В инфраструктурах с высокой степенью автоматизации управление секретами становится отдельной задачей, включающей хранение, ротацию и разграничение доступа. Отсутствие централизованного подхода приводит к фрагментации и снижению уровня ИБ. Какие системы закрывают эти задачи, рассмотрим в статье.
- 1. Введение
- 2. Об управлении жизненным циклом секретов
- 3. Мировой рынок систем управления жизненным циклом секретов
- 4. Российский рынок систем управления жизненным циклом секретов
- 5. Выводы
Введение
В публичном пространстве регулярно фиксируются инциденты с утечками данных, однако их восприятие часто ограничивается краткосрочной новостной повесткой. После первичного раскрытия информация быстро теряет видимую актуальность, создавая ложное ощущение снижения рисков. Однако утёкшие данные продолжают использоваться длительное время, переходя между различными участниками теневого рынка. Это касается и секретов: в отличие от других типов данных, они сохраняют ценность до тех пор, пока остаются действующими и не выведены из эксплуатации.
Ситуацию осложняет характер использования секретов в ИТ-инфраструктуре. Они активно задействуются в автоматизированных процессах и распределённых системах, накапливаются и рассредотачиваются по различным компонентам без единой точки контроля. Организации часто «теряют» точное представление о месте их хранения и состоянии использования.
А ведь важность защиты секретов определяется их ролью в инфраструктуре. Через них осуществляется доступ к критичным ресурсам и сервисам. Компрометация даже одного секрета может привести к цепной реакции: от несанкционированных действий внутри системы до полной компрометации отдельных сервисов или бизнес-процессов.
Рисунок 1. Риски, связанные с неправильным хранением секретов, по мнению зрителей AM Live
В таких условиях важно не только защищать секреты, но и выстраивать процесс их учёта, контроля и своевременного вывода из обращения.
Об управлении жизненным циклом секретов
Секреты — это конфиденциальные данные, используемые для аутентификации и обеспечения взаимодействия между пользователями, приложениями и сервисами в ИТ-инфраструктуре. В зависимости от назначения и способа применения они могут иметь различную природу, что влияет на подходы к их хранению и управлению.
К секретам относятся:
- Пароли. Используются для аутентификации пользователя и подтверждения его личности при доступе к системе.
- Токены API. Применяются для авторизации запросов между сервисами и представляют собой ограниченные по правам и времени действия учётные данные.
- Ключи. Представляют собой криптографические значения, используемые в алгоритмах шифрования и электронной подписи. Они обеспечивают защиту данных, а также подтверждение подлинности и целостности.
- Ключи SSH. Используются для аутентификации при удалённом подключении и организации защищённого канала связи.
- Сертификаты. Это структурированные данные, содержащие открытый ключ и сведения о владельце, подписанные удостоверяющим центром. Они применяются для установления доверия между сторонами и привязки открытого ключа к конкретному субъекту.
Секреты можно разделить на 2 основных типа: пользовательские и инфраструктурные. Пользовательские секреты, такие как логин и пароль, предназначены для аутентификации пользователей в системах. Инфраструктурные секреты представляют собой технологические учётные записи сервисного характера и могут быть неизвестны самим пользователям. Они обеспечивают корректную работу приложений, сервисов и крупных ИТ-комплексов. В современных системах их количество значительно превышает пользовательские.
Передача секретов в приложения реализуется по архитектурным моделям: извлечение (pull) и доставка (push). В первом случае приложение самостоятельно обращается к системе управления секретами и запрашивает данные в момент выполнения. Для этого используется API и механизм аутентификации. Контроль доступа и регистрация действий сосредоточены на стороне системы управления секретами. Секреты не хранятся заранее и получаются непосредственно перед использованием. В модели доставки они передаются в приложение без явного запроса с его стороны. Приложение получает уже подготовленные данные и не взаимодействует напрямую с системой.
Модели извлечения и доставки определяют способ передачи секретов, тогда как динамические секреты задают их жизненный цикл. Они формируются по запросу и имеют ограниченное время действия (TTL). По истечении этого времени секрет становится недействительным.
