Recentemente nantu à u blog Elastic , chì informa chì e funzioni principali di sicurità di Elasticsearch, liberatu in u spaziu apertu di più di un annu fà, sò avà liberi per l'utilizatori.
A publicazione ufficiale di u blogu cuntene e parolle "corrette" chì a fonte aperta deve esse libera è chì i prupietari di u prughjettu custruiscenu a so attività nantu à altre funzioni supplementari chì offrenu per suluzioni di l'impresa. Avà e versioni di basa di e versioni 6.8.0 è 7.1.0 includenu e seguenti funzioni di sicurezza, prima dispunibuli solu cù un abbonamentu d'oru:
- TLS per a cumunicazione criptata.
- File è regnu nativu per creà è gestisce e voci d'utilizatori.
- Gestisce l'accessu di l'utilizatori à l'API è u cluster basatu in u rolu; L'accessu multi-utilizatori à Kibana hè permessu cù Kibana Spaces.
In ogni casu, u trasferimentu di funzioni di sicurità à a seccione libera ùn hè micca un gestu largu, ma un tentativu di creà distanza trà un pruduttu cummerciale è i so prublemi principali.
È ne hà alcuni seri.
A quistione "Elastic Leaked" torna 13,3 milioni di risultati di ricerca in Google. Impressive, ùn hè micca? Dopu avè liberatu e funzioni di sicurezza di u prugettu à a fonte aperta, chì una volta pareva una bona idea, Elastic hà cuminciatu à avè seri prublemi cù fughe di dati. In fatti, a versione basica hè diventata in un crivellu, postu chì nimu hà veramente supportatu sti stessi funzioni di sicurità.
Una di e fughe di dati più famose da un servitore elasticu era a perdita di 57 milioni di dati di i citadini americani, nantu à quale. in dicembre 2018 (più tardi si scopre chì 82 milioni di dischi sò stati in realtà filtrati). Dopu, in dicembre 2018, per via di prublemi di sicurità cù Elastic in Brasile, i dati di 32 milioni di persone sò stati arrubati. In marzu 2019, "solu" 250 000 documenti cunfidenziale, cumpresi quelli di natura legale, filtravanu da un altru servitore elasticu. È questu hè solu a prima pagina di ricerca per a quistione chì avemu citatu.
In fatti, u pirate cuntinueghja finu à questu ghjornu è hà cuminciatu pocu dopu chì e funzioni di sicurezza sò stati eliminati da i sviluppatori stessi è trasferiti à u codice fonte apertu.
U lettore pò rimarcà: "Allora chì? Ebbè, anu prublemi di sicurità, ma quale ùn hà micca?"
Avà fate attenzione.
A quistione hè chì prima di stu luni, Elastic, cù una cuscenza limpida, hà pigliatu soldi da i clienti per un crivellu chjamatu funzioni di sicurità, chì hà liberatu in open source torna in February 2018, vale à dì circa 15 mesi fà. Senza incurrenu alcunu costu significativu per sustene queste funzioni, a cumpagnia pigliò regularmente soldi per elli da abbonati d'oru è premium da u segmentu di clientella di l'impresa.
À un certu puntu, i prublemi di sicurità sò diventati cusì tossichi per a cumpagnia, è i reclami di i clienti sò diventati cusì minacciati, chì l'avidità hà pigliatu un postu in daretu. In ogni casu, invece di ripiglià u sviluppu è "patching" i buchi in u so propiu prughjettu, per via di quale milioni di documenti è dati persunali di e persone urdinarii sò andati in l'accessu publicu, Elastic hà tiratu funzioni di sicurità in a versione libera di elasticsearch. È presenta questu cum'è un grande benefiziu è cuntribuzione à a causa open source.
À a luce di tali suluzioni "efficaci", a seconda parte di u blog post pare assai strana, per via di quale avemu, in fattu, attentu à sta storia. Si tratta - l'operatore ufficiale di Kubernetes per Elasticsearch è Kibana.
I sviluppatori, cù una espressione cumplitamenti seria nantu à a so faccia, dicenu chì, per via di l'inclusione di funzioni di sicurità in u pacchettu di basa di funzioni di sicurezza elasticsearch, a carica di l'amministratori di l'utilizatori di sti suluzioni serà ridutta. È in generale, tuttu hè grande.
"Pudemu assicurà chì tutti i clusters lanciati è gestiti da ECK seranu prutetti per difettu da u lanciamentu, senza carica addiziale per l'amministratori", dice u blog ufficiale.
Cumu a suluzione, abbandunata è micca veramente supportata da i sviluppatori originali, chì in l'annu passatu hè diventatu un zitellu universale di frusta, furnisce l'utilizatori di sicurità, i sviluppatori sò silenziu.
Source: www.habr.com