Gần đây trên blog Đàn hồi , báo cáo rằng các chức năng bảo mật chính của Elaticsearch, được phát hành vào không gian nguồn mở hơn một năm trước, hiện miễn phí cho người dùng.
Bài đăng trên blog chính thức chứa các từ “chính xác” rằng nguồn mở phải miễn phí và chủ sở hữu dự án xây dựng doanh nghiệp của họ dựa trên các chức năng bổ sung khác mà họ cung cấp cho các giải pháp doanh nghiệp. Giờ đây, các bản dựng cơ sở của phiên bản 6.8.0 và 7.1.0 bao gồm các chức năng bảo mật sau, trước đây chỉ khả dụng với đăng ký vàng:
- TLS để liên lạc được mã hóa.
- Tệp và vùng gốc để tạo và quản lý mục nhập của người dùng.
- Quản lý quyền truy cập của người dùng vào API và cụm dựa trên vai trò; Cho phép nhiều người dùng truy cập vào Kibana bằng cách sử dụng Kibana Spaces.
Tuy nhiên, việc chuyển các chức năng bảo mật sang phần miễn phí không phải là một cử chỉ rộng rãi mà là một nỗ lực nhằm tạo khoảng cách giữa một sản phẩm thương mại và các vấn đề chính của nó.
Và anh ấy có một số vấn đề nghiêm trọng.
Truy vấn “Elastic Leaked” trả về 13,3 triệu kết quả tìm kiếm trên Google. Thật ấn tượng phải không? Sau khi phát hành các chức năng bảo mật của dự án sang nguồn mở, điều từng có vẻ là một ý tưởng hay, Elastic bắt đầu gặp vấn đề nghiêm trọng với rò rỉ dữ liệu. Trên thực tế, phiên bản cơ bản đã trở thành một cái sàng vì không ai thực sự hỗ trợ các chức năng bảo mật tương tự này.
Một trong những vụ rò rỉ dữ liệu khét tiếng nhất từ máy chủ đàn hồi là việc mất 57 triệu dữ liệu của công dân Hoa Kỳ, trong đó vào tháng 2018 năm 82 (sau đó hóa ra 2018 triệu hồ sơ đã thực sự bị rò rỉ). Sau đó, vào tháng 32 năm 2019, do vấn đề bảo mật với Elastic ở Brazil, dữ liệu của 250 triệu người đã bị đánh cắp. Vào tháng 000 năm XNUMX, “chỉ” XNUMX tài liệu bí mật, bao gồm cả tài liệu pháp lý, bị rò rỉ từ một máy chủ đàn hồi khác. Và đây chỉ là trang tìm kiếm đầu tiên cho truy vấn mà chúng tôi đã đề cập.
Trên thực tế, việc hack vẫn tiếp tục cho đến ngày nay và bắt đầu ngay sau khi các chức năng bảo mật bị chính các nhà phát triển loại bỏ và chuyển sang mã nguồn mở.
Người đọc có thể nhận xét: “Vậy thì sao? Chà, họ có vấn đề về bảo mật, nhưng ai lại không gặp vấn đề này?”
Và bây giờ là sự chú ý.
Câu hỏi đặt ra là trước thứ Hai tuần này, Elastic, với lương tâm trong sáng, đã lấy tiền từ khách hàng cho một sàng gọi là chức năng bảo mật, được phát hành thành nguồn mở vào tháng 2018 năm 15, tức là khoảng XNUMX tháng trước. Không phát sinh bất kỳ chi phí đáng kể nào để hỗ trợ các chức năng này, công ty thường xuyên nhận tiền từ các thuê bao vàng và thuê bao cao cấp thuộc phân khúc khách hàng doanh nghiệp.
Tại một thời điểm nào đó, các vấn đề về an ninh trở nên quá nguy hiểm đối với công ty và những lời phàn nàn của khách hàng trở nên đe dọa đến mức lòng tham đã lùi bước. Tuy nhiên, thay vì tiếp tục phát triển và “vá” các lỗ hổng trong dự án của riêng mình, khiến hàng triệu tài liệu và dữ liệu cá nhân của người bình thường được truy cập công khai, Elastic đã đưa các chức năng bảo mật vào phiên bản miễn phí của elaticsearch. Và anh ấy trình bày điều này như một lợi ích và đóng góp to lớn cho sự nghiệp nguồn mở.
Trước những giải pháp “hiệu quả” như vậy, phần thứ hai của bài đăng trên blog trông cực kỳ kỳ lạ, vì trên thực tế, chúng tôi đã chú ý đến câu chuyện này. Đó là về - nhà điều hành Kubernetes chính thức cho Elaticsearch và Kibana.
Các nhà phát triển, với vẻ mặt hoàn toàn nghiêm túc, nói rằng do việc đưa các chức năng bảo mật vào gói chức năng bảo mật elaticsearch miễn phí cơ bản, tải trọng cho quản trị viên người dùng của các giải pháp này sẽ giảm bớt. Và nói chung, mọi thứ đều tuyệt vời.
Blog chính thức cho biết: “Chúng tôi có thể đảm bảo rằng tất cả các cụm do ECK khởi chạy và quản lý sẽ được bảo vệ theo mặc định khi khởi chạy mà không có thêm gánh nặng nào cho quản trị viên”.
Làm thế nào giải pháp, bị bỏ rơi và không thực sự được hỗ trợ bởi các nhà phát triển ban đầu, vốn đã trở thành một cậu bé bị đòn roi phổ biến trong năm qua, sẽ cung cấp cho người dùng sự bảo mật như thế nào, các nhà phát triển im lặng.
Nguồn: www.habr.com