Под управлением жизненным циклом секретов понимается совокупность процессов и технических механизмов, обеспечивающих контроль секрета на всех этапах его существования. В этот цикл входят генерация секрета, его безопасное хранение, распределение и предоставление доступа, регулярная ротация, отзыв, удаление. Ключевая задача управления — исключить неконтролируемое распространение секретов и минимизировать время их актуальности. Это снижает окно возможной компрометации и ограничивает последствия инцидентов.
Управление также включает аудит использования секретов и контроль прав доступа, что позволяет выявлять аномалии и предотвращать несанкционированные действия.
Чтобы минимизировать риски, секреты необходимо хранить безопасно. Организации используют различные способы: в отдельном хранилище, на личном компьютере, в системах деплоя, управления конфигурациями и др. Наиболее безопасным подходом считается использование системы, обеспечивающей централизованное управление жизненным циклом секретов. Она защищает данные от утечек, обеспечивает контролируемую доставку в приложения и реализует политики их использования.
Результаты опроса наших зрителей показали, что многие сегодня используют как отечественные продукты, так и зарубежные. Рассмотрим актуальные предложения на российском и мировом рынках.
Рисунок 2. Результаты опроса эфира AM Live по использованию систем управления секретами
Мировой рынок систем управления жизненным циклом секретов
Системы управления жизненным циклом секретов рассматриваются как часть рынка управления ключами и секретными данными. По данным Frost & Sullivan, выручка такого рынка в 2024 году составила 1 336,8 млн долларов США, к 2029 году ожидается её рост до 4 867,4 млн долларов США при среднегодовом темпе роста 30,8 %.
Рисунок 3. Мировой рынок управления ключами и секретными данными
На развитие рынка влияют следующие тенденции в области кибербезопасности:
- внедрение концепции Zero Trust, которая требует постоянной проверки и контролируемого доступа к учётным данным;
- рост требований к безопасности цепочки поставок программного обеспечения;
- интеграция механизмов управления секретами и криптографическими ключами в процессы разработки и облачные платформы;
- распространение недолговечных сертификатов и динамических сред выполнения.
Frost & Sullivan выделила несколько ведущих поставщиков систем управления секретами при анализе мирового рынка. HashiCorp Vault широко применяется для автоматизации работы с секретными данными, управления динамическими учётными данными и интеграции с Kubernetes. Решение CyberArk Conjur & Secrets Manager ориентировано на корпоративное управление и контроль привилегированных учётных данных. 1Password Secrets Automation предлагает удобный для разработчиков подход к работе с API-токенами и интеграционными ключами.
При анализе отчётов других компаний мы заметили, что наряду с перечисленными выше решениями часто упоминаются и другие инструменты. Infisical как платформа с открытым исходным кодом и Doppler, распространяемый по проприетарной модели, ориентированы на разработчиков и также обеспечивают удобный пользовательский интерфейс. Функционально они поддерживают централизованное управление секретами, настройку разграничения прав доступа, аудит обращений к данным, а также интеграцию в процессы разработки и конвейеры CI/CD.
В тех же материалах называются решения облачных провайдеров: AWS Secrets Manager для инфраструктуры Amazon Web Services, Azure Key Vault в экосистеме Microsoft и Google Secret Manager для Google Cloud Platform.
Российский рынок систем управления жизненным циклом секретов
Рынок систем управления секретами в России претерпел существенные изменения после того, как использование версий Vault после 1.14.8 в продуктах с коммерческой выгодой стало невозможным. Ситуация потребовала пересмотра архитектурных решений. Тогда отечественных аналогов HashiCorp Vault на рынке не существовало, и только в 2024 году появился первый российский продукт с аналогичной функциональностью.
Далее на рынке начали появляться новые решения, берущие за основу функциональность HashiCorp Vault и развивающие её с учётом особенностей российского рынка и требований заказчиков. Некоторые из них эволюционировали из менеджеров паролей, другие — создавались как полноценные платформы для централизованного управления ключами, токенами и сертификатами.
К 2026 году системы управления секретами сформировались в зрелый класс решений, интегрированных в инфраструктуру организаций, о чём мы говорили во время эфира AM Live.
Deckhouse Stronghold
Продукт помогает решить проблемы хаотичного хранения секретов, обеспечивая безопасное управление на всех этапах жизненного цикла: от их создания до удаления или ротации. Во всех версиях Deckhouse Stronghold, включая бесплатную, доступны базовые функции Vault Community Edition (CE). В отдельных редакциях реализованы улучшенные возможности уровня HashiCorp Vault Enterprise.
Клиент (приложение, сервис, пользователь) через Stronghold или внешнюю систему подтверждает, что обращается именно он. Система анализирует запрос: можно ли предоставить доступ к запрошенному секрету. Если доступ есть, операция по чтению или записи секрета разрешается, если нет — отклоняется. Все сетевые соединения проходят через протокол TLS с проверкой сертификатов удостоверяющего центра (Certificate Authority).
После установки Deckhouse Stronghold создаётся единственная административная учётная запись с полными правами управления. Администратор самостоятельно формирует набор ролей и политик в соответствии с требованиями эксплуатации, ограничивая доступ пользователей только необходимыми операциями. Функция пространства имён позволяет создавать дочерние рабочие пространства, выдавать права на управление ими, поддерживать вложенность и создавать иерархии.
Управление Deckhouse Stronghold осуществляется через API, Stronghold CLI и веб-интерфейс.
Рисунок 4. Интерфейс Deckhouse Stronghold
Особенности:
- Встроенное безопасное автоматическое распечатывание хранилища.
- Поддержка методов аутентификации OIDC, SAML, Userpass, Webauthn (FIDO2/Passwordless), LDAP для людей и Kubernetes, JWT, Approle для сервисов.
- Автоматические бэкапы по расписанию.
- Межкластерная репликация данных.
- Поддержка аппаратных модулей безопасности (HSM) для шифрования данных и подписи сертификатов.
- Поддержка отечественных алгоритмов ГОСТ 34.10, ГОСТ 34.12 в механизмах секретов PKI и Transit.
Решение включено в реестр отечественного ПО (№ 22339 от 24.04.2024), имеет сертификат ФСТЭК России (№ 5038 от 10.02.2026).
Обзор версии 1.16 здесь, больше информации о Deckhouse Stronghold — на сайте вендора.
HASPBOX
HASPBOX объединяет в себе решения двух классов: «Хранение пользовательских секретов» (менеджер паролей) и «Инфраструктурный менеджер секретов» (хранилище ИТ-секретов). Обеспечивает полный цикл управления секретами, включая хранение, выдачу, ротацию, контроль доступа и аудит, в масштабируемой корпоративной системе. Данные защищаются с помощью математических преобразований, а инфраструктура решения — с использованием механизма разделения ключей.
Реализовано логирование всех действий, детализированный контроль доступа, формирование отчётности и интеграция с SIEM. Настройка ролей и прав доступа возможна под любые задачи и конфигурации на основе ролевых моделей пользователей: от команды до корпорации.
Для пользователей предусмотрено защищённое хранилище корпоративных паролей с разграничением доступа, аудитом и поддержкой командной работы, а также автоматическая генерация и проверка паролей. Для ИТ- и DevOps-специалистов решение обеспечивает централизованное хранение и управление ИТ-секретами с автоматизированной выдачей, ротацией и контролем доступа в рамках ИТ-инфраструктуры компании. Также реализовано отдельное хранилище «Ключ-значение» для задач по автоматизации и хранения статичных секретов.
HASPBOX подключается к ИТ-сервисам, внутренним системам, облачным или локальным ресурсам, а также интегрируется с системами CI/CD, обеспечивая централизованное управление секретами в едином интерфейсе управления. Решение работает на операционных системам и базах данных российского производства.
Рисунок 5. Интерфейс HASPBOX
Особенности:
- Предоставление единого отказоустойчивого хранилища секретов для всех задач: от парольного кошелька до управления секретами в ИТ-инфраструктуре.
- Поддержка нескольких настраиваемых парольных политик под разные контуры и системы.
