Elastic сделала бесплатными проблемные security-функции, ранее выведенные в open source

На днях в блоге Elastic появилась запись ^[1], в которой сообщается о том, что основные security-функции Elasticsearch, выведенные в open source-пространство более года назад, теперь являются бесплатными для пользователей.

В официальной блогозаписи содержатся «правильные» слова о том, что open source должен быть бесплатным и что владельцы проекта строят свой бизнес на прочих дополнительных функциях, которые предлагаются ими для enterprise-решений. Теперь в базовые сборки версий 6.8.0 и 7.1.0 включены следующие security-функции, ранее доступные только по gold-подписке:

• TLS для шифрованной связи.
• Файл и native-реалм для создания и управления пользовательскими записями.
• Управление доступом пользователей к API и кластеру на базе ролей; допускается многопользовательский доступ к Kibana с использованием Kibana Spaces.

Однако перевод security-функций в бесплатную секцию — это не широкий жест, а попытка создать дистанцию между коммерческим продуктом и его главными болячками.

А они у него есть и серьезные.

Запрос «Elastic Leaked» возвращает в гугле 13,3 млн результатов поиска. Впечатляет, не правда ли? После вывода security-функций проекта в open source, что когда-то казалось хорошей идеей, у Elastic начались серьезные проблемы с утечками данных. По факту базовая версия превратилась в решето, так как никто толком эти самые security-функции не поддерживал.

Одной из самых громких утечек данных с elastic-сервера стал случай с потерей 57 млн данных граждан США, о чем писали в прессе ^[2] в декабре 2018 года (потом оказалось, что на самом деле утекло 82 млн записей). Тогда же, в декабре 2018 года из-за проблем с безопасностью Elastic в Бразилии украли данные 32 млн человек. В марте 2019 года с другого elastic-сервера утекло «всего» 250 000 конфиденциальных документов, в том числе и юридического характера. И это только первая страница поиска по упоминаемому нами запросу.

Фактически, взломы продолжаются до сих пор и начались вскоре после снятия «с довольствия» security-функций самими разработчиками и перевода их в открытый исходный код.

Читатель может заметить: «Ну и что? Ну есть у них проблемы с безопасностью, а у кого их нет?»

А теперь внимание.

Вопрос в том, что до этого понедельника Elastic с чистой совестью брала с клиентов деньги за решето под названием security-функции, которые она же вывела в open source еще в феврале 2018 года, то есть около 15 месяцев назад. Не неся никаких существенных расходов по поддержке этих функций, компания исправно брала за них деньги с gold и premium-подписчиков из клиентского enterprise-сегмента.

В какой-то момент проблемы с безопасностью стали настолько токсичными для компании, а претензии со стороны клиентов — настолько угрожающими, что жадность отступила на второй план. Однако, вместо того, что возобновить разработку и «залатать» дыры в собственном проекте, из-за которых в общий доступ ушли миллионы документов и личных данных простых людей, Elastic вышвырнула security-функции в бесплатную версию elasticsearch. И преподносит это как великое благо и содействие делу open source.

В свете таких «эффективных» решений крайне странно выглядит вторая часть блогозаписи, из-за которой мы, собственно, и обратили внимание на эту историю. Речь идет о релизе альфа-версии Elastic Cloud on Kubernetes (ECK) ^[3] — официального оператора Kubernetes для Elasticsearch и Kibana.

Разработчики с вполне себе серьезным выражением лица говорят о том, что, мол, из-за выноса security-функций в базовую бесплатную комплектацию elasticsearch security-функций нагрузка на администраторов пользователя этих решений будет снижена. Да и вообще, все отлично.

«Мы можем гарантировать, что все кластеры, запущенные и управляемые ECK, будут защищены по умолчанию с момента запуска, без дополнительной нагрузки на администраторов», — говорится в официальном блоге.

Как брошенное и толком неподдерживаемое первоначальными разработчиками решение, которое за последний год превратилось во всеобщего мальчика для битья, обеспечит пользователям безопасность, разработчики умалчивают.

Автор: ITSumma

Источник ^[4]