Bag-o lang sa Elastic blog , nga nagtaho nga ang nag-unang mga gimbuhaton sa seguridad sa Elasticsearch, nga gipagawas sa open source space kapin sa usa ka tuig na ang milabay, libre na karon alang sa mga tiggamit.
Ang opisyal nga post sa blog naglangkob sa "husto" nga mga pulong nga bukas nga gigikanan kinahanglan nga libre ug nga ang mga tag-iya sa proyekto nagtukod sa ilang negosyo sa ubang mga dugang nga gimbuhaton nga ilang gitanyag alang sa mga solusyon sa negosyo. Karon ang base nga gitukod sa mga bersyon 6.8.0 ug 7.1.0 naglakip sa mosunod nga mga function sa seguridad, nga kaniadto anaa lamang sa usa ka bulawan nga suskrisyon:
- TLS alang sa naka-encrypt nga komunikasyon.
- File ug lumad nga gingharian alang sa paghimo ug pagdumala sa mga entry sa user.
- Pagdumala sa user access sa API ug role-based cluster; Gitugotan ang multi-user access sa Kibana gamit ang Kibana Spaces.
Bisan pa, ang pagbalhin sa mga gimbuhaton sa seguridad sa libre nga seksyon dili usa ka halapad nga lihok, apan usa ka pagsulay sa paghimo og distansya tali sa usa ka komersyal nga produkto ug sa mga nag-unang problema niini.
Ug naa siyay mga seryoso.
Ang pangutana nga "Elastic Leaked" nagbalik sa 13,3 milyon nga mga resulta sa pagpangita sa Google. Impressive, dili ba? Pagkahuman sa pagpagawas sa mga gimbuhaton sa seguridad sa proyekto sa bukas nga gigikanan, nga kaniadto ingon usa ka maayong ideya, ang Elastic nagsugod nga adunay grabe nga mga problema sa mga pagtulo sa datos. Sa tinuud, ang sukaranan nga bersyon nahimo nga usa ka sieve, tungod kay walaβy usa nga nagsuporta sa parehas nga mga gimbuhaton sa seguridad.
Usa sa labing inila nga mga pagtulo sa datos gikan sa usa ka elastic server mao ang pagkawala sa 57 milyon nga datos sa mga lungsuranon sa US, diin sa Disyembre 2018 (sa ulahi nahimo nga 82 milyon nga mga rekord ang tinuud nga na-leak). Pagkahuman, kaniadtong Disyembre 2018, tungod sa mga problema sa seguridad sa Elastic sa Brazil, ang datos sa 32 milyon nga mga tawo gikawat. Niadtong Marso 2019, "lamang" 250 nga mga kompidensyal nga mga dokumento, lakip ang mga legal nga kinaiya, na-leak gikan sa laing elastic server. Ug kini lang ang una nga panid sa pagpangita alang sa pangutana nga among gihisgutan.
Sa tinuud, ang pag-hack nagpadayon hangtod karon ug nagsugod wala madugay pagkahuman ang mga gimbuhaton sa seguridad gikuha sa mga developer mismo ug gibalhin sa open source code.
Ang magbabasa mahimong moingon: βUnsa man? Aw, sila adunay mga problema sa seguridad, apan kinsa ang wala? β
Ug karon pagtagad.
Ang pangutana mao nga sa wala pa kini nga Lunes, ang Elastic, nga adunay usa ka tin-aw nga tanlag, mikuha og salapi gikan sa mga kliyente alang sa usa ka sieve nga gitawag og mga function sa seguridad, nga gipagawas sa open source balik sa Pebrero 2018, nga mao, mga 15 ka bulan ang milabay. Kung walaβy bisan unsang hinungdanon nga gasto aron masuportahan kini nga mga gimbuhaton, ang kompanya kanunay nga nagkuha salapi alang kanila gikan sa bulawan ug premium nga mga subscriber gikan sa bahin sa kliyente sa negosyo.
Sa usa ka punto, ang mga problema sa seguridad nahimong makahilo kaayo alang sa kompanya, ug ang mga reklamo sa kustomer nahimong hulga kaayo, nga ang kahakog mikuha sa likod nga lingkuranan. Bisan pa, imbis nga ipadayon ang pag-uswag ug "pag-patch" sa mga lungag sa kaugalingon nga proyekto, tungod niini milyon-milyon nga mga dokumento ug personal nga datos sa ordinaryong mga tawo ang na-access sa publiko, ang Elastic naghulog sa mga function sa seguridad sa libre nga bersyon sa elasticsearch. Ug gipresentar niya kini nga usa ka dako nga kaayohan ug kontribusyon sa open source nga kawsa.
Sa kahayag sa ingon nga "epektibo" nga mga solusyon, ang ikaduha nga bahin sa post sa blog tan-awon nga hilabihan ka katingad-an, tungod niini kami, sa tinuud, naghatag pagtagad sa kini nga istorya. Kini mahitungod sa - ang opisyal nga operator sa Kubernetes alang sa Elasticsearch ug Kibana.
Ang mga nag-develop, nga adunay usa ka bug-os nga seryoso nga ekspresyon sa ilang mga nawong, nag-ingon nga tungod sa paglakip sa mga function sa seguridad sa sukaranan nga libre nga pakete sa mga function sa seguridad sa elasticsearch, ang pagkarga sa mga tagdumala sa tiggamit sa kini nga mga solusyon makunhuran. Ug sa kinatibuk-an, ang tanan maayo.
"Kami makasiguro nga ang tanan nga mga cluster nga gilunsad ug gidumala sa ECK mapanalipdan pinaagi sa default gikan sa paglansad, nga walay dugang nga palas-anon sa mga administrador," ang opisyal nga blog nag-ingon.
Giunsa ang solusyon, gibiyaan ug wala gyud gisuportahan sa orihinal nga mga developer, nga sa miaging tuig nahimo nga usa ka unibersal nga latigo nga batang lalaki, maghatag sa mga tiggamit og seguridad, ang mga developer hilom.
Source: www.habr.com