- Непрерывная проверка соответствия секретов с автоматическим реагированием при смене или компрометации.
- Защита паролей средствами дополнительных механизмов кодирования, а также за счёт интеграции с внешними системами.
- Выдача секретов строго в рамках разрешений конкретного пользователя и приложения по API или SDK.
- Наличие браузерного расширения, десктопного приложения с локальных хранилищем и CLI-агента.
Решение включено в реестр отечественного ПО (№ 28719 от 09.07.2025).
Больше информации о HASPBOX— на сайте вендора.
StarVault
Система предназначена для централизованного безопасного управления секретами в разных типах инфраструктур (локальных, облачных, гибридных) и управления доступом к ним. Поддерживает ключевые функции HashiCorp Vault, соответствует требованиям пункта 5.15 ГОСТ 56939-2024 по обеспечению безопасной разработки.
Секреты в StarVault помещаются в центральное защищённое хранилище, не зависящее от сторонних систем. Доступ к каждому секрету регулируется строгой политикой по принципу Zero Trust. Система позволяет автоматизировать процессы генерации, ротации, удаления различных секретов: паролей, API-ключей, SSL/TLS-сертификатов, SSH-ключей и других.
StarVault обладает широкой функциональностью по защищённой аутентификации: возможна двухфакторная аутентификация, организация SSO в сервисы по протоколу OIDC, интеграции с различными каталогами по протоколу LDAP. Методы аутентификации можно настраивать через командную строку (CLI), API или графический интерфейс (UI).
StarVault может логировать все действия: входы, запросы секретов и изменения политик, включая информацию «кто, что, когда и откуда». Реализована возможность передачи логов в SIEM-систему через протокол syslog для последующего анализа и оповещений. Взаимодействие с системой поддерживается через графический пользовательский интерфейс, CLI и API.
Решение поддерживает Vault API и все популярные бэкенды. Возможна инсталляция StarVault как внутри Kubernetes, так и на отдельных ВМ. Поддерживается конфигурации высокой доступности. При недоступности основного узла выполняется автоматическое переключение на резервный без вмешательства администратора.
Рисунок 6. Интерфейс StarVault 1.4
Особенности:
- Поддержка namespaces, возможности создавать изолированные среды для разных команд, проектов или приложений в рамках одного кластера.
- Поддержка принудительной смены паролей по политикам безопасности.
- Возможность автоматического создания бэкапов по расписанию.
- Динамическая генерация секретов для CI/CD с автоматическим отзывом после завершения пайплайна.
- Возможность блокировки пользователя после неудачных попыток аутентификации.
- Упрощённая миграция с HashiCorp Vault .
Решение включено в реестр отечественного ПО (№ 22639 от 24.05.2024). В 2026 году разработчик планирует выпустить сертифицированную ФСТЭК версию решения StarVault Special Edition.
Обзор версии 1.2 здесь, на данный момент рынку доступна версия решения 1.4. Больше информации о StarVault — на сайте вендора.
АС «Управление секретами»
Автоматизированная система предназначена для централизованного и безопасного управления жизненным циклом различных типов секретов, используемых для аутентификации и авторизации в ИТ-инфраструктуре, с ограничением доступа к ним. Она обеспечивает возможность автоматической ротации учётных данных Active Directory (AD), FreeIPA, баз данных (Pangolin, Cassandra, MongoDB и других), а также сертификатов открытого ключа и ключей RSA. Данные хранятся в зашифрованном виде.
Поддерживается управление типизированными секретами с автоматической ротацией и возможностью принудительного перевыпуска. Контроль доступа к секретам реализован с применением методов аутентификации, списков контроля доступа (ACL) и соответствующих политик. Аудит доступа ведётся с регистрацией событий и возможностью их передачи в подсистему контроля безопасности (ПКБ).
Взаимодействие с системой осуществляется через графический интерфейс и API.
Рисунок 7. Общая схема функциональных блоков АС «Управление секретами»
Особенности:
- Обеспечение возможности интеграции с центрами сертификации и средствами удостоверяющих центров, субъектами (для передачи им секретов) и механизмами аутентификации (для ротации секретов).
