Kubernetes & ФСТЭК 5 июня 2026 · 16 мин чтения

Kubernetes Deckhouse с сертификатом ФСТЭК: российский enterprise K8s

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. Deckhouse Kubernetes Platform — первое российское K8s решение с сертификатом ФСТЭК №4356. Для госсектора и банков это единственный способ легально использовать контейнеры в production. Разбираю практический опыт внедрения Deckhouse в региональном банке: 50 нод, 200+ микросервисов, соответствие требованиям ЦБ РФ.

Deckhouse vs vanilla Kubernetes: ключевые отличия

Аспект	Vanilla K8s	Deckhouse	Преимущество
Сертификация	Нет ФСТЭК	ФСТЭК №4356	Госсектор ready
Установка	Manual setup	Declarative installer	Zero-ops deployment
Мониторинг	DIY stack	Integrated Prometheus/Grafana	Out-of-box observability
Безопасность	Manual hardening	Security by design	ФСТЭК compliance
Поддержка	Community	Enterprise 24/7	Russian timezone

Production кейс: региональный банк

Архитектура Deckhouse для банковской инфраструктуры:

# Deckhouse cluster configuration
apiVersion: deckhouse.io/v1
kind: ClusterConfiguration
metadata:
  name: bank-production
clusterType: Static
podSubnetCIDR: "10.111.0.0/16"
serviceSubnetCIDR: "10.222.0.0/16"
kubernetesVersion: "1.28"
clusterDomain: "cluster.local"
---
# ФСТЭК compliance modules
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: security-policies
spec:
  enabled: true
  settings:
    enforcementMode: "strict"
    podSecurityStandards: "restricted"
    networkPolicies: "deny-all-default"
    auditPolicy: "fstec-compliant"

Безопасность по стандартам ФСТЭК

Мандатное разграничение доступа — интеграция с МЭ «Заря»
Аудит всех операций — k8s audit + Deckhouse events
Шифрование данных — etcd encryption + pod-to-pod TLS
Network isolation — Calico with ФСТЭК policies
Container security — image scanning + runtime protection

Интеграция с российскими SIEM

# MaxPatrol SIEM integration
apiVersion: deckhouse.io/v1alpha1
kind: DeckHouseConfig
metadata:
  name: siem-integration
spec:
  auditPolicy:
    rules:
    - level: "RequestResponse"
      namespaces: ["production", "critical"]
      verbs: ["create", "update", "delete"]
      resources:
      - group: ""
        resources: ["pods", "services", "secrets"]

    webhook:
      config:
        endpoint: "https://maxpatrol.bank.local/api/k8s-events"
        headers:
          Authorization: "Bearer ${SIEM_TOKEN}"

Нужна помощь с Deckhouse?

Внедрили Deckhouse для 15+ российских enterprise. Поможем с migration planning, ФСТЭК compliance, production hardening.

Написать на boss@itfresh.ru или Telegram @ITfresh_Boss

TCO и лицензирование

Стоимость Deckhouse для enterprise (3 года):

Компонент	Standard	Enterprise	Enterprise + Support
Лицензия (до 50 нод)	Free	3.6M₽	7.2M₽
Поддержка 24/7	Community	Опционально	Включена
ФСТЭК сертификат	Нет	Да	Да
Professional services	Нет	Отдельно	Скидка 30%

Migration с vanilla Kubernetes

# Migration strategy
# 1. Backup existing workloads
kubectl get all --all-namespaces -o yaml > k8s-backup.yaml

# 2. Install Deckhouse
curl -L https://deckhouse.io/install.sh | bash -s -- \
  --cluster-type=existing \
  --config=deckhouse-config.yaml

# 3. Migrate workloads gradually
# Namespace-by-namespace approach
kubectl label namespace production deckhouse.io/migrated=true

# 4. Enable ФСТЭК modules
kubectl apply -f fstec-compliance.yaml

Production опыт: что работает хорошо

Автоматические обновления — zero-downtime K8s upgrades
Russian support — техподдержка на русском языке
Compliance reporting — готовые отчеты для ФСТЭК аудита
Integrated stack — мониторинг, логи, алерты из коробки
Multi-cloud — работает в Yandex.Cloud, VK Cloud, on-premises

Что может быть лучше

Документация — не хватает enterprise use cases
Vendor lock-in — сложно мигрировать обратно на vanilla K8s
Экосистема — меньше community modules vs Helm charts
Цена — дороже чем DIY подход

Заключение: когда выбирать Deckhouse

Обязательно для:

Госсектора (ФСТЭК обязательно)
Банков (требования ЦБ РФ)
Критичных систем с высокими SLA

Рассмотреть для:

Команд без глубокой K8s экспертизы
Проектов с жесткими deadline
Enterprise с budget на поддержку

Deckhouse — mature российское решение для enterprise Kubernetes. ФСТЭК сертификат делает его единственным вариантом для regulated industries.