Все секреты хранятся в одном месте и зашифрованы с возможностью использования алгоритмов шифрования ГОСТ

В ЕХС реализована ролевая модель доступа (RBAC) с возможностью применения гибких ACL политик

Автоматическая ротация статических секретов, динамическая генерация и отзыв временных секретов

ЕХС обеспечивает доставку секретов на аппаратные и виртуальные сервера, а также в среды контейнерной оркестрации

Полное логирование всех событий жизненного цикла секретов и действий пользователей

С 2022 года компании, работающие с Vault от HashiCorp, утратили возможность обновлять и лицензировать данное решение. Дополнительное ограничение - несоответствие зарубежных продуктов HashiCorp требованиям регуляторов в сфере информационной безопасности.

Перед отечественными компаниями встаёт задача импортозамещения, оперативной трансформации программной инфраструктуры и внедрения адаптивных средств защиты информации.

ЕХС обеспечивает бесшовный переход на отечественное решение: полная совместимость с API HashiCorp Vault вплоть до версии 1.14.8 и встроенный модуль миграции позволяют перенести данные из действующих инсталляций Vault без прерывания бизнес-процессов.

Масштабирование корпоративной инфраструктуры - рост числа приложений, контейнеризация, мультиоблачные среды - заставляют формировать индивидуальный подход к управлению различными типами секретов.

Ручное управление большим количеством секретов в таких условиях неизбежно порождает человеческие ошибки и нарушения регуляторных требований.

ЕХС автоматизирует управление любым типом секретов и обеспечивает их своевременную актуализацию. Это исключает риски неактуальных секретов минимизирует вероятность простоя сервисов.

Сотрудники компании ежедневно используют большое количество секретов для доступа к цифровым сервисам: CRM, внутренние порталы, различные базы данных. Отсутствие единой системы хранения приводит к записи паролей в заметках на телефоне, в текстовых файлах на рабочем столе или на стикерах, приклеенных к монитору.

Процесс онбординга новых сотрудников и отзыва доступов при увольнении становится хаотичным, уволенные сотрудники нередко сохраняют доступ к корпоративным ресурсам, что создаёт прямую угрозу утечки данных.

Wallet ЕХС полностью решает эти проблемы, предоставляя единое зашифрованное хранилище секретов доступных сотруднику компании, устраняет парольный хаос и предотвращает утечки данных, включая риски, связанные с «мёртвыми душами» и фишинговыми атаками.

Постоянный рост числа приложений, разворачиваемых в среде контейнерной оркестрации Kubernetes, требует больших усилий администраторов Kubernetes для управления секретами Kubernetes.

Процесс ручного управления секретами Kubernetes заставляет администраторов не только вручную поддерживать секреты в актуальном состоянии, но и сохранять их в Kubernetes, что приводит к децентрализации корпоративных секретов.

ЕХС предоставляет набор инструментов для автоматической безопасной доставки секретов в Kubernetes:

• ЕХС Оператор
• ЕХС Инжектор + Sidecar Агент

ЕХС Оператор – это специализированный оператор Kubernetes, который позволяет синхронизировать секреты ЕХС с секретами Kubernetes (Kubernetes Secrets). Такой подход позволяет пользователям Kubernetes нативно использовать секреты ЕХС без необходимости встраивания дополнительных инструментов в пользовательские Pod’ы.

ЕХС Инжектор позволяет встраивать и конфигурировать Sidecar Агент ЕХС в пользовательские Pod’ы на основании аннотаций, указанных в манифестах. Таким образом, в пользовательском Pod’е помимо основного приложения будет развёрнут Агент ЕХС, который будет получать и актуализировать секреты из ЕХС, а также доставлять их в Pod для дальнейшего использования приложением.
Помимо Sidecar Агента есть возможность установки Init контейнера, который получит секреты из ЕХС до запуска пользовательского приложения, что позволяет решить проблему с доставкой нулевого секрета.

Любому приложению необходимы секреты для интеграции с другими системами, например, учетная запись базы данных или брокера сообщений. Зачастую эти секреты хранятся в конфигурационных файлах приложений или переменных окружения.

Такой подход к хранению секретов заставляет администраторов выполнять ручную замену секретов или дорабатывать кодовую базу приложений. Однако не все системы можно доработать. Ярким примером являются legacy-системы, которые невозможно доработать для автоматического получения секретов и последующего перезапуска сервиса.

Легковесный ЕХС Агент предоставляет возможность доставки секретов как в файлы, так и в переменные окружения приложений. Агент ЕХС обеспечивает доставку секретов до legacy-систем и позволяет передавать секреты в параметры запуска приложений, а также реализует graceful-ротацию, что позволяет пользовательскими приложениям считывать обновлённые секреты без простоя сервисов.