- Гибкая система разграничения доступа на основе ролевой модели.
- Обеспечение отзыва (удаления) секретов без возможности их восстановления.
- Обеспечение безопасной доставки секретов на ресурсы АС, использующие секреты, без необходимости прерывания сервиса.
Система внесена в реестр отечественного ПО (№ 30390 от 22.10.2025).
Больше информации об АС «Управление секретами» — на сайте вендора.
Пассворк
Пассворк длительное время используется как корпоративный менеджер паролей, однако с выходом 7 версии его функциональность вышла за пределы классического хранения учётных данных. За счёт открытого API и других возможностей продукт эволюционировал в систему управления секретами. Всё, что можно выполнить через веб-интерфейс, доступно программно: создание, получение и обновление секретов, управление хранилищами, настройка пользователей и групп, работа с вложениями и просмотр журналов событий.
Решение предоставляет программный доступ для разработчиков и администраторов через REST API, Python-коннектор, CLI и Docker-контейнер, позволяющие автоматизировать работу с секретами в скриптах, сервисах и DevOps-процессах. Предусмотрено управление уровнями доступа: можно создать любое количество ролей и детально настроить права для каждого сотрудника.
Рисунок 8. Интерфейс Пассворка
Особенности:
- Сервисные аккаунты с возможностью создания нескольких API-токенов, которые не привязаны к конкретному сотруднику.
- Создание собственных типов сейфа с автоматическим назначением администраторов для обеспечения нужного уровня контроля и соответствия требованиям безопасности.
- Настройка репликации данных и отказоустойчивого решения для обеспечения непрерывной работы системы даже при сбоях оборудования или сети.
- Поддержка биометрии, ключей доступа (passkey) и ключей безопасности на основе стандарта WebAuthn.
- Поддержка интеграции с Active Directory, LDAP и корпоративными системами единого входа через протокол SAML SSO.
- Подключение к SIEM-системам для централизованного мониторинга событий безопасности.
Решение включено в реестр отечественного ПО (№ 6147 от 13.01.2020).
Обзор версии 7 здесь, больше информации о Пассворке — на сайте вендора.
ЦУП 2.0
Продукт обеспечивает безопасное хранение и распространение секретов, контроль использования доступов в сложных ИТ-инфраструктурах. Функционирует в высоконагруженном режиме. Интегрируется со всеми технологиями ИТ-ландшафта компании, включая популярные системы непрерывной интеграции и доставки и различные языки программирования. Обеспечивает взаимодействие всех типов приложений, от классических до микросервисных, в контейнерах и оркестраторах.
Использование учётных данных журналируется. Система способна передавать подробные метрики операционной телеметрии в систему сбора показателей для мониторинга производительности, оповещения о превышении допустимых нагрузок и регистрации запросов.
Настраиваемая ролевая модель позволяет самостоятельно формировать роли и политики для точного распределения полномочий.
Рисунок 9. Функциональная архитектура ЦУП 2.0
Особенности:
- Хранение конфиденциальной информации в зашифрованном виде.
- Быстрое распечатывание хранилища (fast unseal), оперативный переезд в случае выхода из строя кластера.
- Выпуск сертификатов с использованием движка PKI.
- Модернизация продукта с учётом специфики организации.
- Поддержка мультитенантности, построения отдельных изолированных зон.
- Вертикальное и горизонтальное масштабирование.
Решение включено в реестр отечественного ПО (№ 5757 от 20.09.2019).
Больше информации о ЦУП 2.0 — на сайте вендора.
Облачные сервисы управления секретами
В рамках рассмотрения рынка систем управления секретами мы хотим отметить облачные сервисы управления секретами. Данный класс решений не является полным аналогом специализированных систем уровня HashiCorp Vault и не покрывает весь жизненный цикл секретов в сопоставимом объёме, включая сложные сценарии ротации, динамической выдачи учётных данных и др.
Но они занимают значимую долю практических внедрений и отражают реальный сценарий использования. В ряде случаев организации не разворачивают отдельные системы управления секретами, ограничиваясь встроенными средствами облачных платформ. Кратко рассмотрим некоторые из них.
