У ИБ-отдела особый класс секретов: доступы к SIEM, EDR, SOAR, аварийные учётные записи, SSH-ключи критичной инфраструктуры. Их чувствительность определяется не только содержимым, но и тем, что они раскрывают — архитектуру защиты и внутреннюю структуру безопасности.
Хранить такие секреты можно двумя способами:
- Для большинства компаний достаточно логической изоляции: одна инсталляция Пассворка с типами сейфов, ролями, MFA, LDAP/SSO и аудитом. Секреты разделены по назначению и владельцам, доступ разграничен через права и группы.
- Физическая изоляция (отдельный экземпляр Пассворка для ИБ-контура) нужна там, где данные должны быть скрыты от администраторов общего контура не только на уровне прав, но и на уровне самого факта существования: названий сейфов, структуры папок и журналов активности.
Физическая изоляция наиболее полно реализует принцип нулевого доверия (Zero Trust) через разделение полномочий. В этой модели ИТ-администраторы полностью исключаются из цепочки доверия, а управление системой переходит исключительно к ИБ-администраторам.
Логическая изоляция, в свою очередь, опирается на принцип наименьших привилегий внутри единой системы, где ИТ- и ИБ-контуры делят общую платформу.
Выбор между этими подходами определяет баланс между удобством администрирования и строгостью изоляции на уровне инфраструктуры. В этой статье мы даем архитектурную модель, которая поможет решить: ограничиться логической сегментацией или развернуть физически независимый контур.
Какие секреты хранит ИБ-отдел и почему их нельзя смешивать с обычными доступами
ИБ-секреты отличаются от доступов кадрового отдела, финансов или проектных команд не только уровнем критичности, но и характером чувствительности. Компрометация пароля от корпоративного SaaS — это инцидент. Компрометация доступа к SIEM или EDR — это потенциальная потеря контроля над всей защитной инфраструктурой.
Важно понимать: чувствительными могут быть не только сами пароли, но и метаданные. Названия сейфов, папок, систем и групп, а также характер активности в журнале — всё это раскрывает внутреннюю архитектуру защиты. Злоумышленник, получивший доступ к структуре ИБ-сейфов, уже знает, какие инструменты используются и как организовано реагирование.
Какие секреты требуют особого режима хранения
| Категория | Примеры | Почему чувствительно |
|---|---|---|
| Инструменты ИБ | SIEM, EDR, SOAR, сканеры уязвимостей | Раскрывают архитектуру защиты и сценарии реагирования |
| Инфраструктурные доступы | root/admin-аккаунты, доменные администраторы, гипервизоры, сетевое оборудование, ssh-ключи | Компрометация даёт контроль над критичной инфраструктурой |
| Сертификаты и ключи шифрования | TLS/SSL-сертификаты, PKI, ключи подписи | Короткий срок жизни, высокий ущерб при утечке или истечении срока |
| Break-glass (аварийный доступ) | Аварийные доступы, резервные административные учётные записи | Доступ должен быть редким, контролируемым и полностью журналируемым |
| Доступы подрядчиков и аудиторов | Временные доступы пентестеров, аудиторов ФСТЭК, внешних интеграторов | Ограниченный срок действия, высокий риск «забытого» доступа после завершения работ |
| Метаданные | Названия сейфов, папок, систем, групп, журнал активности | Могут раскрыть внутреннюю структуру защитных процессов |
Прежде чем выбирать архитектуру решения, нужно понять, какие данные компания хранит и какой уровень изоляции каждая категория требует.
Один экземпляр Пассворка с типами сейфов: когда этого достаточно
Одна инсталляция Пассворка с правильно спроектированными типами сейфов, ролями, группами, MFA и LDAP/SSO обеспечивает логическую сегментацию данных и подходит большинству компаний. Администраторы платформы входят в доверенный контур, секреты разделены по назначению и владельцам, а журнал действий фиксирует все события.
Одна инсталляция — рациональный стандарт по умолчанию. Она проще в эксплуатации: одно обновление, один процесс резервного копирования, одна интеграция с LDAP/AD и SAML SSO, один регламент. При этом уровень контроля над доступом может быть весьма детальным.
Модель типов сейфов
Типы сейфов в Пассворке — основной инструмент логической сегментации. Это не просто группировка папок: для каждого типа задаются администраторы, права создателя, группы и роли участников, ограничения на создание новых сейфов.
