Хабрахабр

Elasticsearch сделала бесплатными проблемные security-функции, ранее выведенные в open source

На днях в блоге Elastic появилась запись, в которой сообщается о том, что основные security-функции Elasticsearch, выведенные в open source-пространство более года назад, теперь являются бесплатными для пользователей.

Теперь в базовые сборки версий 6. В официальной блогозаписи содержатся «правильные» слова о том, что open source должен быть бесплатным и что владельцы проекта строят свой бизнес на прочих дополнительных функциях, которые предлагаются ими для enterprise-решений. 0 и 7. 8. 0 включены следующие security-функции, ранее доступные только по gold-подписке: 1.

  • TLS для шифрованной связи.
  • Файл и native-реалм для создания и управления пользовательскими записями.
  • Управление доступом пользователей к API и кластеру на базе ролей; допускается многопользовательский доступ к Kibana с использованием Kibana Spaces.

Однако перевод security-функций в бесплатную секцию — это не широкий жест, а попытка создать дистанцию между коммерческим продуктом и его главными болячками.

Впечатляет, не правда ли? А они у него есть и серьезные.
Запрос «Elastic Leaked» возвращает в гугле 13,3 млн результатов поиска. По факту базовая версия превратилась в решето, так как никто толком эти самые security-функции не поддерживал. После вывода security-функций проекта в open source, что когда-то казалось хорошей идеей, у Elastic начались серьезные проблемы с утечками данных.

Тогда же, в декабре 2018 года из-за проблем с безопасностью Elastic в Бразилии украли данные 32 млн человек. Одной из самых громких утечек данных с elastic-сервера стал случай с потерей 57 млн данных граждан США, о чем писали в прессе в декабре 2018 года (потом оказалось, что на самом деле утекло 82 млн записей). И это только первая страница поиска по упоминаемому нами запросу. В марте 2019 года с другого elastic-сервера утекло «всего» 250 000 конфиденциальных документов, в том числе и юридического характера.

Фактически, взломы продолжаются до сих пор и начались вскоре после снятия «с довольствия» security-функций самими разработчиками и перевода их в открытый исходный код.

Ну есть у них проблемы с безопасностью, а у кого их нет?» Читатель может заметить: «Ну и что?

А теперь внимание.

Не неся никаких существенных расходов по поддержке этих функций, компания исправно брала за них деньги с gold и premium-подписчиков из клиентского enterprise-сегмента. Вопрос в том, что до этого понедельника Elastic с чистой совестью брала с клиентов деньги за решето под названием security-функции, которые она же вывела в open source еще в феврале 2018 года, то есть около 15 месяцев назад.

Однако, вместо того, что возобновить разработку и «залатать» дыры в собственном проекте, из-за которых в общий доступ ушли миллионы документов и личных данных простых людей, Elastic вышвырнула security-функции в бесплатную версию elasticsearch. В какой-то момент проблемы с безопасностью стали настолько токсичными для компании, а претензии со стороны клиентов — настолько угрожающими, что жадность отступила на второй план. И преподносит это как великое благо и содействие делу open source.

Речь идет о релизе альфа-версии Elastic Cloud on Kubernetes (ECK) — официального оператора Kubernetes для Elasticsearch и Kibana. В свете таких «эффективных» решений крайне странно выглядит вторая часть блогозаписи, из-за которой мы, собственно, и обратили внимание на эту историю.

Да и вообще, все отлично. Разработчики с вполне себе серьезным выражением лица говорят о том, что, мол, из-за выноса security-функций в базовую бесплатную комплектацию elasticsearch security-функций нагрузка на администраторов пользователя этих решений будет снижена.

«Мы можем гарантировать, что все кластеры, запущенные и управляемые ECK, будут защищены по умолчанию с момента запуска, без дополнительной нагрузки на администраторов», — говорится в официальном блоге.

Как брошенное и толком неподдерживаемое первоначальными разработчиками решение, которое за последний год превратилось во всеобщего мальчика для битья, обеспечит пользователям безопасность, разработчики умалчивают.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть