Kubernetes Platform
Создание идентичных Kubernetes-кластеров и управление ими
Virtualization Platform
Управление виртуальными машинами
Observability Platform
Мониторинг и журналирование инфраструктуры и приложений
Stronghold
Безопасное управление жизненным циклом секретов
Delivery Kit
Сборка и доставка контейнеризованного ПО
Commander
Центр управления парком кластеров
Prom++
Open Source-система мониторинга
Code
Непрерывная разработка и управление жизненным циклом ПО
Stronghold
Kubernetes Platform
Создание идентичных Kubernetes-кластеров и управление ими
Virtualization Platform
Управление виртуальными машинами
Observability Platform
Мониторинг и журналирование инфраструктуры и приложений
Stronghold
Безопасное управление жизненным циклом секретов
Delivery Kit
Сборка и доставка контейнеризованного ПО
Commander
Центр управления парком кластеров
Prom++
Open Source-система мониторинга
Code
Непрерывная разработка и управление жизненным циклом ПО
Решение для безопасного управления жизненным циклом секретов
Запись в реестре российского ПО
Stronghold позволяет эффективно и безопасно управлять различными секретами организации
Пароли
Ключи API
Сертификаты
SSH-ключи
Токены
Механизм namespaces, совместимый с возможностями HashiCorp Vault Enterprise, позволяет создавать дочерние пространства имён и делегировать права на управление ими
Единое хранилище секретов имеет возможность автоматического распечатывания, в том числе в закрытых контурах
Репликация KV1/KV2 на архитектуре master-slave с применением pull-модели повышает уровень устойчивости и доступности данных
Легко создаваемые и настраиваемые роли доступа позволяют эффективно управлять жизненным циклом секретов
Модуль secrets-store-integration осуществляет безопасную автоматизированную доставку секретов в приложения
Резервные копии данных выполняются по заданному расписанию через API в виде снапшотов и сохраняются как файлы и в S3
В ядре хранилища содержится только один бинарный файл, что минимизирует количество векторов возможных атак
Данные не могут быть несанкционированно прочитаны даже в случае физического хищения серверов
Стандартизированный API, совместимый с HashiCorp Vault, упрощает миграцию на российское ПО и разработку новых приложений
| Возможности | Stronghold EE & CSE | Stronghold CE | Российские аналоги HashiCorp Vault* |
|---|---|---|---|
| Безопасное управление жизненным циклом секретов (хранение, создание, доставка, отзыв и ротация) | |||
| Поддержка российских ОС | |||
| Наличие веб-интерфейса | |||
| Поддержка аудит-логирования | |||
| Механизм автоматического обновления версий | |||
| Встроенная балансировка нагрузки для повышения отказоустойчивости | |||
| Безопасная доставка секретов в приложения | |||
| Поддержка namespaces | |||
| Возможность интеграции с внешними HSM | |||
| Управление AppRole, OIDC/JWT Role через веб-интерфейс | |||
| Встроенное автоматическое распечатывание хранилища без использования внешних KMS | |||
| Выборочная репликация данных (с возможностью взаимодействия с реплицированными данными при временной или полной неработоспособности основного хранилища) | |||
| Автоматическое резервное копирование данных | |||
| Сертификат соответствия ТУ и требованиям Приказа ФСТЭК России №76 по 4 уровню доверия | |||
| Поддержка шифрования на базе ГОСТ Р 34.12-2018/ГОСТ Р 34.13-2018 |
*При проведении сравнительного анализа были исследованы несколько наиболее распространённых российских программных продуктов, имеющих сходство функциональных характеристик с HashiCorp Vault Community Edition
Клиент (приложение, сервис, пользователь) аутентифицируется в Stronghold и запрашивает доступ к необходимому секрету
Stronghold анализирует запрос, а затем подтверждает либо отклоняет его
Если доступ есть, операция по чтению секрета разрешается. Если доступа нет — операция отклоняется
Используя полученный секрет, приложение получает доступ к внешним ресурсам
Надёжная защита конфиденциальных данных, которые используются в вашей инфраструктуре
Техническая поддержка и экспертиза лидера российского рынка DevOps и Kubernetes
Stronghold проходит процедуру получения сертификата ФСТЭК России
Доступ к секретам в зашифрованном хранилище через API. Безопасная доставка секретов в качестве переменных окружения или файлов в приложения с помощью специального модуля
Интеграция с существующими системами аутентификации, такими как LDAP, Active Directory, Blitz, Keycloak и Kubernetes. Настройка политик доступа, чтобы контролировать, кто и к каким секретам может получить доступ
Управление секретами и учётными данными для Jenkins, GitLab CI, CircleCI и других CI/CD-инструментов. Автоматическое обновление секретов и учётных данных в процессе развёртывания приложений
Приложения получают доступ к секретам через API, нет необходимости хранить их в коде или конфигурационных файлах. Для взаимодействия с внешними сервисами, такими как AWS, Azure и GCP, используется автоматическая ротация ключей API
Создание временных учётных данных для доступа разработчиков и приложений к базам данных PostgreSQL, MySQL и MongoDB
Автоматическая выдача и управление SSL/TLS-сертификатами для внутреннего и внешнего использования. Хранение и управление ключами SSH для безопасного доступа к серверам
Команда Deckhouse и МУЛЬТИФАКТОР успешно провели испытания совместимости своих продуктов.
Deckhouse Stronghold Community Edition предлагает базовые возможности управления секретами и является полноценным аналогом HashiCorp Vault Community Edition
После ухода HashiCorp с российского рынка Deckhouse Stronghold остаётся единственным отечественным решением, полностью покрывающим enterprise-функционал Vault.
Презентация о Deckhouse Stronghold