L'autre jour, une entrée de blog
est apparue sur le blog Elastic qui rapporte que les principales fonctions de sécurité d'Elasticsearch, qui ont été lancées dans l'espace open source il y a plus d'un an, sont désormais gratuites pour les utilisateurs.
Le billet de blog officiel contient les mots «corrects» que l'open source devrait être gratuit et que les propriétaires de projets construisent leur entreprise sur d'autres fonctionnalités supplémentaires qu'ils offrent pour les solutions d'entreprise. Les fonctions de sécurité suivantes sont désormais incluses dans les versions de base des versions 6.8.0 et 7.1.0, auparavant disponibles uniquement pour l'abonnement Gold:
- TLS pour les communications cryptées.
- Fichier et domaine natif pour créer et gérer des enregistrements d'utilisateurs.
- Gestion de l'accès des utilisateurs à l'API et au cluster en fonction des rôles; l'accès multi-utilisateur à Kibana à l'aide des espaces Kibana est autorisé.
Cependant, le transfert des fonctions de sécurité vers la section gratuite n'est pas un geste large, mais une tentative de créer une distance entre un produit commercial et ses principales plaies.Et il les a, et des graves.
La requête «Elastic Leaked» renvoie 13,3 millions de résultats pour Google. Impressionnant, non? Après que les fonctions de sécurité du projet ont été affichées en open source, ce qui semblait une bonne idée, Elastic a commencé à avoir de sérieux problèmes avec les fuites de données. En fait, la version de base s'est transformée en tamis, car personne ne supportait vraiment ces mêmes fonctions de sécurité.
L'une des fuites de données les plus notoires d'un serveur élastique a été le cas de la perte de 57 millions de données de citoyens américains, qui a été
écrite dans la presse en décembre 2018 (il s'est avéré plus tard que 82 millions d'enregistrements avaient effectivement fui). Puis, en décembre 2018, en raison des problèmes de sécurité d'Elastic au Brésil, 32 millions de personnes ont été volées. En mars 2019, un total de 250000 documents confidentiels, y compris des documents juridiques, ont été divulgués à partir d'un autre serveur élastique. Et ce n'est que la première page de recherche pour la requête que nous mentionnons.
En fait, les hacks continuent à ce jour et ont commencé peu de temps après que les fonctions de sécurité ont été supprimées du "contentement" par les développeurs eux-mêmes et transférées en code source ouvert.
Le lecteur peut remarquer: «Et alors? Eh bien, ils ont des problèmes de sécurité, et qui n'en a pas? »
Maintenant attention.
La question est, jusqu'à lundi, Elastic, en toute bonne conscience, prenait de l'argent aux clients pour un tamis appelé fonctions de sécurité, qu'il avait retiré à l'open source en février 2018, soit il y a environ 15 mois. N'ayant engagé aucune dépense importante pour soutenir ces fonctions, la société a régulièrement prélevé de l'argent pour eux auprès d'or et d'abonnés premium du segment des entreprises clientes.
À un moment donné, les problèmes de sécurité sont devenus si toxiques pour l'entreprise et les plaintes des clients sont devenues si menaçantes que la cupidité est revenue en arrière-plan. Cependant, au lieu de reprendre le développement et de corriger les trous dans leur propre projet, en raison desquels des millions de documents et de données personnelles de personnes ordinaires sont tombés dans le domaine public, Elastic a ajouté des fonctions de sécurité à la version gratuite d'elasticsearch. Et il le présente comme une grande bénédiction et une contribution à la cause de l'open source.
À la lumière de ces décisions «efficaces», la deuxième partie du blog semble très étrange, à cause de laquelle nous avons en fait attiré l'attention sur cette histoire. Nous parlons
de la sortie de la version alpha d'Elastic Cloud on Kubernetes (ECK) - l'opérateur officiel de Kubernetes pour Elasticsearch et Kibana.
Les développeurs avec une expression faciale assez sérieuse disent que, selon eux, en raison de la suppression des fonctions de sécurité dans le bundle gratuit de base des fonctions de sécurité elasticsearch, la charge sur les administrateurs utilisateurs de ces solutions sera réduite. Quoi qu'il en soit, tout va bien.
«Nous pouvons garantir que tous les clusters lancés et gérés par ECK seront protégés par défaut dès leur lancement, sans charge supplémentaire pour les administrateurs», indique le blog officiel.
En tant que solution lancée et manifestement non prise en charge par les développeurs originaux, qui au cours de la dernière année s'est transformée en un fouet universel, offrira aux utilisateurs la sécurité, les développeurs sont silencieux.