Блог

Безопасное хранение секретов по требованиям ФСТЭК России с Deckhouse Stronghold

5 мин

В феврале 2026 года «Флант» получил сертификат соответствия ФСТЭК России на Deckhouse Stronghold — решение для безопасного управления жизненным циклом секретов. На практике это означает, что продукт могут применять организации, которые обязаны использовать сертифицированное ПО, например государственные учреждения, банки и операторы персональных данных. 

В статье расскажем, почему секреты важно хранить безопасно, к чему приводит хаос в управлении ими и как Deckhouse Stronghold помогает выполнять требования регуляторов и наводить порядок в инфраструктуре.

Почему секреты важно защищать

icon

Секреты — это пароли, сертификаты, SSH-ключи, ключи API и токены доступа к информационным системам. С их помощью приложения и сотрудники подключаются к базам данных, сервисам и другим системам.

Секреты могут быть:

  • пользовательскими — между человеком и приложением, например пароль к личному кабинету;
  • инфраструктурными — между приложениями, например токен доступа к базе данных.

Количество секретов постоянно растёт. Например, по данным отчёта The State of Secrets Sprawl 2024 с каждым годом на GitHub находят всё больше скомпрометированных секретов — 3 млн в 2020 году, 10 млн в 2023-м и 12,8 млн в 2024-м.

На количество секретов влияет рост популярности контейнеризации, облаков, DevOps, автоматизации, CI/CD и технологии Zero Trust. Чем сложнее инфраструктура, тем больше в ней секретов — и тем выше риск потерять их из виду.

Рынок это замечает, и компании внимательнее подходят к управлению секретами — сегодня это одно из ключевых направлений информационной безопасности:

Однако для некоторых российских организаций безопасно хранить секреты — не просто хорошая практика, а требование регулятора.

  • Приказ ФСТЭК России № 117 обязывает операторов государственных информационных систем следовать ГОСТ Р 56939-2024 «Безопасная разработка ПО». В частности, по нему ГИС должны обеспечить безопасность использования секретов и использовать системы управления ими.
  • Приказ ФСТЭК России № 239 требует от субъектов критической информационной инфраструктуры придерживаться принципов безопасной разработки на значимых объектах КИИ.

Во всех этих случаях помогает сертифицированная система управления секретами. Она закрывает ряд требований ГОСТ Р 56939-2024 и может применяться в информационных системах, разрабатываемых по требованиям 149-ФЗ, 152-ФЗ и 187-ФЗ.

Почему ручное управление секретами небезопасно

Когда секретами управляют вручную, начинается хаос:

  • Фрагментация секретов. Секреты хранятся в разных системах — собрать их в единую картину сложно.
  • Отсутствие контроля. Командам сложно оценить, сколько в организации секретов, кто ими пользуется и к каким системам они открывают доступ.
  • Риск утечки. Из-за хаоса появляются уязвимости, растёт вероятность компрометации и утечки секретов.

Кроме того, ручное управление секретами обходится дорого — один инженер тратит на него 25 минут в день по данным отчёта Secrets Management: The Next Big Security Threat For Businesses. Если секретов много, это приводит к большим годовым издержкам: на сопровождение 500+ секретов организация потратит 2000 человеко-часов и миллионы рублей.

Специализированные системы убирают хаос. Они автоматически собирают секреты в одном месте, дают командам полный контроль над доступом и шифруют данные — так снижаются и риск утечки, и затраты на ручное сопровождение.

Разберём, как это работает в Deckhouse Stronghold.

Как Deckhouse Stronghold хранит секреты в безопасности

Deckhouse Stronghold — решение для централизованного и безопасного управления секретами. Оно защищает конфиденциальные данные, которыми обмениваются пользователи и приложения, и помогает выполнить требования законов и стандартов по защите информации.

Также Deckhouse Stronghold автоматизирует работу с секретами — командам не нужно управлять ими вручную. Это снижает операционные расходы и освобождает инженеров от рутины.

Три направления, которые закрывает Deckhouse Stronghold

  • Регуляторный трек. Решение подходит для создания информационных систем по требованиям 149-ФЗ, 152-ФЗ и 187-ФЗ, а также закрывает требования пункта 5.15 ГОСТ Р 56939-2024 — безопасное хранение секретов при разработке ПО.
  • Организационный трек. Deckhouse Stronghold помогает сформировать единый подход к управлению секретами для всех команд.
  • Бизнес-трек. Решение снижает операционные расходы, связанные с ручным управлением секретами, и оптимизирует работу сотрудников.

Что умеет Deckhouse Stronghold

Базовые возможности управления жизненным циклом секретов. Решение централизованно и безопасно хранит секреты, поддерживает разные Secret Engines и методы аутентификации. Гибкая ролевая модель позволяет настраивать различные уровни доступа к секретам.

Мультитенантность. Механизм namespaces позволяет создавать дочерние пространства имён и делегировать права на управление ими. Так команды могут работать независимо друг от друга и иметь доступ только к тем секретам, которые требуются для решения рабочих задач. 

Пространства имён в Deckhouse Stronghold совместимы с HashiCorp Vault Enterprise по возможностям и методам API.

Межкластерная репликация данных. Функция позволяет асинхронно копировать секреты из основного кластера в дочерние, обеспечивая отказоустойчивость, масштабируемость и географическую доступность хранилища секретов. Это пригодится компаниям с распределённой инфраструктурой: в основном и дочерних хранилищах всегда будут храниться актуальные версии секретов.

Безопасный запуск хранилища. Deckhouse Stronghold поддерживает безопасное автоматическое распечатывание хранилища (auto unseal) — без внешних сервисов и KMS для хранения unseal-ключа.

Автоматические бэкапы. Решение создаёт резервные копии по заданному расписанию через API — командам не нужно генерировать отдельные скрипты или подключать внешние планировщики. 

Двойное шифрование данных. «Из коробки» Deckhouse Stronghold шифрует данные алгоритмом AES-256, а поддержка внешних HSM позволяет добавить второй слой шифрования для особенно чувствительных секретов, например в комбинациях AES + ГОСТ, AES + RSA или AES + AES.

Доставка секретов в приложения. Модуль secrets-store-integration автоматически и безопасно доставляет секреты в приложения, в том числе в закрытых контурах. Команды могут выбрать способ передачи секретов исходя из задачи — в виде переменных окружения или в виде файлов. 

В каких проектах можно применять ФСТЭК-редакцию Deckhouse Stronghold

Сертификат ФСТЭК России позволяет использовать Deckhouse Stronghold для защиты информации в системах с конфиденциальными данными:

  • ИСПДн — до 1-го уровня защищённости;
  • ГИС — до 1-го класса защищённости;
  • объекты КИИ — 1-й категории значимости;
  • АСУ ТП — до 1-го класса защищённости.

В любой из этих систем ФСТЭК-редакция Deckhouse Stronghold поможет построить защищённую инфраструктуру.

Чем Deckhouse Stronghold отличается от других решений

Deckhouse Stronghold разработан на базе HashiCorp Vault Community Edition 1.14.8 — последней версии под свободной лицензией MPL. Команда Deckhouse взяла этот форк и больше двух лет развивает продукт самостоятельно — не копирует возможности Vault, а переосмысливает подход к управлению секретами под требования российского рынка.

В итоге у Deckhouse Stronghold есть возможности, которых нет у других наиболее распространённых российских форков Vault. Среди них — управляемые ключи и интеграция с внешними KMS и HSM, беспарольная аутентификация через WebAuthn, интеграция с корпоративным SSO по SAML 2.0 и возможность подключать собственные Vault-совместимые плагины в контейнерах.

Про различия Deckhouse Stronghold с HashiCorp Vault Community Edition читайте в отдельной статье

Как проверить, соответствует ли ваша система управления секретами требованиям ФСТЭК России

На практике не всегда можно быстро оценить, соответствует ли система управления секретами требованиям регулятора. Мы собрали чек-лист, который поможет проверить программное обеспечение. Он охватывает ключевые аспекты:

  • идентификацию и аутентификацию;
  • модель разграничения доступа;
  • аудит событий безопасности;
  • механизмы ротации секретов;
  • требования к безопасной разработке;
  • наличие сертификации.
Где система не дотягивает до требований ФСТЭК России?Чек-лист поможет понять, что нужно доработать для соответствия текущему законодательству.
Открыть чек-лист

Мы используем файлы cookie, чтобы сделать работу с сайтом удобнее.
Подробнее — в политике обработки персональных данных и политике использования файлов cookie.

Помогите нам сделать сайт удобнее — поделитесь своим мнением в нашем исследовании.
Мы будем очень признательны и предложим полезные бонусы!