Son zamanlarda Elastic blogunda Bir yıldan uzun bir süre önce açık kaynak alanına sunulan Elasticsearch'ün temel güvenlik işlevlerinin artık kullanıcılar için ücretsiz olduğunu bildiren bir rapor.
Resmi blog yazısında açık kaynağın ücretsiz olması gerektiği ve proje sahiplerinin kurumsal çözümler için sundukları diğer ek işlevler üzerine işlerini kurdukları “doğru” ifadeler yer alıyor. Artık 6.8.0 ve 7.1.0 sürümlerinin temel yapıları, daha önce yalnızca altın abonelikle kullanılabilen aşağıdaki güvenlik işlevlerini içeriyor:
- Şifreli iletişim için TLS.
- Kullanıcı girişlerini oluşturmak ve yönetmek için dosya ve yerel alan.
- API'ye ve rol tabanlı kümeye kullanıcı erişimini yönetin; Kibana Spaces kullanılarak Kibana'ya çoklu kullanıcı erişimine izin verilir.
Ancak güvenlik işlevlerinin serbest bölüme aktarılması geniş bir jest değil, ticari bir ürün ile ana sorunları arasında mesafe yaratma girişimidir.
Ve bazı ciddi durumları da var.
"Elastik Sızdı" sorgusu Google'da 13,3 milyon arama sonucu döndürüyor. Etkileyici, değil mi? Bir zamanlar iyi bir fikir gibi görünen projenin güvenlik işlevlerini açık kaynağa yayınladıktan sonra Elastic, veri sızıntılarıyla ilgili ciddi sorunlar yaşamaya başladı. Aslında, hiç kimse aynı güvenlik işlevlerini gerçekten desteklemediği için temel sürüm bir elek haline geldi.
Elastik bir sunucudan en kötü bilinen veri sızıntılarından biri, ABD vatandaşlarına ait 57 milyon verinin kaybedilmesiydi. Aralık 2018'de (daha sonra 82 milyon kaydın gerçekten sızdırıldığı ortaya çıktı). Ardından Aralık 2018'de Brezilya'da Elastic ile yaşanan güvenlik sorunları nedeniyle 32 milyon kişinin verileri çalındı. Mart 2019'da, yasal olanlar da dahil olmak üzere "yalnızca" 250 gizli belge başka bir elastik sunucudan sızdırıldı. Ve bu bahsettiğimiz sorgunun yalnızca ilk arama sayfasıdır.
Aslında hackleme bugüne kadar devam ediyor ve güvenlik işlevlerinin geliştiriciler tarafından kaldırılıp açık kaynak koduna aktarılmasından kısa bir süre sonra başladı.
Okuyucu şunu söyleyebilir: “Peki ne olmuş? Evet güvenlik sorunları var ama kimin yok ki?”
Şimdi dikkat
Sorun şu ki, bu pazartesiden önce Elastic, vicdan rahatlığıyla, güvenlik işlevleri adı verilen bir süzgeç için müşterilerden para aldı ve bunu Şubat 2018'de, yani yaklaşık 15 ay önce açık kaynağa yayınladı. Şirket, bu işlevleri desteklemek için önemli bir maliyete katlanmaksızın, kurumsal müşteri segmentindeki altın ve premium abonelerden düzenli olarak para alıyordu.
Bir noktada güvenlik sorunları şirket için o kadar toksik hale geldi ve müşteri şikayetleri o kadar tehdit edici hale geldi ki, açgözlülük ikinci planda kaldı. Ancak, milyonlarca belgenin ve sıradan insanların kişisel verilerinin kamu erişimine girmesine neden olan kendi projesindeki açıkları "yamalamak" ve geliştirmeye devam etmek yerine, Elastic, güvenlik işlevlerini elasticsearch'ün ücretsiz sürümüne aktardı. Bunu da açık kaynak davasına büyük bir fayda ve katkı olarak sunuyor.
Bu kadar "etkili" çözümler ışığında blog yazısının ikinci kısmı son derece tuhaf görünüyor, bu yüzden aslında bu hikayeye dikkat ettik. Hakkında - Elasticsearch ve Kibana'nın resmi Kubernetes operatörü.
Geliştiriciler, yüzlerinde tamamen ciddi bir ifadeyle, elasticsearch güvenlik fonksiyonlarının temel ücretsiz paketine güvenlik fonksiyonlarının dahil edilmesi nedeniyle, bu çözümlerin kullanıcı yöneticileri üzerindeki yükün azalacağını söylüyor. Ve genel olarak her şey harika.
Resmi blogda şöyle belirtiliyor: "ECK tarafından başlatılan ve yönetilen tüm kümelerin, yöneticilere ek bir yük getirmeden, lansmandan itibaren varsayılan olarak korunmasını sağlayabiliriz."
Geçtiğimiz yıl evrensel bir kırbaçlanan çocuğa dönüşen orijinal geliştiriciler tarafından terk edilen ve gerçekten desteklenmeyen çözüm, kullanıcılara nasıl güvenlik sağlayacak, geliştiriciler sessiz.
Kaynak: habr.com