Elasticsearch ha reso gratuite le funzioni di sicurezza problematiche, precedentemente rimosse in open source

Recentemente, nel blog di Elastic è stato pubblicato un articolo, in cui si informa che le principali funzionalità di sicurezza di Elasticsearch, introdotte nell'open source oltre un anno fa, sono ora gratuite per gli utenti.

Nell'articolo ufficiale ci sono le parole "giuste" sul fatto che l'open source deve essere gratuito e che i proprietari del progetto costruiscono il loro business su altre funzionalità aggiuntive, che offrono per soluzioni enterprise. Ora le seguenti funzionalità di sicurezza, precedentemente accessibili solo con un abbonamento gold, sono incluse nelle versioni base 6.8.0 e 7.1.0:

  • TLS per comunicazioni crittografate.
  • File e realm nativi per la creazione e gestione degli account utente.
  • Gestione del controllo degli accessi degli utenti alle API e al cluster basata su ruoli; è consentito l'accesso multiutente a Kibana utilizzando Kibana Spaces.

Tuttavia, il passaggio delle funzionalità di sicurezza nella sezione gratuita non è un gesto generoso, ma un tentativo di creare una distanza tra il prodotto commerciale e i suoi principali problemi.

E ce li ha, e sono seri.

La query "Elastic Leaked" restituisce 13,3 milioni di risultati su Google. Impressionante, vero? Dopo il rilascio delle funzioni di sicurezza del progetto come open source, che un tempo sembrava una buona idea, Elastic ha iniziato a fare i conti con seri problemi di perdita di dati. Di fatto, la versione base è diventata un colabrodo, poiché nessuno ha realmente supportato queste funzioni di sicurezza.

Una delle perdite di dati più clamorose da un server Elastic è stata la perdita di 57 milioni di dati sui cittadini statunitensi, di cui si è parlato nella stampa a dicembre 2018 (poi si è scoperto che in realtà erano trapelati 82 milioni di record). Nello stesso mese, a causa di problemi di sicurezza, in Brasile sono stati rubati i dati di 32 milioni di persone. A marzo 2019, da un altro server Elastic, sono trapelati "solo" 250.000 documenti riservati, compresi quelli di natura legale. E questa è solo la prima pagina dei risultati per la query che abbiamo menzionato.

Di fatto, gli attacchi continuano ancora oggi e sono iniziati poco dopo che gli sviluppatori hanno "disattivato" le funzioni di sicurezza e le hanno trasferite in open source.

Il lettore potrebbe notare: "E allora? Hanno problemi di sicurezza, e chi non ce li ha?"

Ora, attenzione.

Il problema è che fino a questo lunedì Elastic ha tranquillamente prelevato denaro dai clienti per delle funzionalità di sicurezza che aveva reso open source già nel febbraio 2018, ossia circa 15 mesi fa. Senza sostenere alcun costo sostanziale per mantenere queste funzioni, l'azienda ha regolarmente richiesto pagamenti ai sottoscrittori gold e premium del segmento enterprise.

A un certo punto, i problemi di sicurezza sono diventati così tossici per l'azienda e le lamentele dei clienti così minacciose, che l'avidità è passata in secondo piano. Tuttavia, invece di riprendere lo sviluppo e 'tappare' le falle nel proprio progetto, che hanno causato la fuga di milioni di documenti e dati personali di persone comuni, Elastic ha rilasciato le funzioni di sicurezza nella versione gratuita di elasticsearch. E lo presenta come un grande bene e un contributo al mondo dell'open source.

In luce di tali 'efficaci' decisioni, risulta piuttosto strana la seconda parte del blog post, che ci ha fatto prestare attenzione a questa storia. Si tratta del rilascio della versione alpha di Elastic Cloud on Kubernetes (ECK) — l'operatore ufficiale di Kubernetes per Elasticsearch e Kibana.

Gli sviluppatori con un'espressione seriosa parlano del fatto che, attraverso l'integrazione delle funzionalità di sicurezza nella versione gratuita di Elasticsearch, il carico sui gestori di questi sistemi sarà ridotto. E, in generale, tutto va alla grande.

«Possiamo garantire che tutti i cluster avviati e gestiti da ECK saranno protetti di default fin dal momento del lancio, senza alcun sovraccarico per gli amministratori», si legge nel blog ufficiale.

Come una soluzione abbandonata e sostanzialmente non supportata dagli sviluppatori originali, che nell'ultimo anno si è trasformata nel bersaglio di tutti, gli sviluppatori tacciono riguardo a come garantirà la sicurezza agli utenti.

Fonte: habr.com

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster