В официальной блогозаписи содержатся «правильные» слова о том, что open source должен быть бесплатным и что владельцы проекта строят свой бизнес на прочих дополнительных функциях, которые предлагаются ими для enterprise-решений. Теперь в базовые сборки версий 6.8.0 и 7.1.0 включены следующие security-функции, ранее доступные только по gold-подписке:
- TLS для шифрованной связи.
- Файл и native-реалм для создания и управления пользовательскими записями.
- Управление доступом пользователей к API и кластеру на базе ролей; допускается многопользовательский доступ к Kibana с использованием Kibana Spaces.
Однако перевод security-функций в бесплатную секцию — это не широкий жест, а попытка создать дистанцию между коммерческим продуктом и его главными болячками.
А они у него есть и серьезные.
Запрос «Elastic Leaked» возвращает в гугле 13,3 млн результатов поиска. Впечатляет, не правда ли? После вывода security-функций проекта в open source, что когда-то казалось хорошей идеей, у Elastic начались серьезные проблемы с утечками данных. По факту базовая версия превратилась в решето, так как никто толком эти самые security-функции не поддерживал.
Одной из самых громких утечек данных с elastic-сервера стал случай с потерей 57 млн данных граждан США, о чем писали в прессе в декабре 2018 года (потом оказалось, что на самом деле утекло 82 млн записей). Тогда же, в декабре 2018 года из-за проблем с безопасностью Elastic в Бразилии украли данные 32 млн человек. В марте 2019 года с другого elastic-сервера утекло «всего» 250 000 конфиденциальных документов, в том числе и юридического характера. И это только первая страница поиска по упоминаемому нами запросу.
Фактически, взломы продолжаются до сих пор и начались вскоре после снятия «с довольствия» security-функций самими разработчиками и перевода их в открытый исходный код.
Читатель может заметить: «Ну и что? Ну есть у них проблемы с безопасностью, а у кого их нет?»
А теперь внимание.
Вопрос в том, что до этого понедельника Elastic с чистой совестью брала с клиентов деньги за решето под названием security-функции, которые она же вывела в open source еще в феврале 2018 года, то есть около 15 месяцев назад. Не неся никаких существенных расходов по поддержке этих функций, компания исправно брала за них деньги с gold и premium-подписчиков из клиентского enterprise-сегмента.
В какой-то момент проблемы с безопасностью стали настолько токсичными для компании, а претензии со стороны клиентов — настолько угрожающими, что жадность отступила на второй план. Однако, вместо того, что возобновить разработку и «залатать» дыры в собственном проекте, из-за которых в общий доступ ушли миллионы документов и личных данных простых людей, Elastic вышвырнула security-функции в бесплатную версию elasticsearch. И преподносит это как великое благо и содействие делу open source.
В свете таких «эффективных» решений крайне странно выглядит вторая часть блогозаписи, из-за которой мы, собственно, и обратили внимание на эту историю. Речь идет о релизе альфа-версии Elastic Cloud on Kubernetes (ECK) — официального оператора Kubernetes для Elasticsearch и Kibana.
Разработчики с вполне себе серьезным выражением лица говорят о том, что, мол, из-за выноса security-функций в базовую бесплатную комплектацию elasticsearch security-функций нагрузка на администраторов пользователя этих решений будет снижена. Да и вообще, все отлично.
«Мы можем гарантировать, что все кластеры, запущенные и управляемые ECK, будут защищены по умолчанию с момента запуска, без дополнительной нагрузки на администраторов», — говорится в официальном блоге.
Как брошенное и толком неподдерживаемое первоначальными разработчиками решение, которое за последний год превратилось во всеобщего мальчика для битья, обеспечит пользователям безопасность, разработчики умалчивают.
Комментарии (9)
SlavikF
23.05.2019 19:46Информация в статье немного запутана.
Я уже писал по этой теме:
habr.com/ru/post/443528
В чём автор ошибается:
решето под названием security-функции, которые она же вывела в open source еще в феврале 2018 года, то есть около 15 месяцев назад. Не неся никаких существенных расходов по поддержке этих функций, компания исправно брала за них деньги с gold и premium-подписчиков из клиентского enterprise-сегмента.
Да, 15 месяцев назад Elastic ОТКРЫЛА исходники security pack, но за него всё равно надо было платить, потому что исходники были открыты под коммерческой лицензией.
Кстати, откуда вы знаете, что Elastic «Не неся никаких существенных расходов»?
Ещё Elastic написала, что теперь security pack бесплатен, но не написали, что меняется ЛИЦЕНЗИЯ. Похоже лицензия так и остаётся коммерческой. А может и нет, про лицензию не очень понятно.
slonopotamus
23.05.2019 19:46Непонятно.
