Ленинградский проспект 35с1
ЧЕМ ПРЕДСТОИТ ЗАНИМАТЬСЯ:
- Участвовать в разработке рекомендаций по настройке и эксплуатации CI/CD инфраструктуры, средств и систем обеспечения информационной безопасности;
- Участвовать в работах по внесению изменений в конфигурацию CI/CD инфраструктуры и контролировать соответствие конфигураций требованиям по обеспечению ИБ;
- Взаимодействовать с командами DevOps и разработки для интеграции инструментов безопасности;
- Оказывать содействие в расследовании инцидентов информационной безопасности в разрабатываемых или модернизируемых информационных системах;
- Участвовать в проведении внутреннего аудита (самоконтроля) состояния ИБ для разрабатываемых или модернизируемых информационных систем, а также CI/CD инфраструктуры;
- Участвовать во внедрении практик и инструментов обеспечения безопасной разработки систем;
- Участвовать в процессах Threat Modeling и анализе рисков безопасности на уровне CI/CD;
- Проводить контрольные мероприятия по проверке устранения уязвимостей в ИС, в т.ч. CI/CD инфраструктуры.
ЧТО ДЛЯ НАС ВАЖНО:
- Опыт работы в сфере информационной безопасности от 1 года;
- Понимание принципов обеспечения непрерывности работы конвейера безопасной разработки (DevSecOps);
- Теоретические знания по обеспечению защитных мер в информационных системах, контейнерных средах: SELinux, AppArmor, seccomp, gVisor, Namespace, Cgroup и т.д., практический опыт приветствуется;
- Опыт работы с инструментами: Gitlab CI, Nexus, Hashicorp Vault, Luntry, Falco, DefectDojo или аналоги;
- Практический опыт развёртывания и настройки кластера k8s;
- Практический опыт проведения аудита кластера k8s на соответствие стандарту "CIS Kubernetes Benchmark" с вынесением соответствующих рекомендаций;
- Практический опыт в настройке средств сетевой безопасности в оркестраторах контейнерных сред: Calico, Cilium, Istio, и т.д.
НАШИ ПОЖЕЛАНИЯ К СОИСКАТЕЛЮ:
- Опыт работы в области информационной безопасности, DevSecOps или инженерии безопасности CI/CD;
- Понимание процессов CI/CD и инструментов автоматизации (GitLab CI/CD, ArgoCD, AWX, Terraform);
- Опыт работы с инструментами безопасности CI/CD, такими как: SAST, DAST, SCA;
- Владение языками программирования и скриптинга (Python, Bash, Go) для автоматизации задач безопасности;
- Знание стандартов безопасности (OWASP Top 10) и концепций Zero Trust, Shift-Left;
- Понимание инструментов управления секретами (HashiCorp Vault, AWS Secrets Manager и аналоги);
- Навыки выявления и устранения уязвимостей в приложениях и инфраструктуре;
- Понимание подхода IaC, знание инструментов (Terraform, Ansible либо аналоги), настройка механизмов контроля безопасности;
- Знание средств обеспечения безопасности k8s: Admission Controllers, Policy Engine и т.д.;
- Знание стандартов CIS (в части ОС, Docker, Kubernetes);
- Опыт внедрения практик безопасности на всех этапах жизненного цикла разработки (SDLC), включая концепцию Shift-Left Security.