При создании типа сейфа администраторы получают доступ автоматически и не могут быть удалены из него другими пользователями.
Пример настройки политик и прав для типов сейфов
| Тип сейфа | Что хранить | Администраторы | Особые правила |
|---|---|---|---|
| Личные | Индивидуальные рабочие доступы | Пользователь | Не хранить общие критичные секреты |
| Командные | Кадры, финансы, юристы, продажи, поддержка | Владельцы подразделений | Периодическая проверка прав доступа |
| ИТ | Серверы, БД, сетевое оборудование | ИТ-админы | MFA, аудит просмотров и изменений |
| ИБ (ограниченного доступа) | SIEM, EDR, IR-инструменты, сканеры | ИБ-админы | Минимум администраторов, строгий и регулярный аудит логов |
| DevOps/CI-CD | Токены, SSH-ключи, DSN, интеграции | DevOps/SRE-лид | Контроль API-доступа и ротации |
| Аварийный доступ | Аварийные учётные записи | Минимальный круг лиц | Двойной контроль, обязательное расследование каждого доступа |
Роли и группы позволяют разграничить доступ подразделений без ручной настройки каждого пользователя. Интеграция с AD/LDAP упрощает добавление новых пользователей и отзыв доступов: сотрудник уходит — доступ отзывается через синхронизацию с каталогом. SAML SSO снижает трение при ежедневной работе. MFA и журнал действий обеспечивают контроль.
Если этих ограничений достаточно, одна инсталляция закрывает задачу. Если нет, следующий шаг — физическая изоляция.
Два независимых экземпляра Пассворка: когда нужна физическая изоляция
Две независимые инсталляции Пассворка оправданы, когда ИБ-секреты должны быть изолированы не только на уровне прав доступа, но и на уровне отдельного экземпляра: с независимыми администраторами, отдельными политиками безопасности, закрытыми метаданными и чистыми журналами только по действиям ИБ-команды.
Два контура дают физическую изоляцию данных — именно то, что нужно, когда требования к безопасности ИБ-контура выходят за рамки логической сегментации. Важно учитывать, что вместе с этим появляются два жизненных цикла, два процесса резервного копирования, два регламента. Это осознанный архитектурный выбор, к которому стоит подойти с чёткими требованиями.
Что даёт физическая изоляция
- Устойчивость к ошибкам. Ошибка в правах доступа в общем корпоративном контуре не раскрывает ИБ-секреты. Контуры физически разделены: некорректная настройка в одном не затрагивает другой.
- Закрытые метаданные. Администраторы общего контура не видят структуру ИБ-сейфов: ни названий, ни папок, ни активности. ИТ-администратор бизнес-экземпляра Пассворка не знает, какие системы и инструменты находятся под управлением ИБ-команды.
- Независимые администраторы. ИБ управляет своим экземпляром самостоятельно без пересечения с ИТ-администраторами общего контура. Каждая команда настраивает свой экземпляр независимо и не имеет прав в чужом контуре.
- Независимые политики. ИБ применяет собственные настройки: более жёсткие требования к MFA, короткий таймаут сессии, запрет офлайн-доступа, ограничения на экспорт, отдельные правила API-доступа — без компромиссов с требованиями бизнес-подразделений.
- Чистый журнал. ИБ-инсталляция фиксирует только события ИБ-команды без фонового шума от финансов, продаж и подрядчиков. Это упрощает расследования и сокращает время на анализ.
- Прозрачность для аудита. Контур проще описывать в документах модели угроз, при прохождении сертификации и внешних аудитов — в том числе по требованиям ФСТЭК и для объектов КИИ. Разделение контуров часто является требованием регулятора.
Когда ИБ-контур требует закрытой сети
Ряд организаций предъявляет требования, которые выходят за рамки настроек доступа: размещение в изолированном сегменте сети без выхода в интернет, запрет на любые входящие соединения извне, доступ только с рабочих станций ИБ-команды.
Это актуально для компаний, где модель угроз предполагает атаку через административный интерфейс, а также для организаций, проходящих аттестацию по требованиям ФСТЭК или работающих с объектами критической информационной инфраструктуры (КИИ). В таких случаях физическая изоляция — не архитектурное предпочтение, а требование регулятора или внутренней политики безопасности.
Пассворк разворачивается на собственных серверах организации, что позволяет разместить ИБ-экземпляр в любом сетевом сегменте, включая полностью закрытый контур без внешних зависимостей.
