几天前,Elastic博客上
出现了一个博客条目,报告说,一年多前已在开源空间中发布的Elasticsearch的主要安全功能现在对用户免费。
官方博客文章中包含“正确”的字眼,即开源应该是免费的,并且项目所有者可以基于为企业解决方案提供的其他附加功能来开展业务。 现在,以下安全功能包含在版本6.8.0和7.1.0的基本版本中,这些版本以前仅可通过金牌订阅获得:
- TLS用于加密通信。
- 用于创建和管理用户记录的文件和本机领域。
- 根据角色管理用户对API和集群的访问; 允许使用Kibana Spaces对Kibana进行多用户访问。
但是,将安全功能转移到自由部分并不是一个宽泛的姿态,而是试图在商业产品及其主要疮口之间建立一定距离的尝试。他有他们,还有认真的。
“ Elastic Leaked”查询为Google返回了1330万个结果。 令人印象深刻,不是吗? 在将项目的安全功能以开源形式显示之后,这曾经是个好主意,Elastic开始出现数据泄漏的严重问题。 实际上,基本版本变成了一个筛子,因为没有人真正支持这些相同的安全功能。
弹性服务器最臭名昭著的数据泄漏事件之一就是美国公民丢失了5700万数据,该情况于2018年12月
在新闻界发表 (后来发现实际泄漏了8200万条记录)。 然后,在2018年12月,由于巴西的弹性安全问题,有3200万人被盗。 2019年3月,共有25万份机密文件(包括法律文件)从另一台弹性服务器泄露。 这只是我们提到的查询的第一个搜索页面。
实际上,黑客活动一直持续到今天,并在开发人员自己将安全功能从“满足条件”中删除并转移到开源代码后不久开始。
读者可能会注意到:“那又如何呢? 好吧,他们有安全问题,谁没有呢?”
现在注意。
问题在于,直到周一,Elastic带着明显的良心从客户那里收取钱,以寻求一种称为安全功能的筛子,该筛查系统已于15个月前于2018年2月撤回开源。 为支持这些功能,公司并没有花费任何大笔费用,因此公司定期从客户企业领域的黄金和高级订户那里收取费用。
在某些时候,安全问题对公司来说是如此具有毒性,而客户的投诉也变得如此危险,以至于贪婪逐渐消失了。 但是,Elastic没有将开发恢复和修补自己项目中的漏洞,因为数百万的普通人的文档和个人数据进入了公共领域,而是将安全功能添加到了免费版本的Elasticsearch中。 它表示这是对开源事业的极大祝福和贡献。
根据这样的“有效”决定,博客文章的第二部分看起来很奇怪,因此,我们实际上引起了人们的关注。 我们正在谈论
的是在Kubernetes(ECK)上发布Elastic Cloud的Alpha版本 -ECB是Elasticsearch和Kibana的官方Kubernetes运营商。
面部表情很严肃的开发人员说,由于删除了Elasticsearch安全功能基本免费捆绑包中的安全功能,这些解决方案的用户管理员的负担将减少。 无论如何,一切都很好。
官方博客说:“我们可以保证,从启动之日起,默认情况下,由ECK启动和管理的所有集群都将受到保护,而不会给管理员带来额外负担。”
由于最初的开发人员抛出了一个解决方案,并且在最初的开发人员的支持下,该解决方案在过去的一年中变成了一个万能的鞭策者,它将为用户提供安全,而开发人员则保持沉默。