Nylig på Elastic-bloggen , som rapporterer at de viktigste sikkerhetsfunksjonene til Elasticsearch, utgitt i åpen kildekode for mer enn et år siden, nå er gratis for brukere.
Det offisielle blogginnlegget inneholder de «riktige» ordene om at åpen kildekode skal være gratis og at prosjekteierne bygger sin virksomhet på andre tilleggsfunksjoner som de tilbyr for bedriftsløsninger. Nå inkluderer basisbyggene til versjon 6.8.0 og 7.1.0 følgende sikkerhetsfunksjoner, tidligere kun tilgjengelig med et gullabonnement:
- TLS for kryptert kommunikasjon.
- Fil og opprinnelig rike for å opprette og administrere brukeroppføringer.
- Administrer brukertilgang til API og rollebasert klynge; Flerbrukertilgang til Kibana er tillatt ved bruk av Kibana Spaces.
Å overføre sikkerhetsfunksjoner til gratisdelen er imidlertid ikke en bred gest, men et forsøk på å skape avstand mellom et kommersielt produkt og dets hovedproblemer.
Og han har noen seriøse.
Søket «Elastic Leaked» returnerer 13,3 millioner søkeresultater på Google. Imponerende, ikke sant? Etter å ha sluppet prosjektets sikkerhetsfunksjoner til åpen kildekode, noe som en gang virket som en god idé, begynte Elastic å få alvorlige problemer med datalekkasjer. Faktisk ble den grunnleggende versjonen til en sil, siden ingen virkelig støttet de samme sikkerhetsfunksjonene.
En av de mest beryktede datalekkasjene fra en elastisk server var tapet av 57 millioner data fra amerikanske statsborgere, om hvilke i desember 2018 (senere viste det seg at 82 millioner poster faktisk ble lekket). Så, i desember 2018, på grunn av sikkerhetsproblemer med Elastic i Brasil, ble dataene til 32 millioner mennesker stjålet. I mars 2019 ble "bare" 250 000 konfidensielle dokumenter, inkludert juridiske, lekket fra en annen elastisk server. Og dette er bare den første søkesiden for søket vi nevnte.
Faktisk fortsetter hackingen til i dag og begynte kort tid etter at sikkerhetsfunksjonene ble fjernet av utviklerne selv og overført til åpen kildekode.
Leseren kan bemerke: «Hva så? Vel, de har sikkerhetsproblemer, men hvem har ikke det?»
Og nå oppmerksomhet.
Spørsmålet er at Elastic før denne mandagen, med god samvittighet, tok penger fra klienter for en sil kalt sikkerhetsfunksjoner, som den ga ut til åpen kildekode tilbake i februar 2018, det vil si for rundt 15 måneder siden. Uten å pådra seg noen betydelige kostnader for å støtte disse funksjonene, tok selskapet jevnlig penger for dem fra gull- og premiumabonnenter fra bedriftskundesegmentet.
På et tidspunkt ble sikkerhetsproblemene så giftige for selskapet, og kundeklager ble så truende at grådigheten tok seg tilbake. Men i stedet for å gjenoppta utviklingen og "lappe" hullene i sitt eget prosjekt, på grunn av hvilke millioner av dokumenter og personlige data fra vanlige mennesker ble offentlig tilgjengelig, kastet Elastic sikkerhetsfunksjoner inn i gratisversjonen av elasticsearch. Og han presenterer dette som en stor fordel og bidrag til åpen kildekode-saken.
I lys av slike "effektive" løsninger ser den andre delen av blogginnlegget ekstremt rart ut, på grunn av det vi faktisk ga oppmerksomhet til denne historien. Det handler om - den offisielle Kubernetes-operatøren for Elasticsearch og Kibana.
Utviklerne, med et helt seriøst ansiktsuttrykk, sier at på grunn av inkluderingen av sikkerhetsfunksjoner i den grunnleggende gratispakken av elasticsearch-sikkerhetsfunksjoner, vil belastningen på brukeradministratorer av disse løsningene reduseres. Og generelt er alt flott.
"Vi kan sikre at alle klynger som lanseres og administreres av ECK vil være beskyttet som standard fra lansering, uten ekstra belastning for administratorer," heter det i den offisielle bloggen.
Hvordan løsningen, forlatt og egentlig ikke støttet av de originale utviklerne, som det siste året har blitt til en universell piskegutt, skal gi brukerne sikkerhet, er utviklerne tause.
Kilde: www.habr.com