Жақында Elastic блогында , ол бір жылдан астам уақыт бұрын ашық бастапқы кеңістікке шығарылған Elasticsearch негізгі қауіпсіздік функциялары енді пайдаланушылар үшін тегін екенін хабарлайды.
Ресми блог жазбасында ашық бастапқы дереккөз тегін болуы керек және жоба иелері өз бизнесін кәсіпорын шешімдері үшін ұсынатын басқа қосымша функциялар негізінде құратын «дұрыс» сөздер бар. Енді 6.8.0 және 7.1.0 нұсқаларының базалық жинақтары бұрын тек алтын жазылыммен қол жетімді келесі қауіпсіздік функцияларын қамтиды:
- Шифрланған байланысқа арналған TLS.
- Пайдаланушы жазбаларын жасауға және басқаруға арналған файл және жергілікті аймақ.
- API және рөлге негізделген кластерге пайдаланушы қатынасын басқару; Kibana Spaces арқылы бірнеше пайдаланушының Kibana кіруіне рұқсат етіледі.
Дегенмен, қауіпсіздік функцияларын бос бөлімге беру - бұл кең қимыл емес, коммерциялық өнім мен оның негізгі проблемалары арасындағы қашықтықты құру әрекеті.
Ал оның кейбір маңыздылары бар.
«Elastic Leaked» сұрауы Google-да 13,3 миллион іздеу нәтижесін береді. Әсерлі, солай емес пе? Жобаның қауіпсіздік функцияларын ашық бастапқы кодқа жібергеннен кейін, бұл бір кездері жақсы идея болып көрінген, Elastic деректердің ағып кетуіне байланысты күрделі мәселелерге тап болды. Шын мәнінде, негізгі нұсқа елекке айналды, өйткені ешкім дәл сол қауіпсіздік функцияларын қолдамайды.
Серпімді серверден ағып кеткен ең танымал деректердің бірі АҚШ азаматтарының 57 миллион деректерінің жоғалуы болды. 2018 жылдың желтоқсанында (кейінірек 82 миллион жазбаның шын мәнінде ағып кеткені белгілі болды). Содан кейін, 2018 жылдың желтоқсанында, Бразилиядағы Elastic қауіпсіздік мәселелеріне байланысты 32 миллион адамның деректері ұрланған. 2019 жылдың наурыз айында басқа серпімді серверден «бар болғаны» 250 000 құпия құжат, соның ішінде заңды құжаттар ағып кетті. Және бұл біз айтқан сұраудың бірінші іздеу беті ғана.
Шын мәнінде, бұзу бүгінгі күнге дейін жалғасуда және қауіпсіздік функцияларын әзірлеушілердің өздері алып тастап, ашық бастапқы кодқа көшіргеннен кейін көп ұзамай басталды.
Оқырман: «Сонымен не? Олардың қауіпсіздік мәселелері бар, бірақ кімде жоқ?»
Ал енді назар.
Мәселе мынада, осы дүйсенбіге дейін Elastic таза ар-ұжданымен 2018 жылдың ақпанында, яғни шамамен 15 ай бұрын ашық көзге шығарған қауіпсіздік функциялары деп аталатын елеуіш үшін клиенттерден ақша алды. Бұл функцияларды қолдау үшін айтарлықтай шығындарсыз компания олар үшін алтын және кәсіпорынның клиент сегментіндегі премиум абоненттерінен үнемі ақша алып отырды.
Бір кезде қауіпсіздік мәселелері компания үшін уытты болды, ал тұтынушылардың шағымдары соншалықты қауіпті болды, ашкөздік екінші орынға шықты. Алайда, әзірлеуді қайта бастаудың және өз жобасындағы саңылауларды «жамаудың» орнына, соның салдарынан миллиондаған құжаттар мен қарапайым адамдардың жеке деректері көпшілікке қолжетімді болды, Elastic қауіпсіздік функцияларын elasticsearch тегін нұсқасына тастады. Және ол мұны ашық дереккөз ісіне үлкен пайда мен үлес ретінде ұсынады.
Осындай «тиімді» шешімдерді ескере отырып, блог жазбасының екінші бөлігі өте оғаш көрінеді, сондықтан біз бұл оқиғаға назар аудардық. Бұл туралы - Elasticsearch және Kibana үшін ресми Kubernetes операторы.
Әзірлеушілер өздерінің бет-әлпетінде байсалды өрнекпен, қауіпсіздік функцияларын elasticsearch қауіпсіздік функцияларының негізгі тегін пакетіне қосудың арқасында осы шешімдердің пайдаланушы әкімшілеріне жүктеме азаяды деп айтады. Ал жалпы, бәрі тамаша.
«Біз ECK арқылы іске қосылған және басқарылатын барлық кластерлердің әкімшілерге қосымша жүктемесіз, әдепкі бойынша іске қосылудан қорғалатынына кепілдік бере аламыз», - делінген ресми блогта.
Соңғы бір жыл ішінде әмбебап қамшы балаға айналған түпнұсқа әзірлеушілер тастап кеткен және шынымен қолдамайтын шешім пайдаланушыларды қауіпсіздікпен қалай қамтамасыз етеді, әзірлеушілер үнсіз.
Ақпарат көзі: www.habr.com