Сравнение двух моделей
| Критерий | Одна инсталляция | Две независимые инсталляции |
|---|---|---|
| Изоляция данных | Логическая — через роли и типы сейфов | Физическая — через отдельные экземпляры |
| Видимость метаданных | Зависит от администраторской модели | Метаданные ИБ-контура не попадают в общий контур |
| Администраторы | Общие или делегированные | Независимые администраторы ИБ и бизнеса |
| Политики безопасности | Единые или частично разные | Полностью отдельные: MFA, сессии, API, экспорт |
| Аудит | Общий журнал со всеми командами | Отдельный журнал ИБ-команды |
| Эксплуатация | Проще: один жизненный цикл продукта | Сложнее: два экземпляра, две резервных копии, два процесса обновлений |
| Риск ошибки при выдаче прав | Снижается настройками | Ошибка не раскрывает ИБ-данные |
| Описание в документах | Одна система с ролевой моделью | Два независимых контура с разными владельцами |
Локальный ИБ-инстанс и облако для бизнеса
Вариант «ИБ локально, сотрудники в облаке» — два независимых инстанса разного типа поставки. Между ними нет общего пространства данных, общих администраторов или синхронизации секретов. Локальный экземпляр обслуживает чувствительные ИБ- и инфраструктурные секреты, облачный — массовые бизнес-доступы, если политика классификации данных разрешает такой контур.
Такое разделение имеет смысл, когда компания хочет снизить эксплуатационную нагрузку на бизнес-команды (облако проще в управлении), сохранив строгий контроль над критичными секретами на собственной инфраструктуре.
Разделение доступов
| Категория данных | Рекомендуемый контур | Причина |
|---|---|---|
| SIEM, EDR, SOAR, IR-инструменты | Локальный ИБ-инстанс | Метаданные и доступы связаны с защитной инфраструктурой |
| Доменные и инфраструктурные администраторы | Локальный ИБ/ИТ-контур | Высокий ущерб при компрометации |
| Аварийный доступ | Локальный ИБ-инстанс | Требует строгого контроля и расследования каждого доступа |
| Бизнес-процессы, финансы, юридические сервисы | Облачный или общий корпоративный контур | Важны управляемость и удобство |
| Проектные SaaS и подрядчики | Облачный или общий контур | Высокая динамика, удобство онбординга |
Облако Пассворка можно рассматривать как отдельный облачный экземпляр для бизнес-команд при условии, что политика классификации данных организации допускает хранение соответствующих категорий секретов в облаке.
Отдельный DevOps/SRE-контур: чем он отличается от ИБ-контура
DevOps-контур изолируется по другим причинам, чем ИБ-контур. ИБ-секреты требуют изоляции из-за конфиденциальности, независимого администрирования и требований к аудиту расследований. DevOps-секреты — из-за автоматизации, высокой частоты ротации, машинного потребления через API, CLI и SDK, а также большого числа интеграций с CI/CD-пайплайнами.
В одном инстансе можно создать тип сейфов «DevOps/CI-CD» и назначить команду разработчиков его администраторами. Отдельная DevOps-инсталляция оправдана при большом объёме машинных секретов, высокой частоте ротации и независимой команде разработки, которая должна управлять своим контуром без зависимости от общих администраторов.
Пассворк поддерживает API-first подход, CLI и SDK для работы с секретами, включая сценарии миграции, аудита и CI/CD-интеграций. Подробнее — в разделе документации «Пассворк как менеджер секретов».
