Днями у блозі Elastic , В якій повідомляється про те, що основні security-функції Elasticsearch, виведені в open source-простір більше року тому, тепер є безкоштовними для користувачів.
В офіційному блогозаписі містяться «правильні» слова про те, що open source має бути безкоштовним і що власники проекту будують свій бізнес на інших додаткових функціях, які пропонуються ними для рішень enterprise. Тепер до базових збірок версій 6.8.0 та 7.1.0 включені наступні security-функції, раніше доступні тільки за gold-підпискою:
- TLS для шифрованого зв'язку.
- Файл і native-реалм для створення та управління записами користувача.
- Управління доступом користувачів до API та кластера на базі ролей; допускається розрахований на багато користувачів доступ до Kibana з використанням Kibana Spaces.
Однак переведення security-функцій у безкоштовну секцію – це не широкий жест, а спроба створити дистанцію між комерційним продуктом та його головними болячками.
А вони в нього є серйозні.
Запит Elastic Leaked повертає в гугле 13,3 млн результатів пошуку. Вражає, чи не так? Після виведення security-функцій проекту в open source, що колись здавалося гарною ідеєю, у Elastic почалися серйозні проблеми з витоком даних. За фактом базова версія перетворилася на решето, оскільки ніхто до ладу ці самі security-функції не підтримував.
Однією з найгучніших витоків даних з elastic-сервера став випадок із втратою 57 млн даних громадян США, про що у грудні 2018 року (потім виявилося, що насправді вибігло 82 млн. записів). Тоді ж, у грудні 2018 року через проблеми з безпекою Elastic у Бразилії вкрали дані 32 млн людей. У березні 2019 року з іншого elastic-сервера вибігло «всього» 250 000 конфіденційних документів, у тому числі юридичного характеру. І це тільки перша сторінка пошуку за згадуваним нами запитом.
Фактично, зломи продовжуються досі і почалися невдовзі після зняття «задоволення» security-функцій самими розробниками та переведення їх у відкритий вихідний код.
Читач може помітити: Ну і що? Ну, є у них проблеми з безпекою, а у кого їх немає?»
А тепер увага.
Питання в тому, що до цього понеділка Elastic із чистою совістю брала з клієнтів гроші за решето під назвою security-функції, які вона вивела в open source ще в лютому 2018 року, тобто близько 15 місяців тому. Не несучи жодних суттєвих витрат на підтримку цих функцій, компанія справно брала за них гроші з gold та premium-передплатників із клієнтського enterprise-сегменту.
Якогось моменту проблеми з безпекою стали настільки токсичними для компанії, а претензії з боку клієнтів настільки загрозливими, що жадібність відступила на другий план. Однак, замість того, щоб відновити розробку та «залатати» дірки у власному проекті, через які в загальний доступ пішли мільйони документів та особистих даних простих людей, Elastic викинула security-функції у безкоштовну версію elasticsearch. І підносить це як велике благо та сприяння справі open source.
У світлі таких «ефективних» рішень дуже дивно виглядає друга частина блогозапису, через який ми, власне, і звернули увагу на цю історію. Мова йде - Офіційного оператора Kubernetes для Elasticsearch і Kibana.
Розробники із цілком собі серйозним виразом обличчя говорять про те, що, мовляв, через винесення security-функцій у базову безкоштовну комплектацію elasticsearch security-функцій навантаження на адміністраторів користувача цих рішень буде знижено. Та й взагалі, все чудово.
"Ми можемо гарантувати, що всі кластери, запущені та керовані ECK, будуть захищені за замовчуванням з моменту запуску, без додаткового навантаження на адміністраторів", - йдеться в офіційному блозі.
Як покинуте і до ладу непідтримуване початковими розробниками рішення, яке за останній рік перетворилося на загального хлопчика для биття, забезпечить користувачам безпеку, розробники замовчують.
Джерело: habr.com