Интеграция
с КриптоПро HSM
с КриптоПро HSM
Хранение мастер-ключа ЕХС в программно-аппаратном модуле безопасности для минимизации риска компрометации системы, а также решения проблемы «нулевого секрета»
Соответствие требованиям регуляторов
Поддержка шифрование секретов в хранилище алгоритмами ГОСТ Р 34.12−2015 с помощью библиотек Astra Linux и интеграции с КриптоПро CSP
Поддержка версионирования сертификатов
- Хранение прошлых версий сертификатов для восстановления данных;
- Проактивный выпуск будущих версий сертификатов для предоставления потребителям при недоступности ЦС.
Поддержка Wallet
Кошелек пользовательских секретов для локального кеширования секретов и их синхронизации с ЕХС с возможностью автоматической подстановки в Web-формы и в pipeline Bash команд
Преимущества
ЕХС превращает бессистемное хранение секретов в централизованную и автоматизированную систему, которая минимизирует риски утечек и потери секретов, сокращает операционные затраты и повышает общую надежность и безопасность инфраструктуры.
ЕХС решает все ключевые задачи управления секретами
Все секреты хранятся в одном месте и зашифрованы с возможностью использования алгоритмов шифрования ГОСТ
В ЕХС реализована ролевая модель доступа (RBAC) с возможностью применения гибких ACL политик
Автоматическая ротация статических секретов, динамическая генерация и отзыв временных секретов
ЕХС обеспечивает доставку секретов на аппаратные и виртуальные сервера, а также в среды контейнерной оркестрации
Полное логирование всех событий жизненного цикла секретов и действий пользователей
Все секреты хранятся в одном месте
и зашифрованы с возможностью использования алгоритмов шифрования ГОСТ
и зашифрованы с возможностью использования алгоритмов шифрования ГОСТ
ЕХС решает все ключевые задачи
управления секретами
управления секретами
В ЕХС реализована ролевая модель доступа (RBAC) с возможностью применения гибких ACL политик
ЕХС решает все ключевые задачи
управления секретами
управления секретами
Автоматическая ротация статических секретов, динамическая генерация и отзыв временных секретов
ЕХС решает все ключевые задачи
управления секретами
управления секретами
ЕХС обеспечивает доставку секретов
на аппаратные и виртуальные сервера,
а также в среды контейнерной оркестрации
на аппаратные и виртуальные сервера,
а также в среды контейнерной оркестрации
ЕХС решает все ключевые задачи
управления секретами
управления секретами
Полное логирование всех событий жизненного цикла секретов и действий пользователей
ЕХС решает все ключевые задачи
управления секретами
управления секретами
Полная схема работы ЕХС и компонентов
Как это работает
Компоненты
- Основной компонент, который выполняет задачи шифрования, расшифровки данных и записи в хранилище
- База данных для хранения всей информации ЕХС. Поддерживаются PostgreSQL и Raft
- Реализует графический веб-интерфейс для управления ЕХС. Упрощает настройку методов аутентификации и управления жизненным циклом секретов
- Поддержка различных типов аутентификации: Token, AppRole, Username&Password, JWT/OIDC, Kubernetes,LDAP/AD, Kerberos, RADIUS, SSL/TLS сертификаты. Поддержка двухфакторной аутентификации
- Реализация ролевой модели доступа (RBAC), а также поддержка назначения гибких ACL политик доступа к секретам и действиям в системе
- Управление жизненным циклом различных типов секретов: секреты в формате ключ-значение, учётные записи LDAP/AD и баз данных, SSL/TLS и SSH сертификаты, токены, сервисные аккаунты и роли Kubernetes, учётные записи RabbitMQ, одноразовые пароли TOTP
- Логирование всех действий пользователей и системы с возможностью отправки событий по протоколу Syslog во внешние системы, включая отечественные решения класса SIEM
- Сбор метрик о состоянии системы ЕХС
- Интеграция с различными системами мониторинга, например, Prometheus, Loki
Ядро системы ЕХС
Основной компонент, который выполняет задачи шифрования, расшифровки данных и записи в хранилище
Хранилище данных
База данных для хранения всей информации ЕХС. Поддерживаются PostgreSQL и Raft
Веб-интерфейс
Реализует графический веб-интерфейс для управления ЕХС. Упрощает настройку методов аутентификации и управления жизненным циклом секретов
Модули аутентификации
