Während des ewigen Tauziehens zwischen den grossen Cloud Providern, hat Google an ihrem jährlichen Event während 3 Tagen und über 150 Präsentationen ziemlich viel Neues, wie auch kleinere aber genauso relevante Verbesserungen und Weiterentwicklungen vorgestellt. Anbei eine kleine Zusammenfassung.
Google Anthos
Die grosse Neuigkeit kam mit einem ungewöhnlichen Namen: Anthos. Das bedeutet auf Altgriechisch Blume, ist auch ein Name aus der griechischen Mythologie. Bei Google heisst so aber die neueste Cloud Lösung: Google Anthos ist eine Plattform, die es erlaubt Applikationen containerisiert zu betreiben. Die Lösung basiert auf Kubernetes (GKE), ist ein Managed Service von Google und läuft On-Premises, in der Google Cloud aber auch auf AWS und Azure. Die Idee dahinter ist verblüffend einfach. Die Plattform läuft dort, wo der Kunde sie braucht (also Hybrid und Multicloud) und wird von Google ge-managed. Weil darunter Kubernetes läuft, hat man eine sehr resilliente und über sehr viele Umgebungen einheitliche Applikationsplattform. Damit macht Google aus AWS und Azure eine «dumb plattform» (in Anlehnung an die Bezeichnung «dumb pipe»).
Gleichzeitig bring Anthos auch viele Partner mit ins Boot, so ist die Integration mit Elastic, F5, Splunk, Sysdig, Tigera, mongoDB und vielen anderen «out of the box» gewährleistet.
Google Anthos Migrate
Fast noch spannender ist die Ankündigung von Anthos Migrate (aktuell noch in Beta). Dabei handelt es sich um eine automatisierte Konvertierung von Virtuellen Maschinen (VM) in Container (GKE-Container für Kubernetes). Wenn das in der Praxis so gut funktioniert wie in den Demos, dann ermöglicht das eine viel schnellere und vor allem einfachere Migration in die Container-Welt.
Security
Google hat ihre eigenen native Prevention und Detection & Response Lösungen vorgestellt. Sie bietet nebst Anomaly Detection auch automatisches Logging und ein sogenannte Security Health Analytics. Google’s Definition von Visibilität ist: “I can see what I need to see”. Dabei korrelieren sie sehr viele Datenquellen um zu einem einheitlichen Dashboard zu gelangen. Dabei wird so viel als möglich «Cloud-nativ» gelöst (z.B. werden Cloud-Functions für das triggern von Alerts eingesetzt) und sie automatisieren auch sehr viel. Ein interessanter Ansatz, der aber klar aufzeigt, dass in der Cloud sehr viel Komplexität vorhanden ist und noch nicht klar ist, welche Korrelationen dabei die wichtigen und richtigen sind. Time will tell…
Das Google Cloud Security Control Center wird weiterentwickelt und sie bieten jetzt auch VPC Service Logs an (zusammen mit weiteren 30 Security Neuigkeiten wie Event Threat Detection und Policy Intelligence).
Neuere Android Handys (min Android 7) können jetzt auch als Hardware Token für 2FA (Two Factor) benutzt werden.
Transparency
Interessant ist aber, dass Google als erster Cloud Provider eine sogenannte Access Transparency einführt. Damit kann der Kunde definieren auf welche Daten ein Google Administrator (ein Googler) Zugriff hat und man kann diesen Zugriff in einem eigenen Log auch nachverfolgen (inklusive Begründung, z.B. eine Referenz auf ein Support-Ticket und Lokation, damit man weiss aus welchem Land der Admin zugegriffen hat). Mit den sogenannten «Data protection controls» kann man definieren auf welche Daten die Googlers freien Zugriff haben und auf welche Daten nur nach einer zusätzlichen Erlaubnis (Approval).
Höchstwahrscheinlich werden AWS und Azure ähnliche Logs und Kontrollen auch einführen, aber aktuell ist GCP der einzige Cloud Provider der dies anbietet.
Cloud Run
Eine weitere Neuigkeit wurde als Beta-Version lanciert: Cloud Run. Dabei handelt es sich um eine Serverless Lösung für Container. Das heisst also, man muss sich über die Infrastruktur keine Gedanken mehr machen und kann einfache Container (stateless, http) schnell und günstig deployen. Dahinter läuft GKE und Knative (eine Kubernetes basierte Plattform für Serverless Workloads).
Das Ganze ist kompatibel mit Stackdriver und hat Monitoring und Logging mit eingebaut. Für einfachere Applikationen ist das eine sehr kostengünstige Alternative und zusätzliche Funktionalitäten können über Partner bezogen werden (Puresec, Nodesource, Stackblitz, etc.)
Serverless ist ein grosses Thema bei Google und sie sehen Cloud Functions (also FaaS) als «Cloud Glue». Weil Serverless Funktionen Event-basiert funktionieren, sind sie sehr gut geeignet um Cloud-interne Abläufe zu steueren (Security, Cloud billing, Workflow, Stream processing, usw).
Ein reiner Serverless Ansatz für Devops könnte bei Google so aussehen:
Code mit Cloud Code -> Build mit Cloud Build -> Deploy mit Cloud Run -> Monitor mit Stackdriver
AI / KI
Google hat natürlich viel zu den Themen Künstliche Intelligenz und Machine Learning präsentiert.
Spannend ist die AI Plattform, wovon auch Cloud ML Engine ein Teil ist. Auf dieser Plattform kann man seine ML Modelle bauen, testen, trainieren und dann auch deployen (wahrscheinlich als Teil einer Applikation, die wiederum Serverless, managed oder gehostet laufen kann).
Borna Cisar
Borna Cisar ist Head of Cloud Security bei AVANTEC. Er interessiert sich vor allem für Container Security, Cloud-Native und SecDevOps. Borna beschäftigt sich gerne mit neuen Produkten, insbesondere von Startups, die noch nicht so bekannt sind.