27 февраля, онлайн | Enterprise CI/CD без компромиссов: подход Deckhouse Code. Регистрация

Deckhouse Stronghold

Решение для безопасного управления жизненным циклом секретов

Запись в реестре российского ПО

№22339 от 24.04.2024

Ваши данные под надёжной защитой

Stronghold позволяет эффективно и безопасно управлять различными секретами организации

Пароли

Ключи API

Сертификаты

SSH-ключи

Токены

Ключевые преимущества

Мультитенантность

Механизм namespaces, совместимый с возможностями HashiCorp Vault Enterprise, позволяет создавать дочерние пространства имён и делегировать права на управление ими

Репликация данных

Межкластерная репликация данных позволяет выполнять асинхронное копирование секретов из основного кластера в дочерние, обеспечивая отказоустойчивость, масштабируемость и географическую доступность хранилища секретов

Безопасный запуск хранилища

В Stronghold реализована функция безопасного автоматического распечатывания хранилища (auto unseal), не требующая использования внешних сервисов и KMS для хранения unseal-ключа

Автоматические бэкапы

Резервные копии данных выполняются по заданному расписанию через API в виде снапшотов без необходимости генерировать отдельные скрипты и использовать внешние сервисы-планировщики

Двойное шифрование данных

Поддержка внешних HSM позволяет выполнять двойное шифрование данных, применяя различные комбинации алгоритмов шифрования (AES + ГОСТ, AES + RSA, AES + AES)

Доставка секретов в приложения

Модуль secrets-store-integration осуществляет безопасную автоматизированную доставку секретов в приложения, работающие в том числе и в закрытых контурах

Deckhouse Stronghold vs Российские
аналоги HashiCorp Vault

ВозможностиStronghold EE & CSEStronghold CEРоссийские аналоги HashiCorp Vault*
Безопасное управление жизненным циклом секретов (хранение, создание, доставка, отзыв и ротация)
Поддержка российских ОС
Наличие веб-интерфейса
Механизм автоматического обновления версий
Встроенная балансировка нагрузки для повышения отказоустойчивости
Безопасная доставка секретов в приложения
Поддержка аудит-логирования
Поддержка namespaces
Возможность интеграции с внешними HSM
Управление AppRole, OIDC/JWT Role через веб-интерфейс
Встроенное автоматическое распечатывание хранилища (auto unseal) без использования внешних сервисов и внешних KMS
Выборочная репликация данных (с возможностью взаимодействия с реплицированными данными при временной или полной неработоспособности основного хранилища)
Автоматическое резервное копирование данных
Сертификат соответствия ТУ и требованиям Приказа ФСТЭК России №76 по 4 уровню доверия
Поддержка шифрования на базе
ГОСТ Р 34.12-2018/ГОСТ Р 34.13-2018

Как это работает

Клиент (приложение, сервис, пользователь) аутентифицируется в Stronghold и запрашивает доступ к необходимому секрету

Stronghold анализирует запрос, а затем подтверждает либо отклоняет его

Если доступ есть, операция по чтению секрета разрешается. Если доступа нет — операция отклоняется

Используя полученный секрет, приложение получает доступ к внешним ресурсам

Выбирая Stronghold, вы получаете

Безопасность

Надёжная защита конфиденциальных данных, которые используются в вашей инфраструктуре

Компетенции

Техническая поддержка и экспертиза лидера российского рынка DevOps и Kubernetes

Сертифицированное решение

Stronghold проходит процедуру получения сертификата ФСТЭК России

Для кого

Контроль и соответствие требованиям

  • Выполнение требований российского законодательства и отраслевых стандартов (149-ФЗ, 152-ФЗ, 187-ФЗ и ГОСТ 56939-2024)
  • Централизованный контроль над всеми секретами инфраструктуры
  • Снижение регуляторных и операционных рисков благодаря расширенным возможностям управления секретами

