Хабрахабр

Elasticsearch сделала бесплатными проблемные security-функции, ранее выведенные в open source

На днях в блоге Elastic появилась запись, в которой сообщается о том, что основные security-функции Elasticsearch, выведенные в open source-пространство более года назад, теперь являются бесплатными для пользователей.

Теперь в базовые сборки версий 6. В официальной блогозаписи содержатся «правильные» слова о том, что open source должен быть бесплатным и что владельцы проекта строят свой бизнес на прочих дополнительных функциях, которые предлагаются ими для enterprise-решений. 0 и 7. 8. 0 включены следующие security-функции, ранее доступные только по gold-подписке: 1.

  • TLS для шифрованной связи.
  • Файл и native-реалм для создания и управления пользовательскими записями.
  • Управление доступом пользователей к API и кластеру на базе ролей; допускается многопользовательский доступ к Kibana с использованием Kibana Spaces.

Однако перевод security-функций в бесплатную секцию — это не широкий жест, а попытка создать дистанцию между коммерческим продуктом и его главными болячками.

Впечатляет, не правда ли? А они у него есть и серьезные.
Запрос «Elastic Leaked» возвращает в гугле 13,3 млн результатов поиска. По факту базовая версия превратилась в решето, так как никто толком эти самые security-функции не поддерживал. После вывода security-функций проекта в open source, что когда-то казалось хорошей идеей, у Elastic начались серьезные проблемы с утечками данных.

Тогда же, в декабре 2018 года из-за проблем с безопасностью Elastic в Бразилии украли данные 32 млн человек. Одной из самых громких утечек данных с elastic-сервера стал случай с потерей 57 млн данных граждан США, о чем писали в прессе в декабре 2018 года (потом оказалось, что на самом деле утекло 82 млн записей). И это только первая страница поиска по упоминаемому нами запросу. В марте 2019 года с другого elastic-сервера утекло «всего» 250 000 конфиденциальных документов, в том числе и юридического характера.

Фактически, взломы продолжаются до сих пор и начались вскоре после снятия «с довольствия» security-функций самими разработчиками и перевода их в открытый исходный код.

Ну есть у них проблемы с безопасностью, а у кого их нет?» Читатель может заметить: «Ну и что?

А теперь внимание.

Не неся никаких существенных расходов по поддержке этих функций, компания исправно брала за них деньги с gold и premium-подписчиков из клиентского enterprise-сегмента. Вопрос в том, что до этого понедельника Elastic с чистой совестью брала с клиентов деньги за решето под названием security-функции, которые она же вывела в open source еще в феврале 2018 года, то есть около 15 месяцев назад.

Однако, вместо того, что возобновить разработку и «залатать» дыры в собственном проекте, из-за которых в общий доступ ушли миллионы документов и личных данных простых людей, Elastic вышвырнула security-функции в бесплатную версию elasticsearch. В какой-то момент проблемы с безопасностью стали настолько токсичными для компании, а претензии со стороны клиентов — настолько угрожающими, что жадность отступила на второй план. И преподносит это как великое благо и содействие делу open source.

Речь идет о релизе альфа-версии Elastic Cloud on Kubernetes (ECK) — официального оператора Kubernetes для Elasticsearch и Kibana. В свете таких «эффективных» решений крайне странно выглядит вторая часть блогозаписи, из-за которой мы, собственно, и обратили внимание на эту историю.

Да и вообще, все отлично. Разработчики с вполне себе серьезным выражением лица говорят о том, что, мол, из-за выноса security-функций в базовую бесплатную комплектацию elasticsearch security-функций нагрузка на администраторов пользователя этих решений будет снижена.

«Мы можем гарантировать, что все кластеры, запущенные и управляемые ECK, будут защищены по умолчанию с момента запуска, без дополнительной нагрузки на администраторов», — говорится в официальном блоге.

Как брошенное и толком неподдерживаемое первоначальными разработчиками решение, которое за последний год превратилось во всеобщего мальчика для битья, обеспечит пользователям безопасность, разработчики умалчивают.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть