizadas para inferência são suportadas para criação de containers usando o orquestrador da AWS, o ECS.

Amazon Comprehend: Suporta 5 novas línguas, entre elas português

O serviço que usa Machine Learning que analisa documentos de texto para extrair insights (sentimentos, entidades e tipicos), agora suporta os idiomas francês, alemão, italiano, espanhol e português.

Quer saber as novidades da AWS das últimas semanas? Leia nosso blog!
E acompanhe toda sexta-feira em nosso canal do Youtube nossa live sobre as Novidades da Semana.

Até semana que vem!

DNS e as dúvidas quando precisa hospedar uma aplicação – Parte 1

Se você está lendo esse nosso primeiro artigo, deve estar com aquela pulga atrás da orelha, aquele sentimento de:

“Será que agora vou saber o que estou fazendo quando crio aquela entrada TXT, ou CNAME quando sigo um procedimento?”.

Fique tranquilo, após a leitura, terá todos os conceitos práticos necessários para saber exatamente o que está fazendo quando tiver que realizar qualquer mudança no DNS.

E provavelmente você deve ter tido aula (ou apenas passou na prova) em seu curso técnico ou universitário, mas na hora de pôr a mão na massa no DNS, prefere pedir para alguém ou seguir aquela ‘receitinha’. Vamos acabar com isso hoje!

Todos que estão lendo devem saber para que serve DNS: traduzir nome para IP, para que usemos nomes e não IP em uma aplicação como browser, shell, cliente de e-mail ou qualquer outro software. Você verá que é muito mais que isso.

E muitos devem ter visto (na apresentação do professor) o desenho abaixo:

Esqueça ele, por enquanto. Provavelmente você nunca terá que se preocupar com esse conceito, para 99% dos profissionais de TI são dispensáveis, mesmo sendo o único que todo professor ensina =D!

Primeiro, é importante entender a realidade em que o DNS foi feito e quais problemas ele tenta resolver. Abaixo uma lista de verdades que explicam muita coisa:

  • DNS foi criado na década de 1980, quando os recursos computacionais eram muito mais limitados que hoje;
  • Foi criado para o controle ser centralizado;
  • E a carga maior ser descentralizada.

O segundo conceito, importante, é:

Existem dois tipos de servidores DNS:

  1. O que todos usam sempre, o DNS ‘Resolver’ e
  2. O que temos medo de mexer, o ‘SOA’.

O Servidor Resolver (do inglês “Resolvedor”) é aquele que configuramos em nossa placa de rede (ou recebemos via DHCP). Usamos para resolver/consultar nomes DNS de qualquer domínio, para que possamos navegar na Internet ou fazer uso das nossas aplicações. Subir um servidor DNS é muito simples, o roteador WIFI que temos em casa quase sempre faz essa função de servidor DNS para nós. A nossa operadora sempre nos oferece ao menos 2 servidores DNS de consulta, para nosso uso da Internet contratada.

Quando configuramos um Servidor Resolver?

  • No roteador da nossa casa;
  • Quando vamos compartilhar Internet em nossas impressoras (isso pode inclusive ajudar no desempenho quando fazemos cache, pois evita consulta na Internet de requisições repetidas).

Já os servidores SOA são os servidores responsáveis por responder para Internet (para os servidores de Resolver) cada nome de nosso domínio para IPs. Por exemplo, o domínio darede.com.br que temos registrado para nosso uso, precisa de servidores SOA, também ao menos dois, para que possamos apontar entradas DNS como www, mail, smtp, etc, para os IPs onde essas aplicações rodam.

Mas por que sempre ao menos dois? Nem vou responder

Nosso servidor DNS de consulta pode verificar algum outro DNS de consulta, como os do provedor, ou resolver diretamente usando o protocolo WHOIS.

Esse ai (WHOIS) foi outro que dá aquela dor no estômago quando vê né? Saaaabe o que é…. mas não sabe explicar? 😉

WHOIS é um protocolo utilizado principalmente para: “Informar aos servidores DNS Resolvers quem são os SOA de determinado domínio”. Aqui vem a sacada do DNS. Existem bilhares de entradas nos milhares de SOA, a IANA que controla a internet precisa apenas ter o controle de qual SOA reponde por cada domínio, enquanto nós ficamos responsáveis pelo SOA e suas centenas de entradas.

Muitos devem conhecer, mas usando serviços como os abaixo, conseguimos saber quem (who is) o servidor SOA do domínio xpto.com.br, além de outras informações do mantenedor do domínio:

Uma vez que o Servidor Resolver sabe quem manda no domínio (xpto.com.br), ele faz a consulta diretamente para o SOA. E agora a pergunta é: “Eu sei que você manda no domínio xpto.com.br. Quem é o www?”

Então, o fluxo de uma consulta DNS no dia a dia da Internet fica o seguinte:

  • Cliente pergunta a seu servidor DNS Resolver: “Qual IP de www.darede.com.br?”
  • Servidor DNS Resolver 1, que tem encaminhamento para outro Servidor DNS Resolver (2), pergunta: “Qual IP de www.darede.com.br?”
  • Servidor DNS Resolver 2, que não faz encaminhamento, utiliza o protocolo WHOIS para questionar: “Quem é o SOA de darede.com.br?”
  • Com os IPs do SOA, o Servidor DNS Resolver 2 pergunta à um dos SOAs: Eu sei que você é SOA de darede.com.br, qual o IP de www?”
  • Agora que o Servidor DNS Resolver 2 sabe o IP de www.darede.com.br, ele informa o cliente (ou ao Servidor DNS Resolver 1) qual é o IP e pode ou não configurar para cachear esse nome”

Registrar: O Registrar é o órgão responsável por manter a concessão dos domínios usados na Internet. É ele quem configura o WHOIS Server de modo que os servidores DNS Resolvers possam ‘descobrir’ os SOAs de cada domínio.

No Brasil, possuímos apenas um registrar, o registro.br, é nele que registramos o domínio para podermos usá-lo. Em outros países podem existir diversos Registrars, nos EUA, por exemplo, os provedores de hospedagem de sites são os próprios registrar. Já por aqui, no Brasil, os provedores de hospedagem de site fazem apenas o papel de SOA, servidor de e-mail, servidor de páginas web, etc.

Agora que entendemos o fluxo das consultas DNS na Internet, sabemos que funciona assim, como abaixo:

  • Os clientes consultam seu DNS Resolver procurando pelo IP de www.xpto.com.br;
  • O WHOIS mantém os SOAs que respondem para cada domínio;
  • O SOA mantém a tabela de nomes e IPs do domínio xpto.com.br;
  • Os Servidores DNS Resolvers consultam WHOIS (Quem é) SOA de xpto.com.br;
  • Os Servidores DNS Resolvers consultam ao SOA qual o IP de www.xpto.com.br;
  • Cliente faz a requisição (HTTP, POP, SMTP, etc) ao IP de www.xpto.com.br

Até então, falamos apenas de solução de nomes para IP, mas não existe apenas esse tipo de resposta. Essa é a principal função do DNS, porém, não é a única.

Fique ligado porque no próximo artigo vamos entender as entradas DNS que podem ser utilizadas e quando utilizamos 😉


Flávio Rescia
Gerente de Operações
flavio.rescia@darede.com.br

Sócio Fundador Darede, graduado em Redes de Computador e Sistemas de Informação, ministra aulas de Redes de Computador no SENAI e possuí vasta experiência com provedores de Internet, tecnologia para mercado financeiro e Cloud Computing.