Nedávno na blogu Elastic , ktorá uvádza, že hlavné bezpečnostné funkcie Elasticsearch, vydané do open source priestoru pred viac ako rokom, sú teraz pre používateľov bezplatné.
Oficiálny blogový príspevok obsahuje „správne“ slová, že open source by mal byť bezplatný a že majitelia projektov stavajú svoje podnikanie na ďalších dodatočných funkciách, ktoré ponúkajú pre podnikové riešenia. Teraz základné zostavy verzií 6.8.0 a 7.1.0 obsahujú nasledujúce bezpečnostné funkcie, ktoré boli predtým dostupné len so zlatým predplatným:
- TLS pre šifrovanú komunikáciu.
- Súbor a natívna sféra na vytváranie a správu používateľských záznamov.
- Spravujte prístup používateľov k API a klastra na základe rolí; Prístup viacerých používateľov do Kibana je povolený pomocou Kibana Spaces.
Presun bezpečnostných funkcií do bezplatnej časti však nie je širokým gestom, ale snahou o vytvorenie odstupu medzi komerčným produktom a jeho hlavnými problémami.
A má niekoľko vážnych.
Dopyt „Elastic Leaked“ vráti 13,3 milióna výsledkov vyhľadávania na Google. Pôsobivé, však? Po uvoľnení bezpečnostných funkcií projektu do open source, čo sa kedysi zdalo ako dobrý nápad, Elastic začal mať vážne problémy s únikmi dát. V skutočnosti sa základná verzia zmenila na sito, pretože nikto v skutočnosti nepodporoval rovnaké bezpečnostné funkcie.
Jedným z najznámejších únikov údajov z elastického servera bola strata 57 miliónov údajov občanov USA, o ktorých v decembri 2018 (neskôr sa ukázalo, že skutočne uniklo 82 miliónov záznamov). Potom, v decembri 2018, boli kvôli bezpečnostným problémom s Elastic v Brazílii ukradnuté údaje o 32 miliónoch ľudí. V marci 2019 uniklo z iného elastického servera „iba“ 250 000 dôverných dokumentov vrátane právnych. A toto je len prvá stránka vyhľadávania pre dopyt, ktorý sme spomenuli.
V skutočnosti hackovanie pokračuje dodnes a začalo sa krátko po odstránení bezpečnostných funkcií samotnými vývojármi a ich prenesení do otvoreného zdrojového kódu.
Čitateľ môže poznamenať: „No a čo? No, majú bezpečnostné problémy, ale kto ich nemá?"
A teraz pozornosť.
Otázkou je, že Elastic pred týmto pondelkom s čistým svedomím zobral od klientov peniaze za sito s názvom bezpečnostné funkcie, ktoré do open source pustil ešte vo februári 2018, teda asi pred 15 mesiacmi. Bez vynaloženia výraznejších nákladov na podporu týchto funkcií spoločnosť na ne pravidelne brala peniaze od zlatých a prémiových predplatiteľov zo segmentu podnikových klientov.
V určitom bode sa bezpečnostné problémy stali pre spoločnosť tak toxické a sťažnosti zákazníkov boli také hrozivé, že chamtivosť ustúpila do úzadia. Elastic však namiesto obnovenia vývoja a „zaplátania“ dier vo vlastnom projekte, kvôli ktorým sa milióny dokumentov a osobných údajov obyčajných ľudí dostali do verejného prístupu, nahodil bezpečnostné funkcie do bezplatnej verzie elasticsearch. A prezentuje to ako veľký prínos a prínos pre kauzu open source.
Vo svetle takýchto „efektívnych“ riešení vyzerá druhá časť blogového príspevku mimoriadne zvláštne, kvôli čomu sme v skutočnosti venovali pozornosť tomuto príbehu. Je to o - oficiálny operátor Kubernetes pre Elasticsearch a Kibana.
Vývojári s úplne vážnym výrazom v tvári hovoria, že vďaka zahrnutiu bezpečnostných funkcií do základného bezplatného balíka bezpečnostných funkcií elasticsearch sa zníži záťaž pre správcov používateľov týchto riešení. A vo všeobecnosti je všetko skvelé.
„Môžeme zabezpečiť, že všetky klastre spustené a spravované ECK budú štandardne chránené pred spustením bez ďalšej záťaže pre správcov,“ uvádza oficiálny blog.
Ako riešenie, opustené a v skutočnosti nepodporované pôvodnými vývojármi, ktoré sa za posledný rok zmenilo na univerzálneho bičovacieho chlapca, poskytne používateľom bezpečnosť, vývojári mlčia.
Zdroj: hab.com