Сравнение сценариев
| Критерий выбора | DevOps тип сейфов в общем Пассворке | Выделенный DevOps-контур (отдельный инстанс) |
|---|---|---|
| Объём и динамика секретов | Сравнительно небольшой стек; секреты создаются и меняются вручную или простыми скриптами | Сотни и тысячи динамических секретов; постоянный выпуск токенов в CI/CD-пайплайнах |
| Основные потребители | Сотрудники (разработчики, инженеры) и редкие обращения внешних скриптов | Преимущественно машины: CI/CD-раннеры, Kubernetes, Ansible, Terraform, микросервисы |
| Администрирование и права | Общие администраторы Пассворка контролируют глобальные настройки и доступ DevOps-команды | Полная автономия: DevOps- или Platform-команда сама управляет инстансом, API-ключами и лимитами |
| Частота и автоматизация ротации | Периодическая ручная смена паролей или полуавтоматическая ротация по регламенту | Высокочастотная автоматическая ротация (каждые 24 часа или чаще) через API/CLI |
| Логирование и аудит | Журнал действий DevOps-инженеров пишется в общую базу аудита компании | Выделенный журнал событий для мониторинга DevOps-активности без смешения с бизнес-логами |
| Изоляция сред и ИБ-риски | Допускается нахождение критических ИТ-паролей и DevOps-токенов в единой базе данных | Полная сетевая и логическая изоляция сред разработки и продакшена от корпоративного контура |
Как выбрать архитектуру: один или два контура
Выбор архитектуры сводится к вопросу: достаточно ли логической сегментации или данные требуют физической изоляции. Ответ зависит от размера компании, характера секретов, требований к администрированию и регуляторного контекста.
Критерии выбора архитектуры хранения секретов
| Критерий выбора | Достаточно одной инсталляции (логическая сегментация) | Необходимы две инсталляции (физическая изоляция) |
|---|---|---|
| Критичность данных | Уровень критичности данных позволяет использовать единый периметр безопасности для бизнес- и ИТ-секретов | Хранятся корневые доступы, ключи шифрования и пароли от защитных систем |
| Контроль метаданных | Допустима видимость структуры сейфов и названий папок для глобальных администраторов | Требуется полный запрет на видимость структуры сейфов и названий систем ИБ-контура для ИТ-персонала |
| Разделение полномочий | ИТ-департамент совмещает роли администратора платформы и её пользователя | ИБ-служба администрирует контур независимо, исключая доступ ИТ-специалистов |
| Регуляторные требования | Внутренние и внешние регламенты разрешают совместное хранение всех категорий секретов | Стандарты безопасности, модель угроз или регуляторы предписывают физическое разделение сред |
| Политики безопасности | Для всех пользователей действуют единые правила MFA, длины сессий и IP-ограничений | Для ИБ- или DevOps-контура необходимы изолированные и более жёсткие политики авторизации и API |
| Анализ инцидентов и аудит | Все события фиксируются в общем системном журнале без разделения по критичности | Требуется выделенный, защищённый от изменения аудит-лог только для ИБ- или инфраструктурных событий |
| Поддержка и эксплуатация | Приоритет — минимизация затрат на обслуживание, резервное копирование и обновление одной системы | Выделены ресурсы на сопровождение, обновление и резервное копирование двух независимых систем |
| Масштаб инфраструктуры | Локальные ИТ-сервисы, администрируемые единой командой | Холдинговая структура, филиальная сеть или изолированные среды разработки |
Если сомнения остаются, начните с одной инсталляции и строгой модели типов сейфов. Заранее задайте триггеры перехода ко второй: рост критичных секретов, запрет на видимость метаданных, независимый аудит, отдельные администраторы, требования регулятора или усложнение DevOps-сценариев.
Как внедрить выбранную модель
Внедрение начинается с классификации секретов. Без понимания того, какие данные компания хранит и кто ими владеет, любая архитектура — это структура ради структуры. Пошаговый план перехода к целевой модели:
- Классифицировать секреты. Разделить данные на категории: обычные, ИБ-критичные, инфраструктурные, DevOps, аварийные. После этого понятно, какие данные требуют какого уровня изоляции.
- Определить владельцев. Назначить ответственного бизнес- или технического владельца для каждого типа. У каждой категории секретов появляется ответственный.
- Оценить чувствительность метаданных. Проверить, где опасны даже названия систем, папок и сейфов. Это покажет, где логической изоляции недостаточно.
- Определить допустимых администраторов. Решить, кто может управлять контуром и кто не должен иметь технической видимости. Результат: понятная модель доверия и границы администрирования.
- Выбрать модель. Одна инсталляция, две локальные, локальный ИБ-контур плюс облачный бизнес-контур или отдельный контур разработки. Архитектурное решение принято и обосновано.
- Спроектировать типы сейфов. Создать целевую структуру сейфов, ролей, групп и правил создания. Итог: схема, которую можно реализовать и задокументировать.
- Настроить интеграции. LDAP/SSO, MFA, API/CLI/SDK, SIEM, резервное копирование и мониторинг. Каждая интеграция получает чёткие границы и ответственного.
- Ввести регулярную проверку прав. Проверять права, администраторов, журналы и структуру сейфов после изменений в командах и инфраструктуре.
