На днях у блогу Elastic , У якой паведамляецца аб тым, што асноўныя security-функцыі Elasticsearch, выведзеныя ў open source-прастору больш за год таму, зараз з'яўляюцца бясплатнымі для карыстальнікаў.
У афіцыйным блогапісе змяшчаюцца «правільныя» словы аб тым, што open source павінен быць бясплатным і што ўладальнікі праекта будуюць свой бізнэс на іншых дадатковых функцыях, якія прапануюцца імі для enterprise-рашэнняў. Цяпер у базавыя зборкі версій 6.8.0 і 7.1.0 уключаны наступныя security-функцыі, раней даступныя толькі па gold-падпісцы:
- TLS для шыфраванай сувязі.
- Файл і native-рэалм для стварэння і кіраванні карыстацкімі запісамі.
- Кіраванне доступам карыстальнікаў да API і кластара на базе роляў; дапускаецца шматкарыстальніцкі доступ да Kibana з выкарыстаннем Kibana Spaces.
Аднак пераклад security-функцый у бясплатную секцыю - гэта не шырокі жэст, а спроба стварыць дыстанцыю паміж камерцыйным прадуктам і яго галоўнымі болькамі.
А яны ў яго ёсць і сур'ёзныя.
Запыт "Elastic Leaked" вяртае ў гугле 13,3 вынікаў пошуку. Уражвае, ці не праўда? Пасля вываду security-функцый праекта ў open source, што калісьці здавалася добрай ідэяй, у Elastic пачаліся сур'ёзныя праблемы з уцечкамі дадзеных. Па факце базавая версія ператварылася ў рэшата, бо ніхто толкам гэтыя самыя security-функцыі не падтрымліваў.
Адной з самых гучных уцечак дадзеных з elastic-сервера стаў выпадак са стратай 57 дадзеных грамадзян ЗША, пра што у снежні 2018 года (потым аказалася, што насамрэч выцекла 82 млн запісаў). Тады ж, у снежні 2018 года з-за праблем з бяспекай Elastic у Бразіліі скралі дадзеныя 32 чалавек. У сакавіку 2019 года з іншага elastic-сервера выцекла "ўсяго" 250 000 канфідэнцыйных дакументаў, у тым ліку і юрыдычнага характару. І гэта толькі першая старонка пошуку па згаданым намі запыце.
Фактычна, узломы працягваюцца да гэтага часу і пачаліся неўзабаве пасля зняцця "з забеспячэння" security-функцый самімі распрацоўшчыкамі і пераводу іх у адкрыты зыходны код.
Чытач можа заўважыць: «Ну і што? Ну ёсць у іх праблемы з бяспекай, а ў каго іх няма?
А зараз увага.
Пытанне ў тым, што да гэтага панядзелка Elastic з чыстым сумленнем брала з кліентаў грошы за рэшата пад назвай security-функцыі, якія яна ж вывела ў open source яшчэ ў лютым 2018 года, то бок каля 15 месяцаў таму. Не несучы ніякіх істотных выдаткаў па падтрымцы гэтых функцый, кампанія спраўна брала за іх гроша з gold і premium-падпісчыкаў з кліенцкага enterprise-сегмента.
У нейкі момант праблемы з бяспекай сталі настолькі таксічнымі для кампаніі, а прэтэнзіі з боку кліентаў - настолькі пагрозлівымі, што прагнасць адступіла на другі план. Аднак, замест таго, каб аднавіць распрацоўку і "залатаць" дзіркі ва ўласным праекце, з-за якіх у агульны доступ сышлі мільёны дакументаў і асабістых дадзеных простых людзей, Elastic выкінула security-функцыі ў бясплатную версію elasticsearch. І падае гэта як вялікае дабро і садзейнічанне справе open source.
У святле такіх «эфектыўных» рашэнняў вельмі дзіўна выглядае другая частка блогапісу, з-за якога мы, уласна, і звярнулі ўвагу на гэтую гісторыю. Гаворка ідзе - Афіцыйнага аператара Kubernetes для Elasticsearch і Kibana.
Распрацоўнікі з суцэль сабе сур'ёзным выразам асобы кажуць аб тым, што, маўляў, з-за вынасу security-функцый у базавую бясплатную камплектацыю elasticsearch security-функцый нагрузка на адміністратараў карыстача гэтых рашэнняў будзе паніжаная. Ды і ўвогуле, усё выдатна.
"Мы можам гарантаваць, што ўсе кластары, запушчаныя і кіраваныя ECK, будуць абаронены па змаўчанні з моманту запуску, без дадатковай нагрузкі на адміністратараў", – гаворыцца ў афіцыйным блогу.
Як кінутае і толкам непадтрымоўванае першапачатковымі распрацоўнікамі рашэнне, якое за апошні год ператварылася ва ўсеагульнага хлопчыка для біцця, забяспечыць карыстачам бяспека, распрацоўнікі замоўчваюць.
Крыніца: habr.com