1. Ну допустим, в эластике не было секьюрити. Ну так её и в каком-нибудь fastcgi тоже не делают. Просто не выставляйте порт во внешний мир и всё, какие проблемы?
2. Что мешало бесплатно пользоваться секьюрити между тем как её выложили в опенсурс и сегодняшним днём? Лицензия, насколько я понял при беглом гуглинге, апачевская. UPD: Говорят, лицензия на секьюрити коммерческая. Тогда этот вопрос снимается.
3. Ну можно же было прикрутить свою секьюрити, если очень уж хочется выставить эластик наружу? Хоть бы HTTPS с Basic-аутентификацией.4umak
23.05.2019 20:23Обычно когда кто-то хочет заработать денег, он наверное старается избегать попадания своего продукта в новости с заголовками «300 млн. аккаунтов было украдено там-то и там-то».
Он конечно может попытаться применить некоторую логику и предлагать доводы схожие с теми, что вы указали. Но люди то запомнят, что это эластик похекали. И он весь сам себе решето. А не какой-то отдельный сервак каких-то конкретных админов.
А если ещё и случаев подобных больше одного (сильно больше), возможно, стоит всё же каких-то красных флажков нарасставлять и, например, хотя бы в основных системах пакеты собирать так, чтобы сервис не висел на 0.0.0.0. А ещё лучше авторизацию по умолчанию сделать. Вроде, не так сложно, зато насколько спокойнее жилось бы PR-отделу?slonopotamus
24.05.2019 00:39+1Возможно. Хотя вспомнить, например, историю про папки .svn которые тысячами лежали на сайтах в открытом доступе — всем прекрасно было понятно что svn тут совершенно не виноват. Так и с эластиком. По дефолту он слушает 127.0.0.1. Если его настроили торчать голой жопой во внешнюю сеть — ну так какие к нему вопросы? Можно и руту пустой пароль задать и дать доступ к ssh извне — вы же не станете утверждать что в этом виноват злодейский sshd?
4umak
24.05.2019 05:36svn и sshd не очень корректные примеры в том контексте, что за каждым из них нет никакого централизованного «держателя акций», предлагающего дополнительные фишки для безопасности за отдельно оплачиваемую подписку. Там чистейшая свобода — эз из и никто никому ничего не должен. А тут уже возникают мысли «может они специально так наговнокодили, чтобы больше бабла выбивать из клиентов?»
Т.е. с точки зрения обычного рассудительного технаря вы, конечно, говорите правильные вещи. Но на арене борьбы бабла со злом начинают возникать вопросы политического характера. В которых приходится участвовать не только глубоко техническим людям, но и менеджменту очень разной удалённости от консоли — финансовые вопросы обычно решают именно они. И тут встречается желание найти крайнего и… возможность его легко найти! В отличие от ссхд:)
eugene08
24.05.2019 12:27An ElasticSearch server that was left open on the Internet without a password has leaked the personal information of nearly 57 million Americans for almost two weeks, ZDNet has learned.
ну вот да, этот момент сводит эффект всей статьи на нет. Претензии надо предьявлять и, наверное, даже уголовно преследовать того, кто отвечал за security and compliance.
gecube
24.05.2019 15:543. Ну можно же было прикрутить свою секьюрити, если очень уж хочется выставить эластик наружу? Хоть бы HTTPS с Basic-аутентификацией.
это не RBAC, а сисурити по принципу «либо все, либо ничего».
Все нормальные поцики желают fine-graned доступ к эластик-кластеру, но при этом не хотят (внезапно!) ничего платить за него.
OlegAndr
24.05.2019 15:09Компания задолбалась читать про очередные утечки данных в ассоциации со своим продуктом и решила что брать деньги за пароль и TLS в 2019 уже как-то слишком и репутационный риск перевешивает и исправилась. Не понял сути наезда.
Они не швырнули x-pack в opensource они его поддерживали, насколько я понимаю. часть требований на Гитхабе закрыта со словами "добавили во внутренний трекер"
gecube
Статья реально по сути проблемы. Индустрия катится в бездну. Корпорации узурпируют право выпускать продукты, потому что у одиночек нет никаких средств разработать что-либо вменяемое. Эпоха романтизма и свободного интернета подходит к концу. А мы плавно переползаем в пост-модернизм, когда обертка превалирует над содержанием… Но ничего нормального сделать уже будет невозможно — для этого нужна энергия, а где ее взять, когда бабло побеждает зло?