Welke secrets manager kies je? Vault/OpenBao, ESO, Sealed Secrets, Conjur of Doppler
Vijf secrets-managementoplossingen, vijf verschillende uitgangspunten. Deze keuzehulp zet ze naast elkaar en helpt je op basis van je situatie de juiste te kiezen — met links naar elk uitgewerkt artikel.
We hebben inmiddels vijf secrets-managementoplossingen apart uitgelegd: OpenBao/Vault, External Secrets Operator, Sealed Secrets, CyberArk Conjur en Doppler. Logische volgende vraag: welke kies je? Dit artikel zet ze naast elkaar, zodat je op basis van je eigen situatie kunt kiezen in plaats van vijf losse artikelen te moeten doorworstelen.
Vergelijkingstabel
| Tool | Type | Externe afhankelijkheid | Meest geschikt voor |
|---|---|---|---|
| OpenBao/Vault | Zelf-gehoste centrale secrets manager | Nee (is zelf de bron) | Teams die volledige controle en dynamische, tijdelijke credentials willen |
| External Secrets Operator | Kubernetes-operator (synchronisatie) | Ja, vereist een bestaande secrets manager | Organisaties die al Vault/AWS/Azure gebruiken en dat naar Kubernetes willen syncen |
| Sealed Secrets | Versleuteling voor in Git | Nee, volledig zelfstandig | Kleine teams die simpel, GitOps-vriendelijk willen beginnen zonder extra infrastructuur |
| CyberArk Conjur | Enterprise secrets manager | Nee (is zelf de bron), vaak gekoppeld aan CyberArk PAM | Gereguleerde, enterprise-omgevingen met machine-identiteit-authenticatie |
| Doppler | Beheerde SaaS-secrets manager | Ja (cloud-dienst) | Kleine teams/startups die snel, developer-vriendelijk secrets willen beheren zonder zelf te hosten |
Concrete scenario's
- "We hebben al Vault draaien voor andere doeleinden" → Zet de External Secrets Operator ertussen om die geheimen naar Kubernetes te syncen, in plaats van een tweede, aparte secrets-oplossing te introduceren.
- "We zijn een klein team, alles staat al in Git via Argo CD" → Sealed Secrets sluit naadloos aan zonder extra infrastructuur te hoeven draaien of onderhouden.
- "We werken al met CyberArk PAM, of moeten aantoonbaar compliant zijn (SOC 1/SOC 2, financiële sector)" → CyberArk Conjur, mogelijk met de SOC 1-controles als leidraad voor wat je moet aantonen.
- "We zijn een klein team/startup en willen vooral snel en simpel, ook buiten Kubernetes (lokale ontwikkeling, CI/CD)" → Doppler.
- "We hebben nog helemaal niets, en willen zelf de volledige controle" → Begin met OpenBao/Vault als centrale bron, eventueel later aangevuld met ESO voor Kubernetes-synchronisatie.
Examentip: Deze tools sluiten elkaar vaak niet uit. Een veelvoorkomende combinatie: OpenBao/Vault als centrale bron van waarheid, met de External Secrets Operator om specifieke geheimen naar Kubernetes te syncen — twee tools, één samenhangende architectuur.
Verder lezen
Elk van de vijf tools heeft een eigen conceptartikel en, waar relevant, een praktische installatiegids met echte Helm-commando's en configuratievoorbeelden: