ProHoster > وبلاگ > اداره > Elasticsearch توابع امنیتی مشکل ساز رایگان را ایجاد می کند که قبلاً در منبع باز منتشر شده بودند

Elasticsearch توابع امنیتی مشکل ساز رایگان را ایجاد می کند که قبلاً در منبع باز منتشر شده بودند

اخیراً در وبلاگ الاستیک یک پست وجود داشت، که گزارش می دهد که توابع اصلی امنیتی Elasticsearch که بیش از یک سال پیش در فضای متن باز منتشر شد، اکنون برای کاربران رایگان است.

پست وبلاگ رسمی حاوی کلمات "درست" است که منبع باز باید رایگان باشد و اینکه صاحبان پروژه کسب و کار خود را بر اساس سایر عملکردهای اضافی که برای راه حل های سازمانی ارائه می دهند ایجاد می کنند. اکنون ساخت‌های پایه نسخه‌های 6.8.0 و 7.1.0 شامل عملکردهای امنیتی زیر است که قبلاً فقط با اشتراک طلایی در دسترس بودند:

  • TLS برای ارتباطات رمزگذاری شده
  • قلمرو فایل و بومی برای ایجاد و مدیریت ورودی های کاربر.
  • مدیریت دسترسی کاربر به API و خوشه مبتنی بر نقش؛ دسترسی چند کاربره به Kibana با استفاده از Kibana Spaces مجاز است.

با این حال، انتقال عملکردهای امنیتی به بخش رایگان یک حرکت گسترده نیست، بلکه تلاشی برای ایجاد فاصله بین یک محصول تجاری و مشکلات اصلی آن است.

و او موارد جدی دارد.

پرس و جو "Elastic Leaked" 13,3 میلیون نتیجه جستجو را در گوگل برمی گرداند. چشمگیر است، اینطور نیست؟ پس از انتشار عملکردهای امنیتی پروژه به منبع باز، که زمانی ایده خوبی به نظر می رسید، Elastic شروع به مشکلات جدی با نشت داده ها کرد. در واقع، نسخه اولیه به یک غربال تبدیل شد، زیرا هیچ کس واقعاً از این عملکردهای امنیتی مشابه پشتیبانی نمی کرد.

یکی از بدنام ترین نشت داده ها از یک سرور الاستیک، از دست دادن 57 میلیون داده شهروندان آمریکایی بود که در مورد آن در مطبوعات نوشت در دسامبر 2018 (بعداً معلوم شد که 82 میلیون رکورد واقعاً فاش شده است). سپس، در دسامبر 2018، به دلیل مشکلات امنیتی Elastic در برزیل، اطلاعات 32 میلیون نفر به سرقت رفت. در مارس 2019، «تنها» 250 سند محرمانه، از جمله اسناد قانونی، از یک سرور الاستیک دیگر به بیرون درز کرد. و این تنها اولین صفحه جستجو برای درخواستی است که ذکر کردیم.

در واقع، هک کردن تا به امروز ادامه دارد و مدت کوتاهی پس از حذف توابع امنیتی توسط خود توسعه دهندگان و انتقال به کد منبع باز آغاز شد.

خواننده ممکن است متذکر شود: «پس چی؟ خوب، آنها مشکلات امنیتی دارند، اما چه کسی این مشکل را ندارد؟»

و حالا توجه

سوال این است که قبل از دوشنبه، Elastic، با وجدان راحت، پولی را برای غربال به نام توابع امنیتی از مشتریان دریافت کرد که در فوریه 2018، یعنی حدود 15 ماه پیش، آن را به منبع باز عرضه کرد. بدون اینکه هیچ هزینه قابل توجهی برای پشتیبانی از این عملکردها متحمل شود، این شرکت به طور مرتب از مشترکین طلایی و ممتاز از بخش مشتریان سازمانی پول می گرفت.

در مقطعی، مشکلات امنیتی آنقدر برای شرکت سمی شد و شکایات مشتریان آنقدر تهدیدکننده شد که طمع به عقب نشست. با این حال، Elastic به جای از سرگیری توسعه و "وصله کردن" حفره های پروژه خود، که به دلیل آن میلیون ها سند و داده های شخصی افراد عادی به دسترسی عمومی رفت، عملکردهای امنیتی را در نسخه رایگان elasticsearch قرار داد. و او این را به عنوان یک مزیت و کمک بزرگ به علت منبع باز معرفی می کند.

در پرتو چنین راه حل های "موثر"، قسمت دوم پست وبلاگ بسیار عجیب به نظر می رسد، به همین دلیل ما در واقع به این داستان توجه کردیم. این در مورد است درباره انتشار نسخه آلفا Elastic Cloud در Kubernetes (ECK) - اپراتور رسمی Kubernetes برای Elasticsearch و Kibana.

توسعه دهندگان با حالتی کاملا جدی در چهره خود می گویند که به دلیل گنجاندن توابع امنیتی در بسته رایگان اولیه توابع امنیتی elasticsearch، بار مدیران کاربران این راهکارها کاهش می یابد. و به طور کلی همه چیز عالی است.

وبلاگ رسمی می‌گوید: «ما می‌توانیم اطمینان حاصل کنیم که همه خوشه‌هایی که توسط ECK راه‌اندازی و مدیریت می‌شوند، به‌طور پیش‌فرض از راه‌اندازی محافظت می‌شوند، بدون اینکه بار اضافی بر دوش مدیران باشد».

چگونه این راه حل، رها شده و واقعاً توسط توسعه دهندگان اصلی پشتیبانی نمی شود، که در طول سال گذشته به یک پسر شلاق جهانی تبدیل شده است، امنیت را برای کاربران فراهم می کند، توسعه دهندگان سکوت کرده اند.

منبع: www.habr.com

اضافه کردن نظر