Поддержка различных типов аутентификации: Token, AppRole, Username&Password, JWT/OIDC, Kubernetes, LDAP/AD, Kerberos, RADIUS, SSL/TLS сертификаты. Поддержка двухфакторной аутентификации
Модуль авторизации
Реализация ролевой модели доступа (RBAC), а также поддержка назначения гибких ACL политик доступа к секретам и действиям в системе
Модули управления секретами
Управление жизненным циклом различных типов секретов: секреты в формате ключ-значение, учётные записи LDAP/AD и баз данных, SSL/TLS и SSH сертификаты, токены, сервисные аккаунты и роли Kubernetes, учётные записи RabbitMQ, одноразовые пароли TOTP
Модуль журналирования и аудита
Логирование всех действий пользователей и системы с возможностью отправки событий по протоколу Syslog во внешние системы, включая отечественные решения класса SIEM
Модуль мониторинга
- Сбор метрик о состоянии системы ЕХС
- Интеграция с различными системами мониторинга, например, Prometheus, Loki
Сценарии использования
Импортозамещение HashiCorp Vault отечественным решением
ЕХС обеспечивает бесшовный переход на отечественное решение: полная совместимость с API HashiCorp Vault вплоть до версии 1.14.8 и встроенный модуль миграции позволяют перенести данные из действующих инсталляций Vault без прерывания бизнес-процессов.
Перед отечественными компаниями встаёт задача импортозамещения, оперативной трансформации программной инфраструктуры и внедрения адаптивных средств защиты информации.
С 2022 года компании, работающие с Vault от HashiCorp, утратили возможность обновлять и лицензировать данное решение. Дополнительное ограничение — несоответствие зарубежных продуктов HashiCorp требованиям регуляторов в сфере информационной безопасности.
Автоматизированное управление большим объёмом секретов
ЕХС автоматизирует управление любым типом секретов и обеспечивает их своевременную актуализацию. Это исключает риски неактуальных секретов минимизирует вероятность простоя сервисов.
Ручное управление большим количеством секретов в таких условиях неизбежно порождает человеческие ошибки и нарушения регуляторных требований.
Масштабирование корпоративной инфраструктуры — рост числа приложений, контейнеризация, мультиоблачные среды — заставляют формировать индивидуальный подход к управлению различными типами секретов.
Локальный менеджер секретов Wallet
Wallet ЕХС полностью решает эти проблемы, предоставляя единое зашифрованное хранилище секретов доступных сотруднику компании, устраняет парольный хаос и предотвращает утечки данных, включая риски, связанные с «мёртвыми душами» и фишинговыми атаками. Управление паролями в EXC совместно с Wallet обеспечивают эффективное централизованное решение для безопасного хранения и применения паролей пользователями.
Процесс онбординга новых сотрудников и отзыва доступов при увольнении становится хаотичным, уволенные сотрудники нередко сохраняют доступ
к корпоративным ресурсам, что создаёт прямую угрозу утечки данных.
к корпоративным ресурсам, что создаёт прямую угрозу утечки данных.
Сотрудники компании ежедневно используют большое количество секретов для доступа к цифровым сервисам: CRM, внутренние порталы, различные базы данных. Отсутствие единой системы хранения приводит к записи паролей в заметках на телефоне, в текстовых файлах на рабочем столе или на стикерах, приклеенных к монитору.
Доставка секретов в среду контейнеризации Kubernetes
ЕХС предоставляет набор инструментов для автоматической безопасной доставки секретов в Kubernetes:
ЕХС Оператор — это специализированный оператор Kubernetes, который позволяет синхронизировать секреты ЕХС с секретами Kubernetes (Kubernetes Secrets). Такой подход позволяет пользователям Kubernetes нативно использовать секреты ЕХС без необходимости встраивания дополнительных инструментов в пользовательские Pod’ы.
ЕХС Инжектор позволяет встраивать и конфигурировать Sidecar Агент ЕХС в пользовательские Pod’ы на основании аннотаций, указанных в манифестах. Таким образом, в пользовательском Pod’е помимо основного приложения будет развёрнут Агент ЕХС, который будет получать и актуализировать секреты из ЕХС, а также доставлять их в Pod для дальнейшего использования приложением. Помимо Sidecar Агента есть возможность установки Init контейнера, который получит секреты из ЕХС до запуска пользовательского приложения, что позволяет решить проблему с доставкой нулевого секрета.
