Hiljuti ilmus Elastic'i blogis , milles öeldakse, et Elasticsearch'i peamised turbeomadused, mis on avatud lĂ€htekoodiga ruumi ĂŒle aasta tagasi vĂ€lja toodud, on nĂŒĂŒd kasutajatele tasuta.
Ametlikus blogipostituses rÀÀgitakse "Ă”igetest" sĂ”nadest, et avatud lĂ€htekood peab olema tasuta ja et projekti omanikud ehitavad oma Ă€ri muude lisafunktsioonide arvelt, mida nad pakuvad ettevĂ”tte lahendustena. NĂŒĂŒd on versioonide 6.8.0 ja 7.1.0 pĂ”hiversioonidesse lisatud jĂ€rgmised turbefunktsioonid, mis varem olid saadaval ainult kuldse tellimuse alusel:
- TLS krĂŒpteeritud sidete jaoks.
- Faili- ja native-realm kasutajarekordite loomiseks ja haldamiseks.
- Kasutajate pÀÀsu haldamine API-le ja klastrile rollide alusel; lubatakse mitme kasutaja juurdepÀÀs Kibana'le, kasutades Kibana Spaces'i.
Kuid turbefunktsioonide viimine tasuta sektsiooni ei ole lai ĆŸest, vaid katse luua kaugus kaubandusliku toote ja selle peamiste probleemide vahel.
Ja neid probleeme on tÔeliselt palju.
KĂŒsimus "Elastic Leaked" toob Google'is vĂ€lja 13,3 miljonit otsingutulemust. Muljetavaldav, eks? PĂ€rast projekti turvalisuse funktsioonide avalikustamist avatud lĂ€htekoodiga, mis kunagi tundus hea mĂ”ttena, tekkis Elasticil tĂ”siseid andmeleke probleeme. Tegelikult on pĂ”hi versioon muutunud sĂ”elaks, kuna keegi ei toetanud piisavalt neid samu turvafunktsioone.
Ăks mĂ”juvamaid andmeleke juhtumeid elastic-serverist oli olukord, kus kaotati 57 miljoni Ameerika kodaniku andmed, millest detsembris 2018 (hiljem selgus, et tegelikult lekkis 82 miljonit kirjet). Samal ajal, detsembris 2018, varastati Elasti turvaprobleemide tĂ”ttu Brasiilias 32 miljoni inimese andmed. MĂ€rtsis 2019 lekkis teiselt elastic-serverilt "vaid" 250 000 konfidentsiaalset dokumenti, sealhulgas juriidilisi dokumente. Ja see on vaid esimene leht otsingutulemustest meie mainitud pĂ€ringu kohta.
Tegelikult jĂ€tkuvad hĂ€kkimised siiani ja algasid kohe pĂ€rast turvafunktsioonide eemaldamist arendajate poolt ning nende avatud lĂ€htekoodi ĂŒleviimist.
Lugeja vÔib mÀrkida: "Mis siis? Neil on turvaprobleeme, aga kellel ei ole?"
Ja nĂŒĂŒd tĂ€helepanu.
KĂŒsimus on selles, et kuni selle esmaspĂ€evani vĂ”ttis Elastic ausalt klientidelt raha turvafunktsioonide eest, mille nad ise avalikustasid 2018. aasta veebruaris, mis tĂ€hendab umbes 15 kuud tagasi. Ilma olulisemate kuludeta nende funktsioonide toetamiseks vĂ”ttis ettevĂ”te ikka veel raha kuld- ja premium-paremakudesti klientide Ă€risegmendist.
Mingi hetk muutusid turvaprobleemid ettevÔtte jaoks nii toksiliseks ning klientide kaebused nii tÔsisteks, et ahnus taandus tagaplaanile. Kuid selle asemel, et jÀtkata arendust ja "tikkida" oma projektis olevad augud, mille tÔttu lekkis avalikkusele miljonite dokumentide ja tava inimeste isikuandmeid, paiskas Elastic turvafunktsioonid tasuta versiooni elasticsearch'i. Ja esitleb seda kui suurt headust ja toetust avatud koodile.
Selliste "efektiivsete" lahenduste valguses nĂ€eb teise osa blogipostitus, mille tĂ”ttu me tegelikult sellele loodusele tĂ€helepanu juhtisime, ÀÀrmiselt imelik vĂ€lja. RÀÀkime â ametlik Kubernetes'i operaator Elasticsearchi ja Kibana jaoks.
Arendajad, kellel on tĂ€iesti tĂ”sine nĂ€oilme, rÀÀgivad, et elasticsearch security-funktsioonide viimine pĂ”hivaba komplekti vĂ€hendab nende lahenduste kasutajate administraatorite koormust. Ăldiselt on kĂ”ik suurepĂ€rane.
âSaame kinnitada, et kĂ”ik ECK abil kĂ€ivitatud ja hallatud klastrid on vaikimisi kaitstud alates kĂ€ivitamisest, ilma administraatoritele lisakoormuseta,â on öeldud ametlikus blogis.
Kuidas lahendus, mis on jÀetud ja korralikult enam ei toetata, ja mis viimase aasta jooksul on saanud kÔigi peksmise eesmÀrgiks, kasutajaid turvaliselt tagab, arendajad vaikivad.
Allikas: habr.com