Переход на российское ПО

  • Решение находится в реестре отечественного ПО и полностью соответствует требованиям Минцифры
  • Полная совместимость API с HashiCorp Vault упрощает и ускоряет миграцию
  • Надёжная техническая поддержка, широкие функциональные возможности и системное развитие решения

Единый контур защиты секретов

  • Централизованное хранилище секретов вместо разрозненных конфигураций и ручного управления
  • Гибкое управление доступом и ролями без участия администраторов Kubernetes
  • Полный аудит фактического использования секретов
  • Безопасная доставка секретов в приложения без раскрытия через API Kubernetes
  • Повышение общего уровня защищённости без лишней нагрузки на команды разработки

Автоматизация и безопасность CI/CD

  • Безопасная работа с секретами в пайплайнах CI/CD
  • Автоматическое обновление секретов при запуске приложений
  • Упрощение миграции между CI/CD-системами и окружениями
  • Интеграция с корпоративными и облачными системами аутентификации

Надёжная работа с секретами без усложнения кода

  • Динамические секреты для доступа к базам данных и сервисам
  • Централизованное управление сертификатами и ключами
  • Шифрование и подпись данных как сервис без передачи ключей в приложения
  • Минимизация ручных операций и снижение риска ошибок в эксплуатации
  • Интеграция с корпоративными и облачными системами аутентификации

Видео

Часто задаваемые вопросы

Какие функциональные преимущества даёт Deckhouse Stronghold в сравнении с HashiCorp Vault?

Deckhouse Stronghold предлагает все ключевые функции уровня Vault Enterprise, включая namespaces, автоматическое резервное копирование и межкластерную репликацию данных, что выгодно отличает его от большинства отечественных аналогов и ограниченной community-версии Vault. Также доступна бесплатная редакция с функциональностью, сопоставимой с Vault Community Edition

Подробнее о доступных редакциях продукта в разделе «Возможности»

Какие функциональные преимущества даёт Deckhouse Stronghold в сравнении с OpenBao?

OpenBao остаётся community-проектом с ограниченным числом разработчиков и без полноценного enterprise-функционала, roadmap, поддержки и SLA. Это делает его развитие и поддержку менее предсказуемыми, особенно для крупных организаций с высокими требованиями к безопасности и стабильности.

В отличие от него, Deckhouse Stronghold создаётся как надёжное enterprise-решение, ориентированное на production-среды. Он обеспечивает высокий уровень безопасности, отказоустойчивость, соответствие требованиям регуляторов и доступ к профессиональной поддержке с понятной дорожной картой развития

Как мигрировать с HashiCorp Vault или OpenBao на Deckhouse Stronghold?

Миграция на Deckhouse Stronghold возможна без выгрузки секретов наружу — за счёт встроенного механизма репликации данных. Поскольку Deckhouse Stronghold совместим с API HashiCorp Vault, он может подключаться к существующему Vault- или OpenBao-кластеру и получать данные напрямую на уровне хранилища.

Такой подход безопаснее использования отдельных утилит миграции, при которых секреты временно извлекаются из хранилища, передаются во внешние инструменты и могут быть скомпрометированы. Репликация позволяет выполнить миграцию прозрачно, контролируемо и без остановки сервисов, сохранив политики доступа и структуру секретов

Как лицензируется Deckhouse Stronghold?

Deckhouse Stronghold лицензируется по совокупности двух метрик:

  • Количество инсталляций Deckhouse Stronghold, развёрнутых в инфраструктуре конечного пользователя
  • Количество клиентов, использующих Deckhouse Stronghold для аутентификации

Подробнее о политике лицензирования лицензирования в разделе «Лицензирование»

Могу ли я получить пробную версию продукта для предварительного ознакомления?

Да, вы можете запросить доступ к 30-дневной пробной версии продукта, оставив заявку по ссылке

Мы используем файлы cookie, чтобы сделать работу с сайтом удобнее.
Подробнее — в политике обработки персональных данных и политике использования файлов «cookie».

Помогите нам сделать сайт удобнее — поделитесь своим мнением в нашем исследовании.
Мы будем очень признательны и предложим полезные бонусы!