Процесс ручного управления секретами Kubernetes заставляет администраторов не только вручную поддерживать секреты в актуальном состоянии, но и сохранять их в Kubernetes, что приводит к децентрализации корпоративных секретов.
Постоянный рост числа приложений, разворачиваемых в среде контейнерной оркестрации Kubernetes, требует больших усилий администраторов Kubernetes для управления секретами Kubernetes.
ЕХС Оператор
ЕХС Инжектор + Sidecar Агент
ЕХС Инжектор + Sidecar Агент
Доставка секретов для legacy-приложений
Легковесный ЕХС Агент предоставляет возможность доставки секретов как в файлы, так и в переменные окружения приложений. Агент ЕХС обеспечивает доставку секретов до legacy-систем и позволяет передавать секреты в параметры запуска приложений, а также реализует graceful-ротацию, что позволяет пользовательскими приложениям считывать обновлённые секреты без простоя сервисов.
Такой подход к хранению секретов заставляет администраторов выполнять ручную замену секретов или дорабатывать кодовую базу приложений.
Однако не все системы можно доработать. Ярким примером являются legacy-системы, которые невозможно доработать для автоматического получения секретов и последующего перезапуска сервиса.
Однако не все системы можно доработать. Ярким примером являются legacy-системы, которые невозможно доработать для автоматического получения секретов и последующего перезапуска сервиса.
Любому приложению необходимы секреты для интеграции с другими системами, например, учетная запись базы данных или брокера сообщений.
Зачастую эти секреты хранятся в конфигурационных файлах приложений или переменных окружения.
Зачастую эти секреты хранятся в конфигурационных файлах приложений или переменных окружения.
С 2022 года компании, работающие с Vault от HashiCorp, утратили возможность обновлять и лицензировать данное решение. Дополнительное ограничение - несоответствие зарубежных продуктов HashiCorp требованиям регуляторов в сфере информационной безопасности.
Перед отечественными компаниями встаёт задача импортозамещения, оперативной трансформации программной инфраструктуры и внедрения адаптивных средств защиты информации.
ЕХС обеспечивает бесшовный переход на отечественное решение: полная совместимость с API HashiCorp Vault вплоть до версии 1.14.8 и встроенный модуль миграции позволяют перенести данные из действующих инсталляций Vault без прерывания бизнес-процессов.
Перед отечественными компаниями встаёт задача импортозамещения, оперативной трансформации программной инфраструктуры и внедрения адаптивных средств защиты информации.
ЕХС обеспечивает бесшовный переход на отечественное решение: полная совместимость с API HashiCorp Vault вплоть до версии 1.14.8 и встроенный модуль миграции позволяют перенести данные из действующих инсталляций Vault без прерывания бизнес-процессов.
Масштабирование корпоративной инфраструктуры - рост числа приложений, контейнеризация, мультиоблачные среды - заставляют формировать индивидуальный подход к управлению различными типами секретов.
Ручное управление большим количеством секретов в таких условиях неизбежно порождает человеческие ошибки и нарушения регуляторных требований.
ЕХС автоматизирует управление любым типом секретов и обеспечивает их своевременную актуализацию. Это исключает риски неактуальных секретов минимизирует вероятность простоя сервисов.
Ручное управление большим количеством секретов в таких условиях неизбежно порождает человеческие ошибки и нарушения регуляторных требований.
ЕХС автоматизирует управление любым типом секретов и обеспечивает их своевременную актуализацию. Это исключает риски неактуальных секретов минимизирует вероятность простоя сервисов.
Сотрудники компании ежедневно используют большое количество секретов для доступа к цифровым сервисам: CRM, внутренние порталы, различные базы данных. Отсутствие единой системы хранения приводит к записи паролей в заметках на телефоне, в текстовых файлах на рабочем столе или на стикерах, приклеенных к монитору.
Процесс онбординга новых сотрудников и отзыва доступов при увольнении становится хаотичным, уволенные сотрудники нередко сохраняют доступ к корпоративным ресурсам, что создаёт прямую угрозу утечки данных.
