Deckhouse Stronghold
Решение для безопасного хранения и управления секретами

2026

Сертификация ФСТЭК России

Решение для безопасного управления секретами Deckhouse Stronghold от компании «Флант» получило сертификат соответствия сертификат соответствия ФСТЭК России № 5038 от 10 февраля 2026 года. Документ подтверждает, что редакция продукта — Deckhouse Stronghold Certified Security Edition — соответствует требованиям технических условий и приказа ФСТЭК России № 76 от 2 июня 2020 года по 4-му уровню доверия. Об этом разработчик сообщил 24 февраля 2026 года.

Сертифицированную редакцию Deckhouse Stronghold смогут внедрять организации, для которых обязательно использование продуктов, прошедших сертификацию ФСТЭК России. Речь идёт о государственных компаниях и госкорпорациях, банках, федеральных и региональных органах исполнительной власти, а также об организациях, работающих с объектами критической информационной инфраструктуры.

Deckhouse Stronghold Certified Security Edition реализует функциональные возможности уровня HashiCorp Vault Enterprise, включая межкластерную репликацию данных, пространства имён, автоматическое резервное копирование данных по заданному расписанию, встроенное безопасное автоматическое распечатывание хранилища без использования внешних сервисов или KMS, поддержку внешних аппаратных модулей безопасности и двойное шифрование данных. В том числе поддерживаются российские криптографические алгоритмы «Кузнечик» и «Магма» в соответствии с ГОСТ Р 34.12-2018.

Мы ставили перед собой задачу создать не просто сертифицированное решение, а полноценное enterprise-хранилище секретов, которое можно использовать в реальных production-средах с повышенными требованиями к информационной безопасности. Deckhouse Stronghold Certified Security Edition изначально разрабатывался в соответствии с требованиями безопасной разработки ПО по ГОСТ Р 56939-2024. Сертификация ФСТЭК России подтверждает, что продукт полностью соответствует требованиям регулятора и предлагает заказчикам функциональные возможности уровня HashiCorp Vault Enterprise, — отметил Владимир Девятайкин, менеджер продукта Deckhouse Stronghold компании «Флант».

Сертифицированная редакция Deckhouse Stronghold позволяет использовать продукт для защиты информации на значимых объектах критической инфраструктуры до 1-й категории значимости включительно, обеспечения безопасности персональных данных в информационных системах до 1-го уровня защищённости включительно, защиты информации в государственных информационных системах до 1-го класса защищённости, а также защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных и потенциально опасных объектах.От разрозненных систем — к единой ЦИМ. Комплексный проект школы в экосистеме nanoCAD

В дальнейшем планируется активное развитие редакции Certified Security Edition, включая расширение функциональности performance-репликации, а также прохождение оценки влияния среды функционирования на средство криптографической защиты информации в рамках встраивания СКЗИ в Deckhouse Stronghold.

Поддержка «Рутокен ЭЦП» 3.0

В решении Deckhouse Stronghold появилась поддержка линейки аппаратных криптографических ключевых носителей Рутокен ЭЦП 3.0 от Компании «Актив». Интеграция обеспечивает новые возможности для защиты корпоративных секретов и повышает уровень безопасности хранения данных. Об этом «Актив» сообщил 19 февраля 2026 года.

Менеджер секретов Deckhouse Stronghold защищает пароли, ключи API, сертификаты, SSH-ключи, токены от утечек, а также обеспечивает безопасное хранение и доставку секретов в приложения.

С помощью устройств Рутокен ЭЦП 3.0 в Deckhouse Stronghold можно реализовать несколько сценариев дополнительной защиты секретов. В рамках первого сценария, в дополнение к базовому шифрованию алгоритмом AES, которое выполняет Deckhouse Stronghold, устройства Рутокен ЭЦП 3.0 применяются в качестве второго слоя шифрования данных. Таким образом, решение обеспечивает двойное шифрование секретов методом Sealwrap с возможностью использования двух комбинаций алгоритмов шифрования: AES + RSA и AES + ГОСТ. Такой подход существенно повышает устойчивость к компрометации: в случае утечки ключей AES, данные остаются защищенными шифрованием с использованием аппаратного ключевого носителя, а в случае компрометации PIN-кода — шифрованием AES.

Кроме того, Рутокен ЭЦП 3.0 позволяют шифровать и расшифровывать мастер-ключ, которым Deckhouse Stronghold шифрует данные. Обычно мастер-ключ приходится хранить отдельно, например, в специальном сервисе управления ключами (KMS). Теперь его можно просто хранить в самом хранилище Deckhouse Stronghold, предварительно зашифровав с использованием Рутокен. Без аппаратного носителя мастер-ключ никто не прочитает, даже при наличии доступа к хранилищу.

Активные ключевые носители Рутокен ЭЦП 3.0 представляют собой линейку USB-токенов и смарт-карт нового поколения для двухфакторной аутентификации на настольных и мобильных устройствах, подписания документов электронной подписью и защиты информации. Поддержка отечественных (включая «Кузнечик» и «Магма») и международных алгоритмов шифрования позволяет использовать модели Рутокен ЭЦП 3.0 в информационных системах с высокими требованиями безопасности. Устройства сертифицированы по требованиям ФСБ России и ФСТЭК России.

Линейка Рутокен Рутокен ЭЦП 3.0 уже зарекомендовала себя как надежное средство для двухфакторной аутентификации и электронной подписи. Интеграция с Deckhouse Stronghold позволяет использовать устройства для аппаратного шифрования корпоративных секретов на уровне платформы контейнеризации. Это особенно важно в условиях импортозамещения и перехода на отечественные решения, сказала Ксения Шаврова, руководитель отдела по работе с технологическими партнерами, Компания «Актив».

Интеграция Deckhouse Stronghold с Рутокен ЭЦП 3.0 выводит безопасность хранения секретов на новый уровень. Теперь организации могут применять усовершенствованное двойное шифрование с использованием как международных, так и российских криптографических алгоритмов. Последнее особенно важно для защиты данных в КИИ, ГИС и ИСПДн, отметил Владимир Девятайкин, менеджер продукта Deckhouse Stronghold.

2025

Совместимость с RuBackup версии 2.7 и выше

Компании «РуБэкап» и «Флант» (разработчик Deckhouse Stronghold) 21 ноября 2025 года объявили о технологической совместимости своих решений. Начиная с версии 2.7, система резервного копирования и восстановления данных RuBackup может автоматически получать учётные данные для подключения к защищаемым системам из централизованного хранилища секретов Deckhouse Stronghold. Подробнее здесь.

Совместимость с системой Multifactor

Компании МУЛЬТИФАКТОР и «Флант» 24 июля 2025 года сообщили о завершении всех этапов тестирования на совместимость своих решений — системы двухфакторной аутентификации MULTIFACTOR и Deckhouse Stronghold. Испытания подтвердили надёжность и корректность работы продуктов.

В рамках технологической интеграции оформлен сертификат совместимости.

Для пользователей MULTIFACTOR возможность интеграции с Deckhouse Stronghold расширяет перечень защищаемых ресурсов, добавляя в список поддерживаемых решений отечественное хранилище секретов. В свою очередь, Deckhouse Stronghold поддерживает подключение MULTIFACTOR в качестве дополнительного модуля двухфакторной аутентификации. Это позволяет клиентам усилить безопасность существующих процессов без необходимости замены текущей инфраструктуры.

Совместимость системы двухфакторной аутентификации MULTIFACTOR и Deckhouse Stronghold способствует повышению защиты данных, обеспечивает соблюдение законов в области кибербезопасности и создаёт надёжную рабочую среду для любых ИТ-решений, — отметил Роман Башкатов, коммерческий директор МУЛЬТИФАКТОР.

«нтеграция Deckhouse Stronghold с MULTIFACTOR дополняет существующие механизмы безопасности и создаёт дополнительный барьер при защите критически важных операций с секретами. Кроме того, это даёт нашим клиентам ещё большую гибкость в построении комплексных систем ИБ за счёт поддержки системы двухфакторной аутентификации, находящейся в реестре российского ПО, — отметил Константин Аксёнов, директор департамента разработки Deckhouse компании «Флант».

Deckhouse Stronghold Community Edition для управления секретами

Компания «Флант» выпустила Deckhouse Stronghold Community Edition — бесплатную версию решения для безопасного управления корпоративными секретами. Это полноценная российская альтернатива HashiCorp Vault Community Edition. Об этом компания сообщила 8 июля 2025 года.

Deckhouse Stronghold Community Edition предоставляет базовые функции для безопасного управления жизненным циклом секретов, доступные в HashiCorp Vault Community Edition: хранение, создание, доставка, отзыв и ротация. Поддерживаются популярные методы аутентификации (JWT, OIDC, Kubernetes, LDAP, Token) и Secret Engines (KV, Kubernetes, Database, SSH, PKI и др.). Решение работает с российскими операционными системами (Ред ОС, РОСА Сервер, ALT Linux, Astra Linux Special Edition) и может разворачиваться в закрытых контурах, интегрируется с инструментами Infrastructure as Code, такими как Ansible и Terraform, что позволяет легко внедрять его в существующие DevOps-процессы. Также доступен удобный веб-интерфейс.

Функциональные возможности уровня Enterprise, такие как управление ролями (AppRole, OIDC/JWT Role) через веб-интерфейс, поддержка пространств имен, репликация данных, автоматическое создание резервных копий через API и аудит-логирование, остаются доступными только в коммерческих редакциях продукта. Такой подход позволяет организациям начать работу с базовой функциональностью и масштабировать решение по мере роста потребностей.

С выпуском Deckhouse Stronghold Community Edition мы предлагаем инженерному сообществу доступное и современное решение для безопасного управления секретами. Это полноценный инструмент, разработанный в России, который полностью соответствует требованиям к отечественному программному обеспечению и уже включён в реестр Минцифры. Мы даем инженерам удобный инструмент и открываем путь к обратной связи, совместному развитию функциональности, а также честной поддержке продукта со стороны команды Deckhouse, — отметил Владимир Девятайкин, менеджер продукта Deckhouse Stronghold.

