Neulich
erschien im Elastic-Blog ein Blogeintrag, der berichtet, dass die wichtigsten Sicherheitsfunktionen von Elasticsearch, die vor mehr als einem Jahr im Open Source-Bereich gestartet wurden, jetzt für Benutzer kostenlos sind.
Der offizielle Blog-Beitrag enthält die „richtigen“ Worte, dass Open Source kostenlos sein sollte und dass Projektbesitzer ihr Geschäft auf anderen zusätzlichen Funktionen aufbauen, die sie für Unternehmenslösungen anbieten. Die folgenden Sicherheitsfunktionen sind jetzt in den Basis-Builds der Versionen 6.8.0 und 7.1.0 enthalten, die bisher nur mit einem Gold-Abonnement verfügbar waren:
- TLS für verschlüsselte Kommunikation.
- Datei und nativer Bereich zum Erstellen und Verwalten von Benutzerdatensätzen.
- Verwaltung des Benutzerzugriffs auf die API und den Cluster basierend auf Rollen; Der Mehrbenutzerzugriff auf Kibana über Kibana Spaces ist zulässig.
Die Übertragung von Sicherheitsfunktionen auf den freien Bereich ist jedoch keine breite Geste, sondern ein Versuch, eine Distanz zwischen einem kommerziellen Produkt und seinen Hauptgeschwüren herzustellen.Und er hat sie und ernsthafte.
Die Abfrage "Elastic Leaked" liefert 13,3 Millionen Ergebnisse für Google. Beeindruckend, nicht wahr? Nachdem die Sicherheitsfunktionen des Projekts in Open Source angezeigt wurden, was einst eine gute Idee war, hatte Elastic ernsthafte Probleme mit Datenlecks. Tatsächlich wurde die Basisversion zu einem Sieb, da niemand diese Sicherheitsfunktionen wirklich unterstützte.
Einer der berüchtigtsten Datenlecks von einem elastischen Server war der Verlust von 57 Millionen Daten von US-Bürgern, der im Dezember 2018
in der Presse veröffentlicht wurde (später stellte sich heraus, dass 82 Millionen Datensätze tatsächlich durchgesickert waren). Dann, im Dezember 2018, wurden aufgrund elastischer Sicherheitsprobleme in Brasilien 32 Millionen Menschen gestohlen. Im März 2019 sind insgesamt 250.000 vertrauliche Dokumente, einschließlich legaler, von einem anderen elastischen Server durchgesickert. Und dies ist nur die erste Suchseite für die von uns erwähnte Abfrage.
Tatsächlich dauern Hacks bis heute an und begannen kurz nachdem die Sicherheitsfunktionen von den Entwicklern selbst aus der "Zufriedenheit" entfernt und auf Open Source Code übertragen wurden.
Der Leser kann bemerken: „Na und? Nun, sie haben Sicherheitsprobleme und wer hat sie nicht? “
Nun Aufmerksamkeit.
Die Frage ist, dass Elastic bis Montag mit gutem Gewissen Geld von Kunden für ein Sieb namens Sicherheitsfunktionen nahm, das es im Februar 2018, dh vor etwa 15 Monaten, auf Open Source zurückgezogen hatte. Da für die Unterstützung dieser Funktionen keine nennenswerten Kosten entstanden waren, nahm das Unternehmen regelmäßig Geld von Gold- und Premium-Abonnenten aus dem Kundenunternehmenssegment.
Irgendwann wurden Sicherheitsprobleme für das Unternehmen so giftig und Kundenbeschwerden so bedrohlich, dass die Gier in den Hintergrund trat. Anstatt die Entwicklung wieder aufzunehmen und Lücken in ihrem eigenen Projekt zu schließen, aufgrund derer Millionen von Dokumenten und persönlichen Daten gewöhnlicher Menschen öffentlich zugänglich wurden, hat Elastic Sicherheitsfunktionen in die kostenlose Version von elasticsearch integriert. Und es präsentiert es als großen Segen und Beitrag zur Sache von Open Source.
Angesichts solcher „effektiver“ Entscheidungen sieht der zweite Teil des Blogposts sehr seltsam aus, weshalb wir tatsächlich auf diese Geschichte aufmerksam gemacht haben. Wir sprechen
über die Veröffentlichung der Alpha-Version von Elastic Cloud auf Kubernetes (ECK) - dem offiziellen Kubernetes-Betreiber für Elasticsearch und Kibana.
Entwickler mit einem ziemlich ernsten Gesichtsausdruck sagen, dass aufgrund der Entfernung von Sicherheitsfunktionen im kostenlosen Basispaket von Elasticsearch-Sicherheitsfunktionen die Belastung der Benutzeradministratoren dieser Lösungen verringert wird. Jedenfalls ist alles in Ordnung.
"Wir können garantieren, dass alle von ECK gestarteten und verwalteten Cluster ab dem Start standardmäßig geschützt sind, ohne die Administratoren zusätzlich zu belasten", heißt es im offiziellen Blog.
Als eine Lösung, die von den ursprünglichen Entwicklern aufgegeben und eindeutig nicht unterstützt wurde und die sich im vergangenen Jahr zu einem universellen Prügelknaben entwickelt hat, bietet sie den Benutzern Sicherheit. Die Entwickler schweigen.