Что такое BearPass Cloud и чем отличается от on-premise: полный разбор
Когда компания решает внедрить корпоративный менеджер паролей, первый вопрос звучит так: на своём сервере или в облаке? Это не технический вопрос — это вопрос о том, какой уровень контроля, какая инфраструктура и какие ресурсы у вашей команды прямо сейчас.
BearPass существует в двух версиях: облачной (BearPass Cloud) и локальной (on-premise). Обе сделаны одной командой, решают одну задачу — безопасное управление корпоративными паролями — но созданы для разных ситуаций. В этой статье разбираем каждую версию честно и без маркетинговых упрощений.
BearPass Cloud: менеджер паролей без серверов
BearPass Cloud — это облачная версия продукта, доступная по адресу cloud.bearpass.ru. Вам не нужен собственный сервер, не нужен системный администратор для развёртывания, не нужна инфраструктура. Зарегистрировались, пригласили коллег — и работаете.
Как устроено шифрование в облачной версии
Главный вопрос который возникает при слове «облако» в контексте паролей: а команда BearPass видит мои пароли? Ответ — нет. Архитектура построена по принципу zero-knowledge: даже разработчики продукта технически не имеют доступа к содержимому хранилища.
Вот как это работает. При регистрации вы задаёте мастер-пароль. В этот момент система генерирует пару RSA-2048 ключей. На основе вашего мастер-пароля и уникальной случайной соли алгоритм PBKDF2 с 350 000 итерациями создаёт ключ шифрования. Этим ключом шифруется ваш приватный ключ по алгоритму AES-256-GCM — и только зашифрованная версия отправляется на сервер. Мастер-пароль и расшифрованный приватный ключ никогда не покидают ваше устройство.
Каждый пароль шифруется отдельным случайным ключом прямо на клиенте — до отправки на сервер. Сервер хранит только зашифрованные данные, которые невозможно прочитать без вашего мастер-пароля.
Кому подходит BearPass Cloud
Облачная версия создана для трёх типичных ситуаций.
Нет IT-инфраструктуры. Небольшая компания без штатного системного администратора, без собственных серверов. Тратить время и деньги на развёртывание и поддержку локальной системы нецелесообразно.
Не нужны сложные интеграции. Если в компании нет Active Directory, не нужна синхронизация с LDAP, нет требований к SSO — облако закрывает базовые задачи управления паролями без лишней сложности.
Нужно быстро. Зарегистрироваться и начать работу в облаке можно за несколько минут. Это особенно актуально для стартапов и растущих команд, где скорость важнее кастомизации.
Сколько стоит BearPass Cloud
Личное использование — бесплатно навсегда, до 100 элементов. Личные пароли нельзя шарить другим пользователям.
Командная работа — 7 дней бесплатно, затем 3 рубля в день за одного пользователя в одной организации. Простая ценовая модель без скрытых платежей.
BearPass on-premise: менеджер паролей на вашем сервере
On-premise версия BearPass разворачивается на серверах самой компании. Данные не покидают ваш периметр — они хранятся там, где вы решите: на физическом сервере в офисе, в корпоративном дата-центре или в российском сертифицированном облаке.
Это принципиально другой уровень контроля. Вы управляете не только паролями, но и всей инфраструктурой, на которой они хранятся.
Что получаете с on-premise версией
Полный контроль над данными. Никакой третьей стороны в цепочке хранения. Вы знаете где физически находятся данные, кто имеет доступ к серверу, как настроено резервное копирование.
Интеграция с корпоративной инфраструктурой. LDAP и Active Directory — синхронизация пользователей автоматическая. Сотрудник появился в AD — появился в BearPass с нужными правами. Уволен в AD — потерял доступ в BearPass без ручных действий. Поддерживаются Microsoft Active Directory, OpenLDAP, ALD Pro (Astra Linux), РЕД ОС Directory.
SSO и единый вход. Сотрудники входят в BearPass через корпоративный аккаунт — без отдельного пароля. Подтверждённые интеграции: Keycloak, Мультифактор, Google Workspace.
Гибкий RBAC. Ролевая модель с гранулярными правами на уровне папок и отдельных записей. Разные уровни доступа: только просмотр, редактирование, администрирование. Группы пользователей, маппинг ролей из AD.
Пространства. Изоляция данных по филиалам, проектам или отделам внутри одной установки. Один сервер — несколько независимых контуров с полной изоляцией.
Журнал событий и аудит. Каждое действие зафиксировано: авторизации, просмотры паролей, экспорт, изменение прав. Экспорт в SIEM через syslog.
Kill Switch. Один клик — все сессии пользователя завершены на всех устройствах одновременно. Незаменимо при увольнении.
