Ook interessant Op zoek naar AI-certificering? Bezoek ons zusje-platform Route-to-AI.com
⏱ 6 min. lezen welke secrets manager kiezen vergelijking

Welke secrets manager kies je? Vault/OpenBao, ESO, Sealed Secrets, Conjur of Doppler

Vijf secrets-managementoplossingen, vijf verschillende uitgangspunten. Deze keuzehulp zet ze naast elkaar en helpt je op basis van je situatie de juiste te kiezen — met links naar elk uitgewerkt artikel.

We hebben inmiddels vijf secrets-managementoplossingen apart uitgelegd: OpenBao/Vault, External Secrets Operator, Sealed Secrets, CyberArk Conjur en Doppler. Logische volgende vraag: welke kies je? Dit artikel zet ze naast elkaar, zodat je op basis van je eigen situatie kunt kiezen in plaats van vijf losse artikelen te moeten doorworstelen.

Wat is je situatie? Al een centrale secrets manager (Vault/AWS/Azure)? Klein team, alles in Git via GitOps? Enterprise/gereguleerd, machine-identiteit nodig? External Secrets Operator Sealed Secrets CyberArk Conjur Geen van bovenstaande? → Vault/OpenBao of Doppler

Vergelijkingstabel

ToolTypeExterne afhankelijkheidMeest geschikt voor
OpenBao/VaultZelf-gehoste centrale secrets managerNee (is zelf de bron)Teams die volledige controle en dynamische, tijdelijke credentials willen
External Secrets OperatorKubernetes-operator (synchronisatie)Ja, vereist een bestaande secrets managerOrganisaties die al Vault/AWS/Azure gebruiken en dat naar Kubernetes willen syncen
Sealed SecretsVersleuteling voor in GitNee, volledig zelfstandigKleine teams die simpel, GitOps-vriendelijk willen beginnen zonder extra infrastructuur
CyberArk ConjurEnterprise secrets managerNee (is zelf de bron), vaak gekoppeld aan CyberArk PAMGereguleerde, enterprise-omgevingen met machine-identiteit-authenticatie
DopplerBeheerde SaaS-secrets managerJa (cloud-dienst)Kleine teams/startups die snel, developer-vriendelijk secrets willen beheren zonder zelf te hosten

Concrete scenario's

  • "We hebben al Vault draaien voor andere doeleinden" → Zet de External Secrets Operator ertussen om die geheimen naar Kubernetes te syncen, in plaats van een tweede, aparte secrets-oplossing te introduceren.
  • "We zijn een klein team, alles staat al in Git via Argo CD"Sealed Secrets sluit naadloos aan zonder extra infrastructuur te hoeven draaien of onderhouden.
  • "We werken al met CyberArk PAM, of moeten aantoonbaar compliant zijn (SOC 1/SOC 2, financiële sector)"CyberArk Conjur, mogelijk met de SOC 1-controles als leidraad voor wat je moet aantonen.
  • "We zijn een klein team/startup en willen vooral snel en simpel, ook buiten Kubernetes (lokale ontwikkeling, CI/CD)"Doppler.
  • "We hebben nog helemaal niets, en willen zelf de volledige controle" → Begin met OpenBao/Vault als centrale bron, eventueel later aangevuld met ESO voor Kubernetes-synchronisatie.
Examentip: Deze tools sluiten elkaar vaak niet uit. Een veelvoorkomende combinatie: OpenBao/Vault als centrale bron van waarheid, met de External Secrets Operator om specifieke geheimen naar Kubernetes te syncen — twee tools, één samenhangende architectuur.

Verder lezen

Elk van de vijf tools heeft een eigen conceptartikel en, waar relevant, een praktische installatiegids met echte Helm-commando's en configuratievoorbeelden: