Kürzlich im Elastic-Blog , die berichtet, dass die wichtigsten Sicherheitsfunktionen von Elasticsearch, die vor mehr als einem Jahr im Open-Source-Bereich veröffentlicht wurden, jetzt für Benutzer kostenlos sind.
Der offizielle Blogbeitrag enthält die „richtigen“ Worte, dass Open Source kostenlos sein sollte und dass die Projektinhaber ihr Geschäft auf anderen Zusatzfunktionen aufbauen, die sie für Unternehmenslösungen anbieten. Die Basis-Builds der Versionen 6.8.0 und 7.1.0 umfassen nun folgende Sicherheitsfunktionen, die bisher nur mit einem Gold-Abonnement verfügbar waren:
- TLS für verschlüsselte Kommunikation.
- Datei- und nativer Bereich zum Erstellen und Verwalten von Benutzereinträgen.
- Verwalten Sie den Benutzerzugriff auf API und rollenbasierte Cluster. Der Mehrbenutzerzugriff auf Kibana ist über Kibana Spaces möglich.
Allerdings ist die Verlagerung von Sicherheitsfunktionen in den kostenlosen Bereich keine weitreichende Geste, sondern ein Versuch, Distanz zwischen einem kommerziellen Produkt und seinen Hauptproblemen herzustellen.
Und er hat einige ernste.
Die Suchanfrage „Elastic Leaked“ liefert 13,3 Millionen Suchergebnisse bei Google. Beeindruckend, nicht wahr? Nach der Veröffentlichung der Sicherheitsfunktionen des Projekts als Open Source, was einst eine gute Idee zu sein schien, bekam Elastic ernsthafte Probleme mit Datenlecks. Tatsächlich wurde die Basisversion zu einem Sieb, da niemand diese Sicherheitsfunktionen wirklich unterstützte.
Eines der berüchtigtsten Datenlecks eines elastischen Servers war der Verlust von 57 Millionen Daten von US-Bürgern im Dezember 2018 (später stellte sich heraus, dass tatsächlich 82 Millionen Datensätze geleakt wurden). Dann, im Dezember 2018, wurden aufgrund von Sicherheitsproblemen mit Elastic in Brasilien die Daten von 32 Millionen Menschen gestohlen. Im März 2019 wurden „nur“ 250 vertrauliche Dokumente, darunter auch juristische, von einem anderen elastischen Server geleakt. Und dies ist nur die erste Suchseite für die von uns erwähnte Suchanfrage.
Tatsächlich dauern die Hackerangriffe bis heute an und begannen kurz nachdem die Sicherheitsfunktionen von den Entwicklern selbst entfernt und in Open-Source-Code überführt wurden.
Der Leser könnte bemerken: „Na und? Nun ja, sie haben Sicherheitsprobleme, aber wer hat das nicht?“
Jetzt aufgepasst.
Die Frage ist, dass Elastic vor diesem Montag guten Gewissens Geld von Kunden für ein Sieb namens Sicherheitsfunktionen genommen hat, das es bereits im Februar 2018, also vor etwa 15 Monaten, als Open Source veröffentlicht hat. Ohne dass für die Unterstützung dieser Funktionen nennenswerte Kosten anfielen, nahm das Unternehmen dafür regelmäßig Geld von Gold- und Premium-Abonnenten aus dem Unternehmenskundensegment entgegen.
Irgendwann wurden Sicherheitsprobleme für das Unternehmen so giftig und Kundenbeschwerden so bedrohlich, dass die Gier in den Hintergrund trat. Anstatt jedoch die Entwicklung fortzusetzen und die Lücken in seinem eigenen Projekt zu „flicken“, wodurch Millionen von Dokumenten und persönlichen Daten normaler Menschen öffentlich zugänglich gemacht wurden, fügte Elastic Sicherheitsfunktionen in die kostenlose Version von Elasticsearch ein. Und er stellt dies als einen großen Vorteil und Beitrag zur Open-Source-Sache dar.
Angesichts solch „effektiver“ Lösungen sieht der zweite Teil des Blogbeitrags äußerst seltsam aus, weshalb wir dieser Geschichte tatsächlich Aufmerksamkeit geschenkt haben. Es geht um – der offizielle Kubernetes-Betreiber für Elasticsearch und Kibana.
Die Entwickler sagen mit völlig ernstem Gesichtsausdruck, dass durch die Aufnahme von Sicherheitsfunktionen in das kostenlose Basispaket der Elasticsearch-Sicherheitsfunktionen die Belastung der Benutzeradministratoren dieser Lösungen verringert wird. Und im Allgemeinen ist alles großartig.
„Wir können sicherstellen, dass alle von ECK gestarteten und verwalteten Cluster standardmäßig vom Start an geschützt sind, ohne dass die Administratoren zusätzlich belastet werden“, heißt es im offiziellen Blog.
Wie die von den ursprünglichen Entwicklern aufgegebene und nicht wirklich unterstützte Lösung, die sich im vergangenen Jahr zu einem universellen Prügelknaben entwickelt hat, den Benutzern Sicherheit bieten wird, darüber schweigen sich die Entwickler aus.
Source: habr.com
