Bu yaxınlarda Elastik bloqda , bir ildən çox əvvəl açıq mənbə məkanına buraxılan Elasticsearch-in əsas təhlükəsizlik funksiyalarının indi istifadəçilər üçün pulsuz olduğunu bildirir.
Rəsmi bloq yazısında açıq mənbənin pulsuz olması və layihə sahiblərinin öz bizneslərini müəssisə həlləri üçün təklif etdikləri digər əlavə funksiyalar üzərində qurması barədə “düzgün” sözlər var. İndi 6.8.0 və 7.1.0 versiyalarının baza quruluşlarına əvvəllər yalnız qızıl abunə ilə mövcud olan aşağıdakı təhlükəsizlik funksiyaları daxildir:
- Şifrələnmiş rabitə üçün TLS.
- İstifadəçi girişlərini yaratmaq və idarə etmək üçün fayl və yerli sahə.
- API və rol əsaslı klasterə istifadəçi girişini idarə etmək; Kibana Spaces istifadə edərək çox istifadəçinin Kibana girişinə icazə verilir.
Bununla belə, təhlükəsizlik funksiyalarının pulsuz bölməyə ötürülməsi geniş bir jest deyil, kommersiya məhsulu ilə onun əsas problemləri arasında məsafə yaratmaq cəhdidir.
Və onun bəzi ciddiləri var.
“Elastic Leaked” sorğusu Google-da 13,3 milyon axtarış nəticəsini qaytarır. Təsirli, elə deyilmi? Bir vaxtlar yaxşı fikir kimi görünən layihənin təhlükəsizlik funksiyalarını açıq mənbəyə buraxdıqdan sonra Elastic məlumat sızması ilə bağlı ciddi problemlər yaşamağa başladı. Əslində, əsas versiya ələkə çevrildi, çünki heç kim bu eyni təhlükəsizlik funksiyalarını dəstəkləmirdi.
Elastik serverdən ən məşhur sızmalardan biri ABŞ vətəndaşlarının 57 milyon məlumatının itirilməsi olub. 2018-ci ilin dekabrında (sonradan məlum oldu ki, əslində 82 milyon qeyd sızdırılıb). Daha sonra, 2018-ci ilin dekabrında Braziliyada Elastic ilə təhlükəsizlik problemləri səbəbindən 32 milyon insanın məlumatları oğurlandı. 2019-cu ilin mart ayında başqa bir elastik serverdən “yalnız” 250 məxfi sənəd, o cümlədən hüquqi sənədlər sızdırıldı. Və bu, qeyd etdiyimiz sorğu üçün yalnız ilk axtarış səhifəsidir.
Əslində, hakerlik bu günə qədər davam edir və təhlükəsizlik funksiyaları tərtibatçıların özləri tərəfindən silindikdən və açıq mənbə koduna köçürüldükdən qısa müddət sonra başladı.
Oxucu qeyd edə bilər: “Bəs nə? Yaxşı, onların təhlükəsizlik problemləri var, amma kim yox?”
Və indi diqqət.
Sual budur ki, bu bazar ertəsindən əvvəl Elastic, təmiz vicdanla, 2018-ci ilin fevralında, yəni təxminən 15 ay əvvəl açıq mənbəyə buraxdığı təhlükəsizlik funksiyaları adlı bir ələk üçün müştərilərdən pul aldı. Bu funksiyaları dəstəkləmək üçün heç bir əhəmiyyətli xərc çəkmədən şirkət müntəzəm olaraq müəssisənin müştəri seqmentindən qızıl və premium abunəçilərdən pul götürürdü.
Müəyyən bir məqamda təhlükəsizlik problemləri şirkət üçün o qədər zəhərli oldu və müştərilərin şikayətləri o qədər təhlükəli oldu ki, tamah ikinci plana keçdi. Bununla birlikdə, inkişafı bərpa etmək və öz layihəsindəki boşluqları "yamaq" əvəzinə, milyonlarla sənəd və adi insanların şəxsi məlumatlarının ictimaiyyətə açıq olması səbəbindən Elastic təhlükəsizlik funksiyalarını elasticsearch-ın pulsuz versiyasına atdı. Və bunu açıq mənbə işinə böyük fayda və töhfə kimi təqdim edir.
Bu cür "effektiv" həllərin işığında, blog yazısının ikinci hissəsi olduqca qəribə görünür, buna görə də biz bu hekayəyə diqqət yetirdik. haqqında - Elasticsearch və Kibana üçün rəsmi Kubernetes operatoru.
Tərtibatçılar üzlərində tamamilə ciddi ifadə ilə bildirirlər ki, təhlükəsizlik funksiyalarının elasticsearch təhlükəsizlik funksiyalarının əsas pulsuz paketinə daxil edilməsi sayəsində bu həllərin istifadəçi administratorlarına düşən yük azalacaq. Və ümumiyyətlə, hər şey əladır.
Rəsmi bloqda deyilir: “Biz əmin ola bilərik ki, ECK tərəfindən işə salınan və idarə olunan bütün klasterlər inzibatçılara əlavə yük olmadan defolt olaraq işə salınmadan qorunacaq”.
Tərk edilmiş və həqiqətən də orijinal tərtibatçılar tərəfindən dəstəklənməyən, son bir il ərzində universal qamçı oğlanına çevrilən həll istifadəçiləri necə təhlükəsizliklə təmin edəcək, tərtibatçılar susurlar.
Mənbə: www.habr.com