Модуль «Правила». Автоматические уведомления и блокировки при заданных событиях.
API и CLI. REST API с JWT-аутентификацией для интеграции в CI/CD пайплайны. CLI-интерфейс для автоматизации.
Шифрование по ГОСТ. Помимо AES-256 — поддержка российских криптографических стандартов.
Реестр Минцифры №15427. Обязательное требование для объектов КИИ и госсектора при импортозамещении. Закупка по 44-ФЗ и 223-ФЗ.
Кому подходит BearPass on-premise
Компаниям с требованиями к локализации данных. Финансовый сектор, госструктуры, промышленность — там, где данные не могут покидать периметр по регуляторным или внутренним требованиям.
Организациям с корпоративной IT-инфраструктурой. Есть Active Directory, есть IT-специалисты, есть потребность в интеграции с существующими системами.
Субъектам КИИ и госсектору. Требования указа Президента №166 об импортозамещении обязывают использовать ПО из Реестра Минцифры. On-premise BearPass соответствует этому требованию.
Компаниям с требованиями ФСТЭК и 152-ФЗ. Журнал событий, RBAC, управление жизненным циклом учётных записей — всё необходимое для выполнения технических мер по приказам ФСТЭК №17, №21 и новому №117.
Развёртывание и стоимость
Развёртывание через Docker занимает 1–2 часа. Нативная установка на Linux — Debian, Ubuntu, CentOS, Astra Linux, РЕД ОС.
До 5 пользователей — бесплатно навсегда без ограничений по функционалу. Тариф «Бизнес» — 2 160 рублей за пользователя в год, при своевременном продлении скидка 50%.
Как выбрать: три вопроса которые дадут ответ
Вопрос 1. Есть ли у вас требования к локализации данных?
Если компания работает в финансовом секторе, госструктурах, является субъектом КИИ или просто требует чтобы данные хранились на своих серверах — это on-premise. Данные в облачной версии хранятся на серверах BearPass, и несмотря на zero-knowledge шифрование, физически данные находятся не у вас.
Вопрос 2. Есть ли у вас корпоративный каталог пользователей?
Если в компании есть Active Directory или LDAP и вы хотите синхронизацию пользователей, автоматический onboarding и offboarding — это on-premise. Облачная версия не поддерживает интеграцию с корпоративными каталогами.
Вопрос 3. Нужны ли вам расширенные возможности управления?
Пространства для изоляции по филиалам, Kill Switch, модуль «Правила», API для CI/CD, гибкий RBAC — всё это только в on-premise версии. Если нужны базовые функции: хранить пароли, делиться с командой, использовать браузерное расширение — облако справляется.
Что общего у обеих версий
Несмотря на различия, обе версии разработаны одной командой и разделяют общее ядро функциональности.
Хранение и организация паролей. Гибкая структура папок, теги, избранное, кастомные поля, иконки. Персональные хранилища с отдельным ключом шифрования.
Браузерное расширение. Поддержка Chrome, Яндекс.Браузера, Firefox, Opera, Edge. Автозаполнение форм, создание и редактирование записей прямо из браузера. Начиная с версии 1.11.0 расширение поддерживает обе версии — и Cloud, и on-premise.
Проверка паролей. Проверка надёжности, выявление слабых, старых и скомпрометированных паролей через базы утечек.
Безопасный шаринг. Передача доступа через временные ссылки с ограниченным сроком действия.
Двухфакторная аутентификация. TOTP (Google Authenticator и аналоги), биометрия.
Журналирование событий. В обеих версиях фиксируются действия пользователей — с разной глубиной и возможностями экспорта.
PWA-приложение. Доступ с мобильного устройства через браузер без установки из магазина приложений.
Можно ли перейти с Cloud на on-premise?
Да. Если вы начали с облачной версии и поняли что нужен on-premise — данные можно экспортировать и импортировать в локальную установку. Это стандартная процедура миграции, не требующая специальных инструментов.
Обратный переход — с on-premise на Cloud — также возможен через экспорт/импорт.
Итог
BearPass Cloud и on-premise — это две версии одного продукта для разных контекстов, а не конкурирующие решения.
Выбирайте Cloud если: небольшая команда, нет собственных серверов, не нужны LDAP и расширенные интеграции, важна скорость старта.
Выбирайте on-premise если: данные должны храниться на ваших серверах, есть Active Directory, нужны RBAC, API, Пространства, Kill Switch, соответствие ФСТЭК и 152-ФЗ, Реестр Минцифры.
Для большинства компаний от 20 сотрудников с корпоративной IT-инфраструктурой правильный выбор — on-premise. Для небольших команд и личного использования — Cloud закрывает задачу быстро и без сложностей.