Правильная архитектура начинается с классификации
Число инсталляций — следствие требований к изоляции. Одна инсталляция с продуманной моделью типов сейфов, ролями, LDAP/SSO, MFA и журналом действий закрывает потребности большинства компаний. Две инсталляции нужны там, где физическая изоляция данных, независимые администраторы и отдельный аудит — это обоснованное требование.
Практический первый шаг — провести классификацию секретов: какие данные компания хранит, кто ими владеет, какие метаданные чувствительны и кто допустим как администратор каждого контура. Ответы на эти вопросы определят архитектуру.
Пассворк поддерживает обе модели: логическое разделение через типы сейфов и роли в одной инсталляции, а также независимые локальные и облачные сценарии развёртывания — для организаций, где классификация секретов требует физического разделения.
Если вы проектируете архитектуру хранения секретов и хотите проверить, как выбранная модель работает на практике — протестируйте Пассворк бесплатно в своей инфраструктуре или в облаке и оцените его на реальных задачах. При покупке дополнительных инстансов расширенной версии действует скидка 10%.
Часто задаваемые вопросы
Нужна ли ИБ-отделу отдельная инсталляция Пассворка?
Отдельный инстанс необходим, если ИБ-отдел хранит секреты, которые не должны быть видны администраторам общего контура даже на уровне структуры: доступы к SIEM, EDR, SOAR, сканерам, аварийные доступы, SSH-ключи, API-токены и сервисные пароли. Если таких требований нет, достаточно одной инсталляции с типами сейфов, ролями, MFA и аудитом.
Когда достаточно одной инсталляции Пассворка?
Одной инсталляции достаточно, когда секреты можно разделить логически через типы сейфов, роли, группы, LDAP/SSO и права доступа, а администраторы платформы входят в доверенный контур. Это проще в эксплуатации и подходит большинству подразделений.
Чем физическое разделение лучше настройки прав доступа?
Физическое разделение снижает риск ошибок при распределении прав и скрывает ИБ-данные из общего контура на уровне отдельного экземпляра. Оно необходимо, когда критично защитить не только пароли, но и метаданные: названия сейфов, систем, папок и журналы активности ИБ-команды.
Что такое типы сейфов в Пассворке?
Типы сейфов — инструмент логической сегментации. Для каждого типа задаются администраторы, права создателя, роли и группы пользователей, а также ограничения на создание новых сейфов. При создании типа сейфа выбранные администраторы получают доступ автоматически и не могут быть удалены другими пользователями.
Может ли администратор общего инстанса видеть ИБ-сейфы?
Это зависит от модели ролей и прав, настроенных в системе. В Пассворке администратор может видеть список всех сейфов в системе, включая их названия и состав пользователей, если ему выданы полные права. Если сам факт существования ИБ-сейфов, их структура или названия не должны быть видны общему администрированию, нужно перенастроить систему ролей или рассмотреть отдельный ИБ-контур.
Как разделить личные, командные и инфраструктурные пароли?
Начните с классификации секретов, определите владельцев и создайте типы сейфов: личные, командные, ИТ, ИБ, DevOps, проектные и сервисные аккаунты. Для каждого типа задайте администраторов, права, MFA, аудит и даты аудита.
Как организовать аудит действий ИБ-команды?
При работе ИБ в общей инсталляции события фильтруются в общем журнале по ролям, сейфам и типам действий. Если требуется полностью чистый журнал только по ИБ-активности (без фонового шума от бизнес-подразделений), физически выделенный ИБ-контур Пассворка обеспечит изолированное логирование.
Какие секреты нельзя хранить в общих сейфах?
В общих сейфах не стоит хранить аварийные учётные записи, root/admin-доступы, токены EDR/SIEM/SOAR, SSH-ключи критичной инфраструктуры, API-ключи облаков и секреты, раскрытие метаданных которых может навредить безопасности.
Как понять, что компании пора переходить от одной инсталляции к двум?
Триггеры перехода: апрет на видимость ИБ-метаданных ИТ-администраторами, требование независимого аудита ИБ-действий, регуляторные требования (ФСТЭК, КИИ), необходимость применения более жестких политик безопасности (MFA, сессии, экспорт) или выделение изолированного DevOps/SRE-контура.
Илья Шелыгин
Анастасия Лебедева
Анастасия Лебедева