Wallet ЕХС полностью решает эти проблемы, предоставляя единое зашифрованное хранилище секретов доступных сотруднику компании, устраняет парольный хаос и предотвращает утечки данных, включая риски, связанные с «мёртвыми душами» и фишинговыми атаками.
Процесс онбординга новых сотрудников и отзыва доступов при увольнении становится хаотичным, уволенные сотрудники нередко сохраняют доступ к корпоративным ресурсам, что создаёт прямую угрозу утечки данных.
Wallet ЕХС полностью решает эти проблемы, предоставляя единое зашифрованное хранилище секретов доступных сотруднику компании, устраняет парольный хаос и предотвращает утечки данных, включая риски, связанные с «мёртвыми душами» и фишинговыми атаками.
Постоянный рост числа приложений, разворачиваемых в среде контейнерной оркестрации Kubernetes, требует больших усилий администраторов Kubernetes для управления секретами Kubernetes.
Процесс ручного управления секретами Kubernetes заставляет администраторов не только вручную поддерживать секреты в актуальном состоянии, но и сохранять их в Kubernetes, что приводит к децентрализации корпоративных секретов.
ЕХС предоставляет набор инструментов для автоматической безопасной доставки секретов в Kubernetes:
ЕХС Оператор – это специализированный оператор Kubernetes, который позволяет синхронизировать секреты ЕХС с секретами Kubernetes (Kubernetes Secrets). Такой подход позволяет пользователям Kubernetes нативно использовать секреты ЕХС без необходимости встраивания дополнительных инструментов в пользовательские Pod’ы.
ЕХС Инжектор позволяет встраивать и конфигурировать Sidecar Агент ЕХС в пользовательские Pod’ы на основании аннотаций, указанных в манифестах. Таким образом, в пользовательском Pod’е помимо основного приложения будет развёрнут Агент ЕХС, который будет получать и актуализировать секреты из ЕХС, а также доставлять их в Pod для дальнейшего использования приложением.
Помимо Sidecar Агента есть возможность установки Init контейнера, который получит секреты из ЕХС до запуска пользовательского приложения, что позволяет решить проблему с доставкой нулевого секрета.
Процесс ручного управления секретами Kubernetes заставляет администраторов не только вручную поддерживать секреты в актуальном состоянии, но и сохранять их в Kubernetes, что приводит к децентрализации корпоративных секретов.
ЕХС предоставляет набор инструментов для автоматической безопасной доставки секретов в Kubernetes:
- ЕХС Оператор
- ЕХС Инжектор + Sidecar Агент
ЕХС Оператор – это специализированный оператор Kubernetes, который позволяет синхронизировать секреты ЕХС с секретами Kubernetes (Kubernetes Secrets). Такой подход позволяет пользователям Kubernetes нативно использовать секреты ЕХС без необходимости встраивания дополнительных инструментов в пользовательские Pod’ы.
ЕХС Инжектор позволяет встраивать и конфигурировать Sidecar Агент ЕХС в пользовательские Pod’ы на основании аннотаций, указанных в манифестах. Таким образом, в пользовательском Pod’е помимо основного приложения будет развёрнут Агент ЕХС, который будет получать и актуализировать секреты из ЕХС, а также доставлять их в Pod для дальнейшего использования приложением.
Помимо Sidecar Агента есть возможность установки Init контейнера, который получит секреты из ЕХС до запуска пользовательского приложения, что позволяет решить проблему с доставкой нулевого секрета.
Любому приложению необходимы секреты для интеграции с другими системами, например, учетная запись базы данных или брокера сообщений. Зачастую эти секреты хранятся в конфигурационных файлах приложений или переменных окружения.
Такой подход к хранению секретов заставляет администраторов выполнять ручную замену секретов или дорабатывать кодовую базу приложений. Однако не все системы можно доработать. Ярким примером являются legacy-системы, которые невозможно доработать для автоматического получения секретов и последующего перезапуска сервиса.
Легковесный ЕХС Агент предоставляет возможность доставки секретов как в файлы, так и в переменные окружения приложений. Агент ЕХС обеспечивает доставку секретов до legacy-систем и позволяет передавать секреты в параметры запуска приложений, а также реализует graceful-ротацию, что позволяет пользовательскими приложениям считывать обновлённые секреты без простоя сервисов.
