В феврале 2026 года «Флант» получил сертификат соответствия ФСТЭК России на Deckhouse Stronghold — решение для безопасного управления жизненным циклом секретов. На практике это означает, что продукт могут применять организации, которые обязаны использовать сертифицированное ПО, например государственные учреждения, банки и операторы персональных данных.
В статье расскажем, почему секреты важно хранить безопасно, к чему приводит хаос в управлении ими и как Deckhouse Stronghold помогает выполнять требования регуляторов и наводить порядок в инфраструктуре.
Почему секреты важно защищать
Секреты — это пароли, сертификаты, SSH-ключи, ключи API и токены доступа к информационным системам. С их помощью приложения и сотрудники подключаются к базам данных, сервисам и другим системам.
Секреты могут быть:
- пользовательскими — между человеком и приложением, например пароль к личному кабинету;
- инфраструктурными — между приложениями, например токен доступа к базе данных.
Количество секретов постоянно растёт. Например, по данным отчёта The State of Secrets Sprawl 2024 с каждым годом на GitHub находят всё больше скомпрометированных секретов — 3 млн в 2020 году, 10 млн в 2023-м и 12,8 млн в 2024-м.
На количество секретов влияет рост популярности контейнеризации, облаков, DevOps, автоматизации, CI/CD и технологии Zero Trust. Чем сложнее инфраструктура, тем больше в ней секретов — и тем выше риск потерять их из виду.
Рынок это замечает, и компании внимательнее подходят к управлению секретами — сегодня это одно из ключевых направлений информационной безопасности:
- 33 % компаний называют управление секретами одним из важнейших в своей стратегии по данным The State of Secrets Management 2024;
- 80 % компаний уже встраивают инструменты безопасности в пайплайны разработки по данным State of DevOps 2025.
Однако для некоторых российских организаций безопасно хранить секреты — не просто хорошая практика, а требование регулятора.
- Приказ ФСТЭК России № 117 обязывает операторов государственных информационных систем следовать ГОСТ Р 56939-2024 «Безопасная разработка ПО». В частности, по нему ГИС должны обеспечить безопасность использования секретов и использовать системы управления ими.
- Приказ ФСТЭК России № 239 требует от субъектов критической информационной инфраструктуры придерживаться принципов безопасной разработки на значимых объектах КИИ.
Во всех этих случаях помогает сертифицированная система управления секретами. Она закрывает ряд требований ГОСТ Р 56939-2024 и может применяться в информационных системах, разрабатываемых по требованиям 149-ФЗ, 152-ФЗ и 187-ФЗ.
Почему ручное управление секретами небезопасно
Когда секретами управляют вручную, начинается хаос:
- Фрагментация секретов. Секреты хранятся в разных системах — собрать их в единую картину сложно.
- Отсутствие контроля. Командам сложно оценить, сколько в организации секретов, кто ими пользуется и к каким системам они открывают доступ.
- Риск утечки. Из-за хаоса появляются уязвимости, растёт вероятность компрометации и утечки секретов.
Кроме того, ручное управление секретами обходится дорого — один инженер тратит на него 25 минут в день по данным отчёта Secrets Management: The Next Big Security Threat For Businesses. Если секретов много, это приводит к большим годовым издержкам: на сопровождение 500+ секретов организация потратит 2000 человеко-часов и миллионы рублей.
Специализированные системы убирают хаос. Они автоматически собирают секреты в одном месте, дают командам полный контроль над доступом и шифруют данные — так снижаются и риск утечки, и затраты на ручное сопровождение.
Разберём, как это работает в Deckhouse Stronghold.
Как Deckhouse Stronghold хранит секреты в безопасности
Deckhouse Stronghold — решение для централизованного и безопасного управления секретами. Оно защищает конфиденциальные данные, которыми обмениваются пользователи и приложения, и помогает выполнить требования законов и стандартов по защите информации.
Также Deckhouse Stronghold автоматизирует работу с секретами — командам не нужно управлять ими вручную. Это снижает операционные расходы и освобождает инженеров от рутины.
