Ostatnio na blogu Elastic , z którego wynika, że główne funkcje bezpieczeństwa Elasticsearch, wypuszczone na rynek open source ponad rok temu, są teraz bezpłatne dla użytkowników.
W oficjalnym wpisie na blogu pojawiają się „właściwe” słowa, że open source powinno być bezpłatne i że właściciele projektów budują swój biznes na innych dodatkowych funkcjach, które oferują dla rozwiązań korporacyjnych. Teraz podstawowe wersje wersji 6.8.0 i 7.1.0 zawierają następujące funkcje bezpieczeństwa, wcześniej dostępne tylko w przypadku złotej subskrypcji:
- TLS do szyfrowanej komunikacji.
- Obszar plików i natywny do tworzenia wpisów użytkowników i zarządzania nimi.
- Zarządzaj dostępem użytkowników do API i klastra opartego na rolach; Dostęp wielu użytkowników do Kibana jest dozwolony przy użyciu Kibana Spaces.
Przeniesienie funkcji bezpieczeństwa do części bezpłatnej nie jest jednak szerokim gestem, lecz próbą stworzenia dystansu pomiędzy produktem komercyjnym a jego głównymi problemami.
A ma kilka poważnych.
Zapytanie „Elastic Leaked” zwraca 13,3 miliona wyników wyszukiwania w Google. Imponujące, prawda? Po udostępnieniu funkcji bezpieczeństwa projektu na zasadach open source, co kiedyś wydawało się dobrym pomysłem, Elastic zaczął mieć poważne problemy z wyciekami danych. W rzeczywistości podstawowa wersja zamieniła się w sito, ponieważ tak naprawdę nikt nie obsługiwał tych samych funkcji bezpieczeństwa.
Jednym z najbardziej znanych wycieków danych z elastycznego serwera była utrata 57 milionów danych obywateli USA, o której w grudniu 2018 r. (później okazało się, że faktycznie wyciekło 82 mln rekordów). Następnie w grudniu 2018 roku w związku z problemami bezpieczeństwa Elastic w Brazylii skradziono dane 32 milionów osób. W marcu 2019 r. z innego elastycznego serwera wyciekło „tylko” 250 000 poufnych dokumentów, w tym prawnych. A to dopiero pierwsza strona wyszukiwania zapytania, o którym wspominaliśmy.
W rzeczywistości hakowanie trwa do dziś i rozpoczęło się wkrótce po usunięciu funkcji bezpieczeństwa przez samych programistów i przeniesieniu ich do otwartego kodu źródłowego.
Czytelnik może zauważyć: „I co z tego? Cóż, mają problemy z bezpieczeństwem, ale kto ich nie ma?”
A teraz uwaga.
Pytanie jest takie, że przed tym poniedziałkiem Elastic z czystym sumieniem wziął od klientów pieniądze za sito zwane funkcjami bezpieczeństwa, które udostępnił jako open source jeszcze w lutym 2018 roku, czyli około 15 miesięcy temu. Nie ponosząc znaczących kosztów na obsługę tych funkcji, firma regularnie pobierała za nie pieniądze od abonentów gold i premium z segmentu klienta korporacyjnego.
W pewnym momencie problemy związane z bezpieczeństwem stały się dla firmy tak toksyczne, a skargi klientów tak groźne, że chciwość zeszła na dalszy plan. Zamiast jednak wznowić rozwój i „łatać” dziury we własnym projekcie, przez które miliony dokumentów i danych osobowych zwykłych ludzi trafiły do publicznego dostępu, Elastic wrzucił funkcje bezpieczeństwa do darmowej wersji Elasticsearch. I przedstawia to jako wielką korzyść i wkład w sprawę open source.
W świetle takich „skutecznych” rozwiązań druga część wpisu wygląda wyjątkowo dziwnie, przez co właściwie zwróciliśmy uwagę na tę historię. To jest o - oficjalny operator Kubernetes dla Elasticsearch i Kibana.
Twórcy z całkowicie poważnym wyrazem twarzy mówią, że dzięki włączeniu funkcji bezpieczeństwa do podstawowego darmowego pakietu funkcji bezpieczeństwa Elasticsearch zmniejszone zostanie obciążenie administratorów użytkowników tych rozwiązań. I ogólnie wszystko jest super.
„Możemy zapewnić, że wszystkie klastry uruchomione i zarządzane przez ECK będą domyślnie chronione od momentu uruchomienia, bez dodatkowych obciążeń dla administratorów” – czytamy na oficjalnym blogu.
W jaki sposób porzucone i niezbyt wspierane przez pierwotnych twórców rozwiązanie, które w ciągu ostatniego roku stało się uniwersalnym chłopcem do bicia, zapewni użytkownikom bezpieczeństwo, twórcy milczą.
Źródło: www.habr.com