Такой подход к хранению секретов заставляет администраторов выполнять ручную замену секретов или дорабатывать кодовую базу приложений. Однако не все системы можно доработать. Ярким примером являются legacy-системы, которые невозможно доработать для автоматического получения секретов и последующего перезапуска сервиса.
Легковесный ЕХС Агент предоставляет возможность доставки секретов как в файлы, так и в переменные окружения приложений. Агент ЕХС обеспечивает доставку секретов до legacy-систем и позволяет передавать секреты в параметры запуска приложений, а также реализует graceful-ротацию, что позволяет пользовательскими приложениям считывать обновлённые секреты без простоя сервисов.
Информация о стоимости
программного обеспечения
программного обеспечения
ЕХС — модульное решение, в зависимости от ваших задач, вам может понадобиться разный комплект модулей.
Для уточнения стоимости вы можете связаться с нами и на основе вашего запроса мы подберем для вас оптимальный комплект модулей и сформируем коммерческое предложение.
Для уточнения стоимости вы можете связаться с нами и на основе вашего запроса мы подберем для вас оптимальный комплект модулей и сформируем коммерческое предложение.
Техническая поддержка
Премиальная поддержка
Круглосуточная поддержка
Консультация по работе с продуктами и рекомендации на основе диагностики ПО
Предоставление периодических отчетов о результатах оказания услуг технической поддержки
Проактивная техническая поддержка
Выделенный координатор технической поддержки
Консультация по работе с продуктами и рекомендации на основе диагностики ПО
Предоставление периодических отчетов о результатах оказания услуг технической поддержки
Проактивная техническая поддержка
Выделенный координатор технической поддержки
Стандартная поддержка
Поддержка 8×5 в рабочие часы службы поддержки
Консультации по работе с продуктами
Предоставление периодических отчетов о результатах оказания услуг технической поддержки
Консультации по работе с продуктами
Предоставление периодических отчетов о результатах оказания услуг технической поддержки
Экосистема готовых решений — для востребованных задач вашего бизнеса
Наши продукты
+
Отслеживание фактического размещения всех секретов в ЛКПС
Расширьте возможности с помощью других продуктов на базе платформы ЦУГИ
ЕХС + ЛКПС
Благодаря интеграции ЕХС с Личным Кабинетом Пользователя Сертификатов (ЛКПС) каждый пользователь секретов сможет отследить фактическое размещение всех своих секретов в ЛКПС, а также назначить ответственного для каждого секрета.
+
Проверка дополнительных параметров при выпуске сертификатов
ЕХС + ЕСАУС
При интеграции с ЕСАУС запросы от ЕХС к Clearway CA отправляются через ЕСАУС, обеспечивая проверку не только параметров запроса, но и дополнительной информации, полученной от ЕХС:
- учетной записи ЕХС для аутентификации в ЕСАУС;
- политики выпуска сертификата;
- ключевой пары поставщика сертификатов.
+
Поддержка внешних Центров Сертификации
ЕХС + Clearway CA
Интеграция с Clearway CA позволяет выпускать сертификаты с использованием внешнего центра сертификации Clearway CA и посредством взаимодействия с Драйвером УЦ обеспечивает поддержку других ЦС, таких как:
- Microsoft CA;
- КриптоПро УЦ;
- SafeTech CA;
- Aladdin Enterprise CA.
Продукт ЕХС является развитием ПО «Система централизованного анализа и управления гетерогенными инфраструктурами (ЦУГИ)», обладает расширенным составом функций и позволяет применяться в отдельно устанавливаемом исполнении, в том числе в составе ПАК.
Платформа ЦУГИ зарегистрирована в реестре российского ПО. Запись в реестре № 13 033 от 21.03.2022
Платформа ЦУГИ зарегистрирована в реестре российского ПО. Запись в реестре № 13 033 от 21.03.2022
Свяжитесь с нами для получения более полной информации о продукте и стоимости
© Clearway Integration 2012-2026.
Контакты
Навигация
Связаться с нами
Заполните заявку, и мы свяжемся с вами по почте или позвоним в ближайшее время.
Страница в разработке