Три направления, которые закрывает Deckhouse Stronghold
- Регуляторный трек. Решение подходит для создания информационных систем по требованиям 149-ФЗ, 152-ФЗ и 187-ФЗ, а также закрывает требования пункта 5.15 ГОСТ Р 56939-2024 — безопасное хранение секретов при разработке ПО.
- Организационный трек. Deckhouse Stronghold помогает сформировать единый подход к управлению секретами для всех команд.
- Бизнес-трек. Решение снижает операционные расходы, связанные с ручным управлением секретами, и оптимизирует работу сотрудников.
Что умеет Deckhouse Stronghold
Базовые возможности управления жизненным циклом секретов. Решение централизованно и безопасно хранит секреты, поддерживает разные Secret Engines и методы аутентификации. Гибкая ролевая модель позволяет настраивать различные уровни доступа к секретам.
Мультитенантность. Механизм namespaces позволяет создавать дочерние пространства имён и делегировать права на управление ими. Так команды могут работать независимо друг от друга и иметь доступ только к тем секретам, которые требуются для решения рабочих задач.
Пространства имён в Deckhouse Stronghold совместимы с HashiCorp Vault Enterprise по возможностям и методам API.
Межкластерная репликация данных. Функция позволяет асинхронно копировать секреты из основного кластера в дочерние, обеспечивая отказоустойчивость, масштабируемость и географическую доступность хранилища секретов. Это пригодится компаниям с распределённой инфраструктурой: в основном и дочерних хранилищах всегда будут храниться актуальные версии секретов.
Безопасный запуск хранилища. Deckhouse Stronghold поддерживает безопасное автоматическое распечатывание хранилища (auto unseal) — без внешних сервисов и KMS для хранения unseal-ключа.
Автоматические бэкапы. Решение создаёт резервные копии по заданному расписанию через API — командам не нужно генерировать отдельные скрипты или подключать внешние планировщики.
Двойное шифрование данных. «Из коробки» Deckhouse Stronghold шифрует данные алгоритмом AES-256, а поддержка внешних HSM позволяет добавить второй слой шифрования для особенно чувствительных секретов, например в комбинациях AES + ГОСТ, AES + RSA или AES + AES.
Доставка секретов в приложения. Модуль secrets-store-integration автоматически и безопасно доставляет секреты в приложения, в том числе в закрытых контурах. Команды могут выбрать способ передачи секретов исходя из задачи — в виде переменных окружения или в виде файлов.
В каких проектах можно применять ФСТЭК-редакцию Deckhouse Stronghold
Сертификат ФСТЭК России позволяет использовать Deckhouse Stronghold для защиты информации в системах с конфиденциальными данными:
- ИСПДн — до 1-го уровня защищённости;
- ГИС — до 1-го класса защищённости;
- объекты КИИ — 1-й категории значимости;
- АСУ ТП — до 1-го класса защищённости.
В любой из этих систем ФСТЭК-редакция Deckhouse Stronghold поможет построить защищённую инфраструктуру.
Чем Deckhouse Stronghold отличается от других решений
Deckhouse Stronghold разработан на базе HashiCorp Vault Community Edition 1.14.8 — последней версии под свободной лицензией MPL. Команда Deckhouse взяла этот форк и больше двух лет развивает продукт самостоятельно — не копирует возможности Vault, а переосмысливает подход к управлению секретами под требования российского рынка.
В итоге у Deckhouse Stronghold есть возможности, которых нет у других наиболее распространённых российских форков Vault. Среди них — управляемые ключи и интеграция с внешними KMS и HSM, беспарольная аутентификация через WebAuthn, интеграция с корпоративным SSO по SAML 2.0 и возможность подключать собственные Vault-совместимые плагины в контейнерах.
Про различия Deckhouse Stronghold с HashiCorp Vault Community Edition читайте в отдельной статье.
Как проверить, соответствует ли ваша система управления секретами требованиям ФСТЭК России
На практике не всегда можно быстро оценить, соответствует ли система управления секретами требованиям регулятора. Мы собрали чек-лист, который поможет проверить программное обеспечение. Он охватывает ключевые аспекты:
- идентификацию и аутентификацию;
- модель разграничения доступа;
- аудит событий безопасности;
- механизмы ротации секретов;
- требования к безопасной разработке;
- наличие сертификации.