Baru-baru ini di blog Elastic , yang melaporkan bahwa fungsi keamanan utama Elasticsearch, yang dirilis ke ruang sumber terbuka lebih dari setahun yang lalu, kini gratis untuk pengguna.
Postingan blog resmi berisi kata-kata yang “benar” bahwa open source harus gratis dan bahwa pemilik proyek membangun bisnis mereka berdasarkan fungsi tambahan lain yang mereka tawarkan untuk solusi perusahaan. Kini versi dasar 6.8.0 dan 7.1.0 menyertakan fungsi keamanan berikut, yang sebelumnya hanya tersedia dengan langganan emas:
- TLS untuk komunikasi terenkripsi.
- File dan ranah asli untuk membuat dan mengelola entri pengguna.
- Kelola akses pengguna ke API dan cluster berbasis peran; Akses multi-pengguna ke Kibana diperbolehkan menggunakan Kibana Spaces.
Namun pengalihan fungsi keamanan ke bagian gratis bukanlah sebuah isyarat luas, melainkan upaya untuk menciptakan jarak antara produk komersial dengan masalah utamanya.
Dan dia punya beberapa yang serius.
Kueri “Elastic Leaked” menghasilkan 13,3 juta hasil pencarian di Google. Mengesankan, bukan? Setelah merilis fungsi keamanan proyek ke open source, yang sepertinya merupakan ide bagus, Elastic mulai mengalami masalah kebocoran data yang serius. Faktanya, versi dasar berubah menjadi saringan, karena tidak ada yang benar-benar mendukung fungsi keamanan yang sama.
Salah satu kebocoran data paling terkenal dari server elastis adalah hilangnya 57 juta data warga AS pada bulan Desember 2018 (kemudian ternyata 82 juta catatan benar-benar bocor). Kemudian, pada Desember 2018, karena masalah keamanan pada Elastic di Brazil, data 32 juta orang dicuri. Pada bulan Maret 2019, “hanya” 250 dokumen rahasia, termasuk dokumen legal, bocor dari server elastis lain. Dan ini hanyalah halaman pencarian pertama untuk kueri yang kami sebutkan.
Faktanya, peretasan berlanjut hingga hari ini dan dimulai segera setelah fungsi keamanan dihapus oleh pengembangnya sendiri dan dipindahkan ke kode sumber terbuka.
Pembaca mungkin berkomentar: “Jadi apa? Ya, mereka punya masalah keamanan, tapi siapa yang tidak?”
Dan sekarang perhatian.
Pertanyaannya adalah sebelum hari Senin ini, Elastic, dengan hati nurani yang bersih, mengambil uang dari klien untuk saringan yang disebut fungsi keamanan, yang dirilis ke open source pada bulan Februari 2018, yaitu sekitar 15 bulan yang lalu. Tanpa mengeluarkan biaya yang signifikan untuk mendukung fungsi-fungsi ini, perusahaan secara teratur mengambil uang dari pelanggan emas dan premium dari segmen klien perusahaan.
Pada titik tertentu, masalah keamanan menjadi sangat beracun bagi perusahaan, dan keluhan pelanggan menjadi sangat mengancam, sehingga keserakahan menjadi prioritas utama. Namun, alih-alih melanjutkan pengembangan dan “menambal” lubang di proyeknya sendiri, yang menyebabkan jutaan dokumen dan data pribadi orang biasa masuk ke akses publik, Elastic memasukkan fungsi keamanan ke dalam versi gratis dari elasticsearch. Dan dia menyatakan hal ini sebagai manfaat dan kontribusi besar bagi tujuan open source.
Mengingat solusi “efektif” seperti itu, bagian kedua dari postingan blog terlihat sangat aneh, itulah sebabnya kami memperhatikan cerita ini. Ini tentang - operator resmi Kubernetes untuk Elasticsearch dan Kibana.
Para pengembang, dengan ekspresi yang sangat serius di wajah mereka, mengatakan bahwa karena dimasukkannya fungsi keamanan dalam paket dasar fungsi keamanan elasticsearch gratis, beban administrator pengguna dari solusi ini akan berkurang. Dan secara umum, semuanya baik-baik saja.
“Kami dapat memastikan bahwa semua cluster yang diluncurkan dan dikelola oleh ECK akan dilindungi secara default sejak peluncuran, tanpa beban tambahan pada administrator,” tulis blog resminya.
Bagaimana solusinya, yang ditinggalkan dan tidak terlalu didukung oleh pengembang asli, yang selama setahun terakhir telah berubah menjadi solusi universal, akan memberikan keamanan kepada pengguna, para pengembang diam.
Sumber: www.habr.com