Onlangs op de Elastic blog , dat meldt dat de belangrijkste beveiligingsfuncties van Elasticsearch, die meer dan een jaar geleden in de open source-ruimte zijn vrijgegeven, nu gratis zijn voor gebruikers.
De officiële blogpost bevat de “juiste” woorden dat open source gratis moet zijn en dat de projecteigenaren hun bedrijf bouwen op andere aanvullende functies die zij aanbieden voor bedrijfsoplossingen. Nu bevatten de basisversies van versies 6.8.0 en 7.1.0 de volgende beveiligingsfuncties, voorheen alleen beschikbaar met een Gold-abonnement:
- TLS voor gecodeerde communicatie.
- Bestand en native realm voor het maken en beheren van gebruikersinvoer.
- Beheer gebruikerstoegang tot API en op rollen gebaseerd cluster; Toegang voor meerdere gebruikers tot Kibana is toegestaan met behulp van Kibana Spaces.
Het overbrengen van beveiligingsfuncties naar het vrije gedeelte is echter geen breed gebaar, maar een poging om afstand te scheppen tussen een commercieel product en de voornaamste problemen ervan.
En hij heeft een paar serieuze.
De zoekopdracht “Elastic Leaked” levert 13,3 miljoen zoekresultaten op Google op. Indrukwekkend, nietwaar? Nadat Elastic de beveiligingsfuncties van het project had vrijgegeven voor open source, wat ooit een goed idee leek, kreeg hij ernstige problemen met datalekken. In feite veranderde de basisversie in een zeef, omdat niemand echt dezelfde beveiligingsfuncties ondersteunde.
Een van de meest beruchte datalekken uit een elastische server was het verlies van 57 miljoen gegevens van Amerikaanse burgers, waarover in december 2018 (later bleek dat er daadwerkelijk 82 miljoen records waren gelekt). Vervolgens werden in december 2018, als gevolg van beveiligingsproblemen met Elastic in Brazilië, de gegevens van 32 miljoen mensen gestolen. In maart 2019 lekten ‘slechts’ 250 vertrouwelijke documenten, inclusief juridische documenten, uit een andere elastische server. En dit is pas de eerste zoekpagina voor de zoekopdracht die we noemden.
In feite gaat het hacken tot op de dag van vandaag door en begon kort nadat de beveiligingsfuncties door de ontwikkelaars zelf waren verwijderd en overgebracht naar open source-code.
De lezer zou kunnen opmerken: “En dan? Nou ja, ze hebben veiligheidsproblemen, maar wie niet?”
En nu aandacht.
De vraag is of Elastic vóór deze maandag met een zuiver geweten geld van klanten heeft aangenomen voor een zeef genaamd beveiligingsfuncties, die het in februari 2018, dat wil zeggen ongeveer 15 maanden geleden, in open source heeft vrijgegeven. Zonder noemenswaardige kosten te maken om deze functies te ondersteunen, nam het bedrijf er regelmatig geld voor aan van goud- en premium-abonnees uit het zakelijke klantensegment.
Op een gegeven moment werden de beveiligingsproblemen zo giftig voor het bedrijf en werden de klachten van klanten zo bedreigend dat hebzucht op de achtergrond kwam te staan. Maar in plaats van de ontwikkeling te hervatten en de gaten in zijn eigen project te ‘patchen’, waardoor miljoenen documenten en persoonlijke gegevens van gewone mensen openbaar toegankelijk werden, gooide Elastic beveiligingsfuncties in de gratis versie van elasticsearch. En hij presenteert dit als een groot voordeel en een bijdrage aan de open source-zaak.
In het licht van dergelijke ‘effectieve’ oplossingen ziet het tweede deel van de blogpost er buitengewoon vreemd uit, waardoor we in feite aandacht aan dit verhaal hebben besteed. Het gaat over - de officiële Kubernetes-operator voor Elasticsearch en Kibana.
De ontwikkelaars zeggen met een volkomen serieuze uitdrukking op hun gezicht dat door de opname van beveiligingsfuncties in het gratis basispakket van elasticsearch-beveiligingsfuncties de belasting voor gebruikersbeheerders van deze oplossingen zal worden verminderd. En over het algemeen is alles geweldig.
“We kunnen ervoor zorgen dat alle clusters die door ECK worden gelanceerd en beheerd standaard vanaf de lancering worden beschermd, zonder extra lasten voor beheerders”, aldus de officiële blog.
Hoe de oplossing, verlaten en niet echt ondersteund door de oorspronkelijke ontwikkelaars, die het afgelopen jaar is veranderd in een universele zweepjongen, gebruikers veiligheid zal bieden, zwijgen de ontwikkelaars.
Bron: www.habr.com