El otro d铆a,
apareci贸 una entrada de blog en el blog de Elastic que informa que las principales funciones de seguridad de Elasticsearch, que se lanzaron en el espacio de c贸digo abierto hace m谩s de un a帽o, ahora son gratuitas para los usuarios.
La publicaci贸n oficial del blog contiene las palabras "correctas" de que el c贸digo abierto debe ser gratuito y que los propietarios del proyecto desarrollan su negocio sobre otras caracter铆sticas adicionales que ofrecen para soluciones empresariales. Ahora las siguientes funciones de seguridad est谩n incluidas en las compilaciones base de las versiones 6.8.0 y 7.1.0, anteriormente disponibles solo con una suscripci贸n Gold:
- TLS para comunicaciones encriptadas.
- Archivo y 谩mbito nativo para crear y gestionar registros de usuarios.
- Gesti贸n del acceso de los usuarios a la API y al cl煤ster en funci贸n de los roles; Se permite el acceso multiusuario a Kibana utilizando Kibana Spaces.
Sin embargo, transferir funciones de seguridad a la secci贸n libre no es un gesto amplio, sino un intento de crear una distancia entre un producto comercial y sus llagas principales.Y los tiene, y los serios.
La consulta "Elastic Leaked" devuelve 13,3 millones de resultados para Google. Impresionante, 驴no es as铆? Despu茅s de que las funciones de seguridad del proyecto se mostraran en c贸digo abierto, lo que una vez pareci贸 una buena idea, Elastic comenz贸 a tener serios problemas con las filtraciones de datos. De hecho, la versi贸n b谩sica se convirti贸 en un tamiz, ya que nadie realmente admit铆a estas mismas funciones de seguridad.
Una de las filtraciones de datos m谩s notorias de un servidor el谩stico fue el caso de la p茅rdida de 57 millones de datos de ciudadanos estadounidenses, que se
escribi贸 en la prensa en diciembre de 2018 (m谩s tarde result贸 que 82 millones de registros realmente se filtraron). Luego, en diciembre de 2018, debido a problemas de seguridad el谩sticos en Brasil, 32 millones de personas fueron robadas. En marzo de 2019, se filtr贸 un total de 250,000 documentos confidenciales, incluidos los legales, de otro servidor el谩stico. Y esta es solo la primera p谩gina de b煤squeda de la consulta que mencionamos.
De hecho, los hacks contin煤an hasta nuestros d铆as y comenzaron poco despu茅s de que las funciones de seguridad fueron eliminadas de la "satisfacci贸n" por los propios desarrolladores y transferidas al c贸digo fuente abierto.
El lector puede notar: 鈥溌縔 qu茅? Bueno, tienen problemas de seguridad, 驴y qui茅n no los tiene?
Ahora atencion.
La pregunta es, hasta el lunes, Elastic, con la conciencia tranquila, estaba tomando dinero de los clientes para un tamiz llamado funciones de seguridad, que hab铆a retirado a c贸digo abierto en febrero de 2018, es decir, hace unos 15 meses. Al no haber incurrido en gastos significativos para respaldar estas funciones, la compa帽铆a regularmente tomaba dinero para ellos de suscriptores de oro y premium del segmento empresarial cliente.
En alg煤n momento, los problemas de seguridad se volvieron tan t贸xicos para la empresa, y las quejas de los clientes se volvieron tan amenazantes que la avaricia retrocedi贸 a un segundo plano. Sin embargo, en lugar de reanudar el desarrollo y parchear agujeros en su propio proyecto, debido a que millones de documentos y datos personales de personas comunes pasaron al dominio p煤blico, Elastic lanz贸 funciones de seguridad a la versi贸n gratuita de Elasticsearch. Y lo presenta como una gran bendici贸n y contribuci贸n a la causa del c贸digo abierto.
A la luz de tales decisiones "efectivas", la segunda parte de la publicaci贸n del blog parece muy extra帽a, por lo que, de hecho, llamamos la atenci贸n sobre esta historia. Estamos hablando
del lanzamiento de la versi贸n alfa de Elastic Cloud en Kubernetes (ECK) , el operador oficial de Kubernetes para Elasticsearch y Kibana.
Los desarrolladores con una expresi贸n facial bastante seria dicen que, dicen, debido a la eliminaci贸n de las funciones de seguridad en el paquete b谩sico gratuito de funciones de seguridad de Elasticsearch, se reducir谩 la carga en los administradores de usuarios de estas soluciones. De todos modos, todo est谩 bien.
"Podemos garantizar que todos los cl煤steres lanzados y administrados por ECK estar谩n protegidos por defecto desde el momento en que se lanzan, sin una carga adicional para los administradores", dice el blog oficial.
Como una soluci贸n lanzada y simplemente sin apoyo de los desarrolladores originales, que durante el a帽o pasado se ha convertido en un ni帽o de azotes universal, brindar谩 seguridad a los usuarios, los desarrolladores guardan silencio.