Deckhouse Stronghold Community Edition доступен исключительно в составе Deckhouse Kubernetes Platform как в бесплатной, так и в коммерческих редакциях. В дальнейшем вендор планирует развивать функциональные возможности Deckhouse Stronghold Community Edition, а также открыть исходный код продукта.

Набор функций уровня HashiCorp Vault Enterprise

Решение от Deckhouse компании «Флант» для безопасного управления корпоративными секретами Deckhouse Stronghold — теперь предлагает весь необходимый набор функций уровня HashiCorp Vault Enterprise. Продукт обеспечивает возможность создания пространств имён, автоматическое резервное копирование по расписанию и репликацию данных. Об этом Флант сообщил 26 мая 2025 года.

После ухода HashiCorp с российского рынка многие организации оказались перед выбором: использовать ограниченный функционал community-версии Vault или искать полноценную замену. Большинство отечественных решений по-прежнему не выходят за рамки базовых возможностей, тогда как Deckhouse Stronghold в 2025 году реализовал ключевой функционал, доступный в HashiCorp Vault Enterprise.

В продукте появились пространства имён (namespaces) с поддержкой вложенности и иерархий, полностью совместимые с Vault Enterprise по API и логике управления доступом. Добавлена автоматизация резервного копирования данных по расписанию с возможностью сохранения в файлы и S3-совместимые хранилища. Реализована репликация KV1/KV2-хранилищ на архитектуре master-slave, что критично для надёжной работы в геораспределённых средах.

Для заказчиков соответствие Deckhouse Stronghold и Vault Enterprise по набору необходимых функций означает, что решение готово к полноценному использованию в критически важных и строго регулируемых ИТ-средах. Продукт позволяет централизовать управление секретами и упростить администрирование даже в масштабной инфраструктуре, обеспечивая стабильность и контроль над критически важными процессами. За счёт совместимости с API Vault Enterprise компании могут перейти на отечественное решение без существенных затрат времени и ресурсов, сохранив привычные процессы работы с доступами и безопасностью. Это снижает риски и делает переход с зарубежного ПО максимально плавным.

Мы стремимся к тому, чтобы Deckhouse Stronghold стал полноценной и надёжной заменой Vault Enterprise в российских реалиях. И можем уверенно сказать: мы достигли этой цели. Продукт полностью реализует нужный функционал и развивается с фокусом на требования локального рынка. Это решение для тех, кто не готов к компромиссам в вопросах безопасности, контроля и гибкости, — отметил Максим Киселев, руководитель разработки Deckhouse Stronghold.

В 2025 году компания планирует завершить процедуру сертификации Deckhouse Stronghold на соответствие требованиям технических условий и приказа ФСТЭК России от 2 июня 2020 г. № 76 по 4 уровню доверия. Это позволит использовать решение в контурах с повышенными требованиями к безопасности. Кроме того, продукт уже вошел в состав новой сертифицированной ФСТЭК России версии Deckhouse Kubernetes Platform, как функциональный модуль, реализующий базовые функции хранилища секретов. Также в разработке находится поддержка криптоалгоритмов ГОСТ 34.12-2018 и реализация реплик для производительности и аварийного восстановления.

2024: Включение в реестр российского ПО

Решение для безопасного хранения и управления секретами Deckhouse Stronghold от компании «Флант» внесено в реестр российского ПО. Об этом разработчик сообщил 15 мая 2024 года. Продукт собран, поставляется и полноценно работает на российских операционных системах. Он полностью совместим с API Vault от HashiCorp и обладает интерфейсом на русском языке.

𝓲

Фото: Флант

Deckhouse Stronghold можно использовать в любых окружениях, облаках и закрытых контурах с повышенными требованиями к безопасности. Решение позволяет разделить права доступа для управления хранилищем и получения секретов приложениями, — что минимизирует риски утечки данных и обеспечивает максимальный контроль доступа.

Решение является частью экосистемы Deckhouse и глубоко интегрировано со всеми ее продуктами. Кроме того, Stronghold совместим с большим спектром существующих на рынке решений, в том числе для безопасной доставки секретов в базы данных, CI/CD и для аутентификации из внешних источников идентификации (например, AD, OIDC, LDAP, SAML).

Внесение Deckhouse Stronghold в реестр — закономерное для нас событие. Решение базируется на зрелом продукте, который существует с 2015 года. Код Stronghold хранится и разрабатывается на территории России, а также постоянно тестируется на уязвимости. Вся документация и интерфейс написаны на русском языке, что делает работу с продуктом удобнее и проще. Также предоставляется техническая поддержка экспертов, — сказал Константин Аксёнов, директор департамента разработки Deckhouse компании «Флант». — Мы продолжаем активно работать над технологическим развитием продукта. В процессе реализации — изолированные окружения и мультитенантность, что позволит разделить хранилища секретов между отдельными департаментами или командами.

В конце 2024 года в Deckhouse Stronghold будет внедрен алгоритм шифрования ГОСТ. Также в первом квартале 2025 года разработчик решения начнёт реализацию поддержки HSM (Hardware Security Modules) — программно-аппаратных криптографических модулей для систем с повышенными требованиями к безопасности.