Recentemente no blog da Elastic , que relata que as principais funções de segurança do Elasticsearch, lançadas no espaço de código aberto há mais de um ano, agora são gratuitas para os usuários.
A postagem do blog oficial contém as palavras “corretas” de que o código aberto deve ser gratuito e que os proprietários do projeto constroem seus negócios com base em outras funções adicionais que oferecem para soluções empresariais. Agora, as compilações básicas das versões 6.8.0 e 7.1.0 incluem as seguintes funções de segurança, anteriormente disponíveis apenas com uma assinatura Gold:
- TLS para comunicação criptografada.
- Arquivo e domínio nativo para criar e gerenciar entradas de usuário.
- Gerenciar o acesso do usuário à API e ao cluster baseado em função; O acesso multiusuário ao Kibana é permitido usando o Kibana Spaces.
Porém, transferir funções de segurança para a seção gratuita não é um gesto amplo, mas uma tentativa de criar distância entre um produto comercial e seus principais problemas.
E ele tem alguns sérios.
A consulta “Elastic Leaked” retorna 13,3 milhões de resultados de pesquisa no Google. Impressionante, não é? Depois de liberar as funções de segurança do projeto para código aberto, o que antes parecia uma boa ideia, a Elastic começou a ter sérios problemas com vazamentos de dados. Na verdade, a versão básica virou uma peneira, já que ninguém realmente suportava essas mesmas funções de segurança.
Um dos vazamentos de dados mais notórios de um servidor elástico foi a perda de 57 milhões de dados de cidadãos norte-americanos, sobre os quais em dezembro de 2018 (mais tarde descobriu-se que 82 milhões de registros vazaram). Então, em dezembro de 2018, devido a problemas de segurança com a Elastic no Brasil, os dados de 32 milhões de pessoas foram roubados. Em março de 2019, “apenas” 250 mil documentos confidenciais, incluindo legais, vazaram de outro servidor elástico. E esta é apenas a primeira página de pesquisa para a consulta que mencionamos.
Na verdade, o hacking continua até hoje e começou logo depois que as funções de segurança foram removidas pelos próprios desenvolvedores e transferidas para o código-fonte aberto.
O leitor pode comentar: “E daí? Bem, eles têm problemas de segurança, mas quem não tem?”
Agora atenção.
A questão é que antes desta segunda-feira, a Elastic, com a consciência tranquila, tirou dinheiro dos clientes para uma peneira chamada funções de segurança, que lançou em código aberto em fevereiro de 2018, ou seja, há cerca de 15 meses. Sem incorrer em quaisquer custos significativos para apoiar estas funções, a empresa recebia regularmente dinheiro por elas de assinantes Gold e Premium do segmento de clientes empresariais.
A certa altura, os problemas de segurança tornaram-se tão tóxicos para a empresa e as reclamações dos clientes tornaram-se tão ameaçadoras que a ganância ficou em segundo plano. No entanto, em vez de retomar o desenvolvimento e “remendar” as lacunas de seu próprio projeto, por causa das quais milhões de documentos e dados pessoais de pessoas comuns foram para o acesso público, a Elastic lançou funções de segurança na versão gratuita do elasticsearch. E ele apresenta isso como um grande benefício e contribuição para a causa do código aberto.
À luz de tais soluções “eficazes”, a segunda parte do post do blog parece extremamente estranha, por isso, de fato, prestamos atenção a esta história. É sobre - o operador oficial do Kubernetes para Elasticsearch e Kibana.
Os desenvolvedores, com uma expressão completamente séria, afirmam que devido à inclusão de funções de segurança no pacote básico gratuito de funções de segurança do elasticsearch, a carga sobre os usuários administradores dessas soluções será reduzida. E em geral está tudo ótimo.
“Podemos garantir que todos os clusters lançados e gerenciados pelo ECK serão protegidos por padrão desde o lançamento, sem ônus adicional para os administradores”, afirma o blog oficial.
Como a solução, abandonada e realmente não apoiada pelos desenvolvedores originais, que no ano passado se transformou em um chicote universal, fornecerá segurança aos usuários, os desenvolvedores ficam em silêncio.
Fonte: habr.com