Outro dia, uma entrada de blog
apareceu no blog Elastic que informa que as principais funções de segurança do Elasticsearch, lançadas no espaço de código aberto há mais de um ano, agora são gratuitas para os usuários.
A publicação oficial do blog contém as palavras "corretas" de que o código aberto deve ser gratuito e que os proprietários do projeto desenvolvem seus negócios com outros recursos adicionais que eles oferecem para soluções corporativas. Agora, as seguintes funções de segurança estão incluídas nas compilações básicas das versões 6.8.0 e 7.1.0, disponíveis anteriormente apenas com uma assinatura gold:
- TLS para comunicações criptografadas.
- Arquivo e região nativa para criar e gerenciar registros do usuário.
- Gerenciamento do acesso do usuário à API e ao cluster com base em funções; é permitido o acesso multiusuário ao Kibana usando o Kibana Spaces.
No entanto, transferir funções de segurança para a seção livre não é um gesto amplo, mas uma tentativa de criar uma distância entre um produto comercial e suas principais feridas.E ele os tem, e os sérios.
A consulta "Elastic Leaked" retorna 13,3 milhões de resultados para o Google. Impressionante, não é? Depois que as funções de segurança do projeto foram exibidas em código aberto, o que antes parecia uma boa idéia, a Elastic começou a ter sérios problemas com vazamentos de dados. De fato, a versão básica se transformou em uma peneira, já que ninguém realmente suporta essas mesmas funções de segurança.
Um dos mais notórios vazamentos de dados de um servidor elástico foi o caso da perda de 57 milhões de dados de cidadãos dos EUA, que foi
escrita na imprensa em dezembro de 2018 (mais tarde resultou que 82 milhões de registros realmente vazaram). Então, em dezembro de 2018, devido a problemas de segurança Elastic no Brasil, 32 milhões de pessoas foram roubadas. Em março de 2019, um total de 250.000 documentos confidenciais, incluindo documentos legais, vazaram de outro servidor elástico. E esta é apenas a primeira página de pesquisa para a consulta que mencionamos.
De fato, os hacks continuam até hoje e começaram logo após as funções de segurança serem removidas do "contentamento" pelos próprios desenvolvedores e transferidas para o código-fonte aberto.
O leitor pode notar: “E daí? Bem, eles têm problemas de segurança e quem não os tem? ”
Agora atenção.
A questão é que, até segunda-feira, a Elastic, com a consciência limpa, estava recebendo dinheiro dos clientes por uma peneira chamada funções de segurança, que havia sido retirada para código aberto em fevereiro de 2018, ou seja, cerca de 15 meses atrás. Não tendo incorrido em nenhuma despesa significativa para apoiar essas funções, a empresa regularmente recebia dinheiro de assinantes de ouro e premium do segmento empresarial do cliente.
Em algum momento, os problemas de segurança se tornaram tão tóxicos para a empresa, e as reclamações dos clientes se tornaram tão ameaçadoras que a ganância recuou para o segundo plano. No entanto, em vez de retomar o desenvolvimento e corrigir falhas em seu próprio projeto, devido ao qual milhões de documentos e dados pessoais de pessoas comuns foram para o domínio público, o Elastic lançou funções de segurança na versão gratuita do elasticsearch. E o apresenta como uma grande bênção e contribuição para a causa do código aberto.
À luz de tais decisões "efetivas", a segunda parte da postagem do blog parece muito estranha, por causa da qual, de fato, chamamos a atenção para essa história. Estamos falando
do lançamento da versão alfa do Elastic Cloud on Kubernetes (ECK) - o operador oficial do Kubernetes para o Elasticsearch e o Kibana.
Os desenvolvedores com uma expressão facial bastante séria dizem que, devido à remoção das funções de segurança no pacote básico gratuito de funções de segurança do elasticsearch, a carga nos administradores de usuários dessas soluções será reduzida. Enfim, está tudo bem.
"Podemos garantir que todos os clusters lançados e gerenciados pela ECK sejam protegidos por padrão a partir do momento em que são lançados, sem ônus adicional para os administradores", diz o blog oficial.
Como uma solução lançada e claramente não suportada pelos desenvolvedores originais, que ao longo do ano passado se transformou em um chicote universal, fornecerá aos usuários segurança, os desenvolvedores ficam em silêncio.