Kürzlich erschien in dem Elastic-Blog , in dem berichtet wird, dass die grundlegenden Sicherheitsfunktionen von Elasticsearch, die vor über einem Jahr in den Open-Source-Bereich gebracht wurden, nun kostenlos für Benutzer verfügbar sind.
Im offiziellen Blogbeitrag finden sich die "richtigen" Worte, dass Open Source kostenlos sein sollte und dass die Projektinhaber ihr Geschäft auf zusätzlichen Funktionen aufbauen, die sie für Enterprise-Lösungen anbieten. Die folgenden Sicherheitsfunktionen, die zuvor nur mit einem Gold-Abonnement erhältlich waren, sind jetzt in die Basisversionen 6.8.0 und 7.1.0 integriert:
- TLS für verschlüsselte Kommunikation.
- Datei- und Native-Realms zur Erstellung und Verwaltung von Benutzerkonten.
- Zugriffsmanagement für Benutzer auf API und Cluster basierend auf Rollen; Mehrbenutzerzugriff auf Kibana unter Verwendung von Kibana Spaces wird ermöglicht.
Die Übertragung von Sicherheitsfunktionen in den kostenlosen Bereich ist jedoch kein großer Schritt, sondern ein Versuch, eine Distanz zwischen dem kommerziellen Produkt und seinen wesentlichen Problemen zu schaffen.
Und diese Probleme sind gravierend.
Die Anfrage „Elastic Leaked“ liefert bei Google 13,3 Millionen Suchergebnisse. Beeindruckend, oder? Nach der Veröffentlichung der Sicherheitsfunktionen des Projekts als Open Source, was einst wie eine gute Idee schien, hatte Elastic ernsthafte Probleme mit Datenlecks. Tatsächlich hat sich die Basisversion in ein Sieb verwandelt, da niemand diese Sicherheitsfunktionen wirklich unterstützt hat.
Eine der lautesten Datenlecks von elastic-Servern war der Fall, bei dem 57 Millionen Daten von US-Bürgern verloren gingen, worüber im Dezember 2018 (später stellte sich heraus, dass tatsächlich 82 Millionen Datensätze geleakt wurden). Zur selben Zeit, im Dezember 2018, wurden in Brasilien aufgrund von Sicherheitsproblemen bei Elastic Daten von 32 Millionen Personen gestohlen. Im März 2019 wurden von einem anderen elastic-Server „nur“ 250.000 vertrauliche Dokumente, einschließlich rechtlicher Art, geleakt. Und das ist nur die erste Seite der Suche zu unserer Anfrage.
Tatsächlich dauern die Hacks bis heute an und begannen kurz nach der Absetzung der Sicherheitsfunktionen durch die Entwickler selbst und deren Umstellung auf Open Source.
Der Leser könnte bemerken: „Und was ist daran schlimm? Ja, sie haben Sicherheitsprobleme, aber wer hat die nicht?“
Jetzt bitte genau aufpassen.
Die Angelegenheit ist, dass Elastic bis zu diesem Montag ohne jegliches schlechtes Gewissen von seinen Kunden Geld für ein Sieb namens Sicherheitsfunktionen verlangt hat, die sie im Februar 2018, also vor etwa 15 Monaten, als Open Source veröffentlicht hat. Ohne erhebliche Kosten für die Unterstützung dieser Funktionen hat das Unternehmen regelmäßig Gebühren von Gold- und Premium-Abonnenten im Unternehmenssegment eingezogen.
Irgendwann wurden die Sicherheitsprobleme so toxisch für das Unternehmen, und die Beschwerden von Kunden so bedrohlich, dass die Gier in den Hintergrund trat. Statt jedoch die Entwicklung wieder aufzunehmen und die Löcher in ihrem eigenen Projekt zu stopfen, durch die Millionen von Dokumenten und persönlichen Daten gewöhnlicher Menschen im Umlauf gingen, hat Elastic die Sicherheitsfunktionen in die kostenlose Version von Elasticsearch verschoben. Und präsentiert dies als große Wohltat und Unterstützung für das Open Source-Projekt.
Im Lichte solcher „effektiven“ Lösungen wirkt der zweite Teil des Blogbeitrags, wegen dem wir überhaupt auf diese Geschichte aufmerksam wurden, äußerst merkwürdig. Es geht um — dem offiziellen Operator von Kubernetes für Elasticsearch und Kibana.
Entwickler mit ernsthaften Gesichtsausdrücken betonen, dass durch die Integration der Sicherheitsfunktionen in die Standardversion von Elasticsearch die Belastung der Administratoren dieser Lösungen verringert wird. Alles läuft wunderbar.
„Wir können garantieren, dass alle Cluster, die von ECK gestartet und verwaltet werden, ab der ersten Sekunde standardmäßig geschützt sind, ohne zusätzliche Belastung für die Administratoren“, so ein Beitrag im offiziellen Blog.
Die Entwickler bleiben stumm darüber, wie eine seit einem Jahr vernachlässigte und kaum unterstützte Lösung, die zum Prügelknaben für viele wurde, den Nutzern Sicherheit bieten kann.
Quelle: habr.com
