Комплекс процессов и технологий для надёжного управления секретами и защиты критичных данных платформы
Управление секретами в Deckhouse Kubernetes Platform
Как Deckhouse Kubernetes Platform обеспечивает безопасность секретов
Единое хранилище секретов
В Deckhouse Kubernetes Platform (DKP) предусмотрен модуль для централизованного хранения секретов. Это упрощает хранение и работу с конфиденциальными данными и снижает риск утечек, связанных с человеческим фактором и ошибками конфигурации
Безопасная доставка секретов
Модуль secrets-store-integration доставляет секреты в виде файлов или переменных окружения. Они недоступны через API Kubernetes и скрыты от посторонних процессов, что повышает уровень их изоляции по сравнению со стандартными Kubernetes Secrets
Управление доступом
Секреты доступны через сервисную учётную запись приложения, что позволяет настраивать политики доступа и контролировать использование секретов. Все обращения фиксируются в аудит-логах и доступны для анализа
Разделение ответственности
Управление секретами можно вынести за пределы администрирования Kubernetes-кластера, чтобы разделить доступ между администраторами и специалистами по информационной безопасности
Шифрование данных
Секреты шифруются криптостойким алгоритмом AES-256 и остаются защищёнными даже при компрометации инфраструктуры или физического доступа к серверам
Поддержка бинарных секретов
В DKP можно безопасно доставлять в контейнеры бинарные файлы (keytab, GPG-ключи, лицензии ПО и т. д.), которые не передаются корректно стандартными механизмами Kubernetes
Для кого
CISO и руководители ИБ
Специалисты ИБ
DevOps-команды
Команды разработки и эксплуатации
Контроль и соответствие требованиям
- Выполнение требований российского законодательства и отраслевых стандартов (149-ФЗ, 152-ФЗ, 187-ФЗ и ГОСТ 56939-2024)
- Централизованный контроль над всеми секретами инфраструктуры
- Снижение регуляторных и операционных рисков благодаря расширенным возможностям управления секретами
Единый контур защиты секретов
- Централизованное хранилище секретов вместо разрозненных конфигураций и ручного управления
- Гибкое управление доступом и ролями без участия администраторов Kubernetes
- Полный аудит фактического использования секретов
- Безопасная доставка секретов в приложения без раскрытия через API Kubernetes
- Повышение общего уровня защищённости без лишней нагрузки на команды разработки
Автоматизация и безопасность CI/CD
- Безопасная работа с секретами в пайплайнах CI/CD
- Автоматическое обновление секретов при запуске приложений
- Упрощение миграции между CI/CD-системами и окружениями
- Интеграция с корпоративными и облачными системами аутентификации
Надёжная работа с секретами без усложнения кода
- Динамические секреты для доступа к базам данных и сервисам
- Централизованное управление сертификатами и ключами
- Шифрование и подпись данных как сервис без передачи ключей в приложения
- Минимизация ручных операций и снижение риска ошибок в эксплуатации
- Интеграция с корпоративными и облачными системами аутентификации
Компоненты и возможности управления секретами в DKP
Stronghold Community Edition
Функциональный модуль управления секретами в составе DKP, в котором реализованы базовые возможности управления жизненным циклом секретов
Secrets-store-integration
Функциональный модуль, который безопасно и автоматизированное доставляет секреты в виде файлов или переменных окружения в приложения, запущенные в кластере Kubernetes
Stronghold Enterprise Edition
Решение для безопасного управления жизненным циклом секретов с функциональными возможностями уровня HashiCorp Vault Enterprise
Приобретается отдельно
| Коммерческие редакции | |||||||
|---|---|---|---|---|---|---|---|
| Community Edition | Basic Edition | Standard Edition | Standard Edition+ | Enterprise Edition | Certified Security Edition Lite | Certified Security Edition Pro | |
| Управление секретами | |||||||
| Безопасное управление жизненным циклом секретов (хранение, создание, доставка, отзыв и ротация) | |||||||
| Хранение статических секретов приложений | |||||||
| Возможность использования динамических секретов для подключения приложений к базам данных | |||||||
| Поддержка аудит-логирования | |||||||
| Создание собственного центра сертификации и интеграции с cert-manager | |||||||
| Управление ролями и политиками доступа | |||||||
| Точечное управление доступом к секретам для приложений в Kubernetes на основании их сервис-аккаунта или неймспейсов | |||||||
| Настройка различных политик доступа для пользователей и приложений к одним и тем же секретам | |||||||
| Управление ролями и политиками доступа AppRole, OIDC/JWT Role через веб-интерфейс | |||||||
| Масштабирование и отказоустойчивость | |||||||
| Межкластерная репликация данных | |||||||
| Поддержка фильтров репликации при передаче секретов между узлами отказоустойчивой архитектуры (Replication Filters) | |||||||
| Поддержка пространств имён (namespaces) | |||||||
| Встроенное автоматическое распечатывание хранилища (auto unseal) без использования внешних сервисов и внешних KMS | |||||||
| Автоматическое создание резервных копий по заданному расписанию | |||||||
| Доставка секретов | |||||||
| Безопасная доставка секретов в приложения в виде переменных окружения с помощью mutating webhook | |||||||
| Безопасная доставка секретов в приложения в виде файлов с помощью CSI-провайдера | |||||||
| Шифрование данных | |||||||
| Шифрование данных с применением алгоритма AES-256 | |||||||
| Шифрование данных с применением российских криптографических алгоритмов (ГОСТ Р 34.12-2018) | |||||||
| Двойное шифрование серкетов через механизм seal wrap с помощью внешнего HSM | |||||||
| Шифрование root-ключа с помощью внешнего HSM | |||||||
| Сетевая безопасность | |||||||
| Поддержка TLS при сетевом взаимодействии | |||||||
| Обязательная валидация certificate authority (CA) при межсервисном взаимодействии | |||||||