Yandex Lockbox. Предназначен для создания, безопасного хранения и предоставления доступа к значениям секретов в любой инфраструктуре, включая on-premise. Обеспечивает централизованное размещение секретов в облаке, что ускоряет внедрение решения и исключает необходимость развёртывания отдельного продукта. Помогает выполнять задачи по обеспечению отказоустойчивости, доступности и аудита, упрощает контроль соответствия требованиям ИБ.
Поддерживается поиск утекших секретов в общедоступных источниках: если кто‑то случайно разместит в публичном репозитории секрет, созданный в Lockbox, система уведомит об этом администраторов. Реализовано разграничение доступа. Создание и управление секретами осуществляется через консоль управления, интерфейс командной строки, API, а также с использованием SDK для популярных языков программирования и Terraform (инструмента инфраструктурной автоматизации).
Менеджер секретов Selectel — это защищённый облачный сервис для централизованного хранения и управления секретами. Позволяет безопасно хранить API-ключи, логины и пароли, сертификаты и другие чувствительные данные, исключая их размещение в коде приложений и снижая риски утечек. Управление секретами доступно через панель управления Selectel (my.selectel.ru), API или Terraform, при этом сервис предоставляется бесплатно в рамках использования облачной платформы Selectel.
Данные шифруются с использованием AES-256-GCM и передаются по защищённым каналам TLS до записи на диск. Доступ к ним контролируется через IAM с поддержкой ролей и проектной модели, а все операции фиксируются в аудит-логах для полного контроля действий. Это позволяет защищать данные от потери при ошибочных обновлениях или удалении, а также мгновенно возвращаться к предыдущему состоянию при сбоях (roll-back) и безопасно ротировать (обновлять) пароли без простоя сервисов.
Secret Manager MWS. Назначение сервиса: хранение секретов, управление жизненным циклом секретов и их версий, отслеживание их использования в сервисах MWS. По умолчанию данные шифруются с помощью системного ключа, но при создании секрета также можно указать собственный ключ Key Management Service (KMS). Поддерживаются пользовательские секреты. Они хранятся в виде версий, каждая из которых содержит одну или несколько пар «ключ-значение». Секреты и их версии могут находиться в активном или деактивированном состоянии. При деактивации секрета также деактивируются все его версии.
Чтобы начать пользоваться сервисом Secret Manager, его необходимо активировать: достаточно, имея роль admin на уровне проекта, нажать кнопку «Активировать» на странице сервиса.
Secret Management Cloud.ru. Обеспечивает полный набор операций по управлению секретами и их версиями, а также поддерживает базовые функции организации структуры хранения. Реализованы версионирование, функция получения значения секрета. Возможно создание, просмотр и удаление секрета, работа с метаданными. После создания версии секрета её нельзя изменить. Для изменения секрета нужно создавать новую версию.
Для организации хранения предусмотрены папки: доступны их создание, просмотр, изменение и удаление. У пользователя может быть несколько разных проектов, и для каждого проекта создается свой список секретов. С секретами можно работать как через веб-интерфейс личного кабинета, так и посредством API. Также реализована функциональность по разграничению доступа к секретам. Чтобы получить доступ администратора или пользователя, в сервисе IAM пользователю должна быть назначена соответствующая роль. Secret Management доступен бесплатно для клиентов облачной платформы Cloud.ru Evolution.
Выводы
Цифровая трансформация привела к росту количества сервисов, API и межсистемных интеграций, что усложнило управление секретами, их распределение и контроль использования. Изменение лицензии HashiCorp стало дополнительным фактором, открывшим возможности для развития отечественных решений в этом сегменте.
В результате на российском рынке сформировался класс систем управления секретами, развивающихся в едином направлении. Такие решения обеспечивают централизованное хранение секретов, автоматизированную выдачу и ротацию, а также детализированный аудит действий. Их можно модернизировать с учётом специфики организации, что позволяет адаптировать процессы управления секретами под внутренние политики безопасности, изолировать доступ между отделами, интегрировать с существующими системами мониторинга и масштабировать по мере роста инфраструктуры.
