Suatu hari, sebuah entri blog
muncul di blog Elastic yang melaporkan bahwa fungsi keamanan utama Elasticsearch, yang diluncurkan di ruang open source lebih dari setahun yang lalu, sekarang gratis untuk pengguna.
Posting blog resmi berisi kata-kata "benar" yang open source harus gratis dan bahwa pemilik proyek membangun bisnis mereka pada fitur tambahan lain yang mereka tawarkan untuk solusi perusahaan. Sekarang fungsi-fungsi keamanan berikut termasuk dalam versi dasar versi 6.8.0 dan 7.1.0, yang sebelumnya hanya tersedia dengan langganan emas:
- TLS untuk komunikasi terenkripsi.
- File dan ranah asli untuk membuat dan mengelola catatan pengguna.
- Manajemen akses pengguna ke API dan cluster berdasarkan peran; akses multi-pengguna ke Kibana menggunakan Kibana Spaces diizinkan.
Namun, mentransfer fungsi keamanan ke bagian bebas bukan isyarat luas, tetapi upaya untuk menciptakan jarak antara produk komersial dan luka utamanya.Dan dia memilikinya, dan yang serius.
Kueri "Elastis Kebocoran" mengembalikan 13,3 juta hasil untuk Google. Mengesankan, bukan? Setelah fungsi keamanan proyek ditampilkan dalam open source, yang dulunya merupakan ide bagus, Elastic mulai memiliki masalah serius dengan kebocoran data. Bahkan, versi dasar berubah menjadi saringan, karena tidak ada yang benar-benar mendukung fungsi keamanan yang sama ini.
Salah satu kebocoran data paling terkenal dari server elastis adalah kasus hilangnya 57 juta data dari warga AS, yang
ditulis di media pada bulan Desember 2018 (kemudian ternyata 82 juta catatan telah bocor). Kemudian, pada Desember 2018, karena masalah keamanan elastis di Brasil, 32 juta orang dicuri. Pada bulan Maret 2019, total 250.000 dokumen rahasia, termasuk yang legal, bocor dari server elastis lainnya. Dan ini hanya halaman pencarian pertama untuk permintaan yang kami sebutkan.
Bahkan, peretasan berlanjut hingga hari ini dan dimulai segera setelah fungsi keamanan dihapus dari "kepuasan" oleh pengembang sendiri dan ditransfer ke kode sumber terbuka.
Pembaca mungkin memperhatikan: βJadi apa? Ya, mereka punya masalah keamanan, dan siapa yang tidak memilikinya? β
Sekarang perhatian.
Pertanyaannya adalah, sampai hari Senin, Elastic, dengan hati nurani yang jelas, sedang mengambil uang dari pelanggan untuk saringan yang disebut fungsi keamanan, yang telah ditarik ke open source pada Februari 2018, yaitu sekitar 15 bulan yang lalu. Karena tidak mengeluarkan biaya yang signifikan untuk mendukung fungsi-fungsi ini, perusahaan secara teratur mengambil uang untuk mereka dari pelanggan emas dan premium dari segmen perusahaan klien.
Pada titik tertentu, masalah keamanan menjadi sangat beracun bagi perusahaan, dan keluhan pelanggan menjadi sangat mengancam sehingga keserakahan mereda. Namun, alih-alih melanjutkan pengembangan dan menambal lubang dalam proyek mereka sendiri, karena jutaan dokumen dan data pribadi orang biasa masuk ke domain publik, Elastic melemparkan fungsi keamanan ke versi elasticsearch yang gratis. Dan itu menyajikannya sebagai berkat dan kontribusi besar bagi penyebab sumber terbuka.
Mengingat keputusan "efektif" seperti itu, bagian kedua dari posting blog terlihat sangat aneh, karena itu kami, pada kenyataannya, menarik perhatian pada cerita ini. Kita berbicara
tentang rilis versi alpha dari Elastic Cloud on Kubernetes (ECK) - operator Kubernetes resmi untuk Elasticsearch dan Kibana.
Pengembang dengan ekspresi wajah yang cukup serius mengatakan bahwa, kata mereka, karena penghapusan fungsi keamanan dalam bundel bebas dasar fungsi keamanan elasticsearch, beban pada administrator pengguna dari solusi ini akan berkurang. Bagaimanapun, semuanya baik-baik saja.
"Kami dapat menjamin bahwa semua kluster yang diluncurkan dan dikelola oleh ECK akan dilindungi secara default sejak diluncurkan, tanpa beban tambahan pada administrator," kata blog resmi tersebut.
Sebagai solusi yang ditinggalkan dan jelas tidak didukung oleh pengembang asli, yang selama setahun terakhir telah berubah menjadi cambuk universal, akan memberi pengguna keamanan, para pengembang diam.