Pred kratkim na blogu Elastic , ki poroča, da so glavne varnostne funkcije Elasticsearch, izdane v odprtokodni prostor pred več kot enim letom, zdaj brezplačne za uporabnike.
Uradna objava na spletnem dnevniku vsebuje »pravilne« besede, da mora biti odprta koda brezplačna in da lastniki projekta gradijo svoje poslovanje na drugih dodatnih funkcijah, ki jih ponujajo za poslovne rešitve. Zdaj osnovne različice različic 6.8.0 in 7.1.0 vključujejo naslednje varnostne funkcije, ki so bile prej na voljo samo z naročnino gold:
- TLS za šifrirano komunikacijo.
- Datoteka in izvorno področje za ustvarjanje in upravljanje uporabniških vnosov.
- Upravljanje uporabniškega dostopa do API-ja in gruče na podlagi vlog; Večuporabniški dostop do Kibane je dovoljen z uporabo Kibana Spaces.
Vendar prenos varnostnih funkcij v brezplačen del ni široka poteza, temveč poskus ustvarjanja razdalje med komercialnim izdelkom in njegovimi glavnimi težavami.
In ima nekaj resnih.
Poizvedba »Elastic Leaked« vrne 13,3 milijona rezultatov iskanja na Googlu. Impresivno, kajne? Po sprostitvi varnostnih funkcij projekta v odprto kodo, kar se je nekoč zdelo dobra ideja, je Elastic začel imeti resne težave z uhajanjem podatkov. Pravzaprav se je osnovna različica spremenila v sito, saj nihče ni zares podpiral teh istih varnostnih funkcij.
Eno najbolj razvpitih uhajanj podatkov iz elastičnega strežnika je bila izguba 57 milijonov podatkov ameriških državljanov, o katerih decembra 2018 (pozneje se je izkazalo, da je dejansko ušlo 82 milijonov zapisov). Nato so bili decembra 2018 zaradi varnostnih težav z Elastic v Braziliji ukradeni podatki 32 milijonov ljudi. Marca 2019 je iz drugega elastičnega strežnika ušlo »samo« 250 zaupnih dokumentov, vključno s pravnimi. In to je samo prva iskalna stran za poizvedbo, ki smo jo omenili.
Pravzaprav se hekanje nadaljuje še danes in se je začelo kmalu po tem, ko so razvijalci sami odstranili varnostne funkcije in jih prenesli v odprtokodno kodo.
Bralec lahko pripomni: »Pa kaj? No, imajo težave z varnostjo, kdo pa jih nima?«
In zdaj pozornost.
Vprašanje pa je, da je Elastic pred tem ponedeljkom mirne vesti od naročnikov jemal denar za sito, imenovano varnostne funkcije, ki ga je v odprto kodo izdal že februarja 2018, torej pred približno 15 meseci. Brez večjih stroškov za podporo teh funkcij je podjetje redno jemalo denar zanje od zlatih in premium naročnikov iz segmenta poslovnih strank.
Na neki točki so varnostne težave postale tako strupene za podjetje, pritožbe strank pa so postale tako grozeče, da je pohlep stopil na zadnji sedež. Toda namesto da bi nadaljeval z razvojem in »zakrpal« luknje v lastnem projektu, zaradi katerih je šlo na milijone dokumentov in osebnih podatkov navadnih ljudi v javni dostop, je Elastic vrgel varnostne funkcije v brezplačno različico elasticsearch. In to predstavlja kot veliko korist in prispevek k odprtokodnemu vzroku.
V luči tako “učinkovitih” rešitev je drugi del zapisa na blogu videti izjemno nenavaden, zaradi katerega smo tej zgodbi pravzaprav tudi namenili pozornost. To je približno - uradni operater Kubernetes za Elasticsearch in Kibana.
Razvijalci s povsem resnim izrazom na obrazu pravijo, da bo zaradi vključitve varnostnih funkcij v osnovni brezplačni paket varnostnih funkcij elasticsearch manjša obremenitev skrbnikov uporabnikov teh rešitev. In na splošno je vse super.
"Lahko zagotovimo, da bodo vse gruče, ki jih zažene in upravlja ECK, privzeto zaščitene od zagona, brez dodatnega bremena za skrbnike," navaja uradni blog.
Kako bo rešitev, ki so jo prvotni razvijalci opustili in zares ne podpirali in se je v zadnjem letu spremenila v univerzalnega fanta za bičanje, uporabnikom zagotavljala varnost, razvijalci molčijo.
Vir: www.habr.com