AWS implementiert Security-Features in seine Elasticsearch-Distribution

Diese Woche hat Amazon mitgeteilt, der vergangenes Jahr im Frühjahr vorgestellten Open Distro for Elasticsearch etliche neue Sicherheits-Features verpasst zu haben. Zu ihnen gehört die Möglichkeit, Rollen zu verwenden, um granulare Berechtigungen für Indizes, Dokumente und Felder zu definieren. Des Weiteren kann man nun die auf Elasticsearch setzende Analyseplattform Kibana um schreibgeschützte Ansichten und Dashboards und Visualisierungen auf Tenant-Ebene erweitern.

Die jetzige Version der Open Distro unterstützt die Authentifizierung über AWS Identity and Access Management (IAM). Das ebenfalls genutzte AWS Cognito bietet zudem die Authentifizierung auf Benutzerebene in Kibana sowie eine neue Datenbank, die die Konfiguration von Benutzern mit Unterstützung für eine einfache Authentifizierung von Kibana aus erleichtern soll. Weitere Sicherheitsfunktionen sollen schon bald folgen. Die Suchmaschine und Analytics-Engine Elasticsearch weist hingegen kaum Sicherheitsfunktionen auf.

Der Streit zwischen Elastic und floragunn zieht Kreise

Die in der Elasticsearch-Distribution von AWS enthaltenen Sicherheitsfunktionen sind in der Zusammenarbeit mit dem auf Sicherheit spezialisierten deutschen Softwareunternehmen floragunn entstanden. Dieses ist der Entwickler von Search Guard, einem Security-Plug-in für Elasticsearch, das neben Verschlüsselung, Authentifizierung und Autorisierung Compliance-Funktionen bereithält. Das Werkzeug lässt sich durchaus als Konkurrenzangebot zu den kommerziellen Sicherheitsfunktionen betrachten, die Elastic, der maßgebliche Entwickler von Elasticsearch, über die Jahre hinweg nachgezogen hat.

Diese Konkurrenzsituation mag auch der Grund sein, dass Elastic letzten September eine Klage wegen Urheberrechtsverletzung gegen floragunn eingereicht hatte. Darauf geht nun auch AWS in seiner Ankündigung ein. Der Cloud-Konzern merkt an, dass man vor der Partnerschaft mit floragunn eine eingehende Prüfung durchgeführt und keine Beweise dafür gefunden habe, dass für Search Guard urheberrechtlich geschütztes Material genutzt worden sei. Darüber hinaus hat man mit externen Experten wohl den gesamten von Elastic im Rechtsstreit spezifizierten Code bewertet – mit der Folge, dass man keine Grundlage für die Ansprüche von Elastic sehe.

Warum eine Elasticsearch-Distribution?

Als Grund für die Entwicklung einer eigenen Elasticsearch-Distribution hatte AWS bei der Ankündigung vergangenen März angegeben, dass seit Mitte 2018 nach und nach proprietärer Code in das Open-Source-Projekt eingeflossen sei. Dessen Auswirkungen und die weiteren Pläne von Elastic wären für Nutzer schwer einzuschätzen, hieß es weiter.

Daher hatte man sich bei AWS entschlossen, eine eigene Distribution anzubieten, die komplett quelloffen verfügbar ist und bleiben soll. Lizenziert ist die angepasste Distribution unter der Apache-2-Lizenz, die auch für Teile von Elasticsearch gilt, welches allerdings insgesamt eine gemischte Lizenz verwendet. Der Plattformanbieter hatte zudem angekündigt, zusätzliche Funktionen zu entwickeln. Dabei wolle man explizit keinen Fork erstellen, sondern die Neuerungen auch für das ursprüngliche Projekt bereitstellen, hieß es damals. (ane)