For nylig på Elastic-bloggen , som rapporterer, at de vigtigste sikkerhedsfunktioner i Elasticsearch, der blev frigivet i open source-rummet for mere end et år siden, nu er gratis for brugere.
Det officielle blogindlæg indeholder de "korrekte" ord om, at open source skal være gratis, og at projektejerne bygger deres forretning på andre yderligere funktioner, som de tilbyder til virksomhedsløsninger. Nu inkluderer basisversionerne af version 6.8.0 og 7.1.0 følgende sikkerhedsfunktioner, som tidligere kun var tilgængelige med et guldabonnement:
- TLS til krypteret kommunikation.
- Fil og native realm til at oprette og administrere brugerindtastninger.
- Administrer brugeradgang til API og rollebaseret klynge; Flerbrugeradgang til Kibana er tilladt ved brug af Kibana Spaces.
Overførsel af sikkerhedsfunktioner til den gratis sektion er dog ikke en bred gestus, men et forsøg på at skabe afstand mellem et kommercielt produkt og dets hovedproblemer.
Og han har nogle seriøse.
Forespørgslen "Elastic Leaked" returnerer 13,3 millioner søgeresultater på Google. Imponerende, ikke? Efter at have frigivet projektets sikkerhedsfunktioner til open source, hvilket engang virkede som en god idé, begyndte Elastic at få alvorlige problemer med datalæk. Faktisk blev den grundlæggende version til en si, da ingen rigtig understøttede de samme sikkerhedsfunktioner.
Et af de mest berygtede datalæk fra en elastisk server var tabet af 57 millioner data fra amerikanske borgere, om hvilke i december 2018 (senere viste det sig, at 82 millioner poster faktisk var lækket). Så, i december 2018, på grund af sikkerhedsproblemer med Elastic i Brasilien, blev data fra 32 millioner mennesker stjålet. I marts 2019 blev "kun" 250 fortrolige dokumenter, inklusive juridiske, lækket fra en anden elastisk server. Og dette er kun den første søgeside for den forespørgsel, vi nævnte.
Faktisk fortsætter hacking den dag i dag og begyndte kort efter, at sikkerhedsfunktionerne blev fjernet af udviklerne selv og overført til åben kildekode.
Læseren kan bemærke: "Hvad så? Nå, de har sikkerhedsproblemer, men hvem har ikke?”
Og nu opmærksomhed.
Spørgsmålet er, at Elastic før denne mandag med god samvittighed tog penge fra kunderne til en si kaldet sikkerhedsfunktioner, som den frigav til open source tilbage i februar 2018, altså for omkring 15 måneder siden. Uden at pådrage sig væsentlige omkostninger for at understøtte disse funktioner, tog virksomheden regelmæssigt penge for dem fra guld- og premium-abonnenter fra virksomhedskundesegmentet.
På et tidspunkt blev sikkerhedsproblemer så giftige for virksomheden, og kundeklager blev så truende, at grådigheden satte sig baglæns. Men i stedet for at genoptage udviklingen og "lappe" hullerne i sit eget projekt, på grund af hvilket millioner af dokumenter og personlige data fra almindelige mennesker blev offentligt tilgængelige, kastede Elastic sikkerhedsfunktioner ind i den gratis version af elasticsearch. Og han præsenterer dette som en stor fordel og et bidrag til open source-sagen.
I lyset af sådanne "effektive" løsninger ser anden del af blogindlægget ekstremt mærkeligt ud, hvorfor vi faktisk har været opmærksomme på denne historie. Det handler om - den officielle Kubernetes-operatør for Elasticsearch og Kibana.
Udviklerne, med et fuldstændig seriøst udtryk i ansigtet, siger, at på grund af inkluderingen af sikkerhedsfunktioner i den grundlæggende gratis pakke af elasticsearch-sikkerhedsfunktioner, vil belastningen på brugeradministratorer af disse løsninger blive reduceret. Og generelt er alt fantastisk.
"Vi kan sikre, at alle klynger lanceret og administreret af ECK vil være beskyttet som standard fra lancering, uden yderligere byrde for administratorer," hedder det i den officielle blog.
Hvordan løsningen, forladt og ikke rigtig understøttet af de originale udviklere, som i løbet af det seneste år er blevet til en universel piskesøn, vil give brugerne sikkerhed, er udviklerne tavse.
Kilde: www.habr.com