Վերջերս Էլաստիկ բլոգում , որը հայտնում է, որ Elasticsearch-ի հիմնական անվտանգության գործառույթները, որոնք թողարկվել են բաց կոդով տարածություն ավելի քան մեկ տարի առաջ, այժմ անվճար են օգտատերերի համար։
Պաշտոնական բլոգի գրառումը պարունակում է «ճիշտ» բառեր, որ բաց կոդով պետք է լինի անվճար, և որ նախագծի սեփականատերերն իրենց բիզնեսը կառուցում են այլ լրացուցիչ գործառույթների վրա, որոնք իրենք առաջարկում են ձեռնարկության լուծումների համար: Այժմ 6.8.0 և 7.1.0 տարբերակների հիմնական կառուցվածքները ներառում են անվտանգության հետևյալ գործառույթները, որոնք նախկինում հասանելի էին միայն ոսկե բաժանորդագրությամբ.
- TLS կոդավորված հաղորդակցության համար:
- Ֆայլ և բնիկ տիրույթ՝ օգտատերերի մուտքերը ստեղծելու և կառավարելու համար:
- Կառավարեք օգտվողների մուտքը դեպի API և դերերի վրա հիմնված կլաստեր; Kibana-ի բազմաթիվ օգտատերերի մուտքը թույլատրվում է Kibana Spaces-ի միջոցով:
Այնուամենայնիվ, անվտանգության գործառույթները անվճար բաժին փոխանցելը լայն ժեստ չէ, այլ կոմերցիոն արտադրանքի և դրա հիմնական խնդիրների միջև հեռավորություն ստեղծելու փորձ։
Եվ նա ունի մի քանի լուրջ:
«Elastic Leaked» հարցումը վերադարձնում է 13,3 միլիոն որոնման արդյունք Google-ում: Տպավորիչ է, այնպես չէ՞։ Նախագծի անվտանգության գործառույթները բաց կոդով թողարկելուց հետո, որը մի ժամանակ լավ գաղափար էր թվում, Elastic-ը սկսեց լուրջ խնդիրներ ունենալ տվյալների արտահոսքի հետ: Փաստորեն, հիմնական տարբերակը վերածվեց մաղի, քանի որ ոչ ոք իրականում չի աջակցում անվտանգության այս նույն գործառույթները:
Էլաստիկ սերվերից տվյալների ամենահայտնի արտահոսքներից մեկը ԱՄՆ քաղաքացիների 57 միլիոն տվյալների կորուստն էր, որի մասին 2018 թվականի դեկտեմբերին (հետագայում պարզվեց, որ իրականում արտահոսել է 82 միլիոն ձայնագրություն)։ Այնուհետև 2018 թվականի դեկտեմբերին Բրազիլիայում Elastic-ի անվտանգության հետ կապված խնդիրների պատճառով գողացվել են 32 միլիոն մարդու տվյալներ։ 2019 թվականի մարտին մեկ այլ էլաստիկ սերվերից արտահոսել է «ընդամենը» 250 գաղտնի փաստաթուղթ, ներառյալ օրինականները։ Եվ սա միայն առաջին որոնման էջն է մեր նշած հարցման համար:
Փաստորեն, հաքերային հարձակումը շարունակվում է մինչ օրս և սկսվել է հենց այն բանից հետո, երբ անվտանգության գործառույթները հեռացվել են հենց մշակողների կողմից և փոխանցվել բաց կոդով:
Ընթերցողը կարող է նկատել. «Ուրեմն ի՞նչ: Լավ, անվտանգության խնդիրներ ունեն, իսկ ո՞վ չունի»։
Իսկ հիմա ուշադրություն.
Հարցն այն է, որ մինչ այս երկուշաբթի Elastic-ը մաքուր խղճով հաճախորդներից գումար է վերցրել անվտանգության գործառույթներ կոչվող մաղի համար, որը բաց կոդով բաց է թողարկել դեռ 2018 թվականի փետրվարին, այսինքն՝ մոտ 15 ամիս առաջ։ Առանց այս գործառույթների աջակցության համար որևէ էական ծախսեր կատարելու՝ ընկերությունը կանոնավոր կերպով դրանց դիմաց գումար էր վերցնում ձեռնարկությունների հաճախորդների սեգմենտի ոսկե և պրեմիում բաժանորդներից:
Ինչ-որ պահի անվտանգության խնդիրներն այնքան թունավոր են դարձել ընկերության համար, և հաճախորդների բողոքներն այնքան սպառնալից են դարձել, որ ագահությունը հայտնվել է երկրորդ պլանում: Այնուամենայնիվ, զարգացումը վերսկսելու և սեփական նախագծի անցքերը «փակելու» փոխարեն, ինչի պատճառով հասարակ մարդկանց միլիոնավոր փաստաթղթեր և անձնական տվյալներ մտան հանրային հասանելիություն, Elastic-ը անվտանգության գործառույթները գցեց elasticsearch-ի անվճար տարբերակում: Եվ սա նա ներկայացնում է որպես մեծ օգուտ և ներդրում բաց կոդով գործին։
Նման «արդյունավետ» լուծումների լույսի ներքո բլոգի գրառման երկրորդ մասը չափազանց տարօրինակ է թվում, ինչի պատճառով մենք, փաստորեն, ուշադրություն դարձրեցինք այս պատմությանը։ Խոսքը վերաբերում է - Kubernetes-ի պաշտոնական օպերատորը Elasticsearch-ի և Kibana-ի համար:
Մշակողները, դեմքի բոլորովին լուրջ արտահայտությամբ, ասում են, որ elasticsearch անվտանգության գործառույթների հիմնական անվճար փաթեթում անվտանգության գործառույթների ընդգրկման շնորհիվ այս լուծումների օգտատերերի ադմինիստրատորների բեռը կնվազի։ Իսկ ընդհանրապես ամեն ինչ հիանալի է։
«Մենք կարող ենք ապահովել, որ ECK-ի կողմից գործարկված և կառավարվող բոլոր կլաստերները լռելյայն պաշտպանված կլինեն գործարկումից՝ առանց լրացուցիչ բեռի ադմինիստրատորների վրա», - ասվում է պաշտոնական բլոգում:
Ինչպես լուծումը, լքված և իրականում չաջակցված սկզբնական ծրագրավորողների կողմից, որը վերջին մեկ տարվա ընթացքում վերածվել է համընդհանուր մտրակի տղայի, օգտատերերին անվտանգություն կապահովի, մշակողները լռում են:
Source: www.habr.com