Récemment sur le blog Elastic , qui rapporte que les principales fonctions de sécurité d'Elasticsearch, lancées dans l'espace open source il y a plus d'un an, sont désormais gratuites pour les utilisateurs.
Le billet de blog officiel contient les mots « corrects » selon lesquels l'open source doit être gratuit et que les propriétaires du projet bâtissent leur activité sur d'autres fonctions supplémentaires qu'ils proposent pour les solutions d'entreprise. Désormais, les versions de base des versions 6.8.0 et 7.1.0 incluent les fonctions de sécurité suivantes, auparavant disponibles uniquement avec un abonnement Gold :
- TLS pour une communication cryptée.
- Fichier et domaine natif pour créer et gérer les entrées utilisateur.
- Gérer l'accès des utilisateurs à l'API et au cluster basé sur les rôles ; L'accès multi-utilisateurs à Kibana est autorisé à l'aide des Kibana Spaces.
Cependant, transférer les fonctions de sécurité vers la section gratuite n'est pas un geste large, mais une tentative de créer une distance entre un produit commercial et ses principaux problèmes.
Et il en a de sérieux.
La requête « Elastic Leaked » renvoie 13,3 millions de résultats de recherche sur Google. Impressionnant, n'est-ce pas ? Après avoir publié les fonctions de sécurité du projet en open source, ce qui semblait autrefois être une bonne idée, Elastic a commencé à avoir de sérieux problèmes de fuite de données. En fait, la version de base s’est transformée en passoire, puisque personne ne supportait réellement ces mêmes fonctions de sécurité.
L'une des fuites de données les plus notoires d'un serveur élastique a été la perte de 57 millions de données de citoyens américains, dont en décembre 2018 (il s’est avéré plus tard que 82 millions d’enregistrements avaient effectivement été divulgués). Puis, en décembre 2018, en raison de problèmes de sécurité chez Elastic au Brésil, les données de 32 millions de personnes ont été volées. En mars 2019, « seulement » 250 000 documents confidentiels, y compris juridiques, ont été divulgués depuis un autre serveur élastique. Et ce n'est que la première page de recherche pour la requête que nous avons mentionnée.
En fait, le piratage se poursuit encore aujourd'hui et a commencé peu de temps après que les fonctions de sécurité ont été supprimées par les développeurs eux-mêmes et transférées vers du code open source.
Le lecteur peut remarquer : « Et alors ? Eh bien, ils ont des problèmes de sécurité, mais qui n’en a pas ?
Maintenant attention.
Le problème est qu'avant ce lundi, Elastic, en toute conscience, a retiré de l'argent à ses clients pour un tamis appelé fonctions de sécurité, qu'il a publié en open source en février 2018, soit il y a environ 15 mois. Sans engager de coûts importants pour prendre en charge ces fonctions, l'entreprise prenait régulièrement de l'argent auprès des abonnés Gold et Premium du segment des entreprises clientes.
À un moment donné, les problèmes de sécurité sont devenus si toxiques pour l’entreprise et les plaintes des clients sont devenues si menaçantes que la cupidité est passée au second plan. Cependant, au lieu de reprendre le développement et de « corriger » les failles de son propre projet, à cause desquelles des millions de documents et de données personnelles de personnes ordinaires sont devenues accessibles au public, Elastic a intégré des fonctions de sécurité dans la version gratuite d'elasticsearch. Et il présente cela comme un grand bénéfice et une contribution à la cause de l'open source.
À la lumière de ces solutions « efficaces », la deuxième partie du billet de blog semble extrêmement étrange, c'est pourquoi nous avons en fait prêté attention à cette histoire. Il s'agit de - l'opérateur Kubernetes officiel pour Elasticsearch et Kibana.
Les développeurs, avec une expression tout à fait sérieuse sur leurs visages, affirment qu'en raison de l'inclusion de fonctions de sécurité dans le package gratuit de base des fonctions de sécurité d'elasticsearch, la charge sur les administrateurs des utilisateurs de ces solutions sera réduite. Et en général, tout va bien.
"Nous pouvons garantir que tous les clusters lancés et gérés par ECK seront protégés par défaut dès le lancement, sans charge supplémentaire pour les administrateurs", indique le blog officiel.
Comment la solution, abandonnée et pas vraiment soutenue par les développeurs d'origine, qui s'est transformée au cours de l'année écoulée en un fouet universel, assurera la sécurité des utilisateurs, les développeurs restent silencieux.
Source: habr.com