Эксперт по безопасности облачной инфраструктуры (OpenStack, Kubernetes)

Москва, Преображенская площадь, 8

Метро: Преображенская площадь

Описание вакансии

Positive Technologies уже 20 лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявлять, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в IT-инфраструктуре предприятий. Наши технологии построены на многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности.

Мы в поиске Эксперта по безопасности облачной инфраструктуры, который будет обеспечивать безопасность и соответствие требованиям гибридной облачной платформы на базе OpenStack и контейнерной платформы на базе Kubernetes.

Обязанности:

Обеспечение безопасности платформы OpenStack:

Проведение регулярных аудитов безопасности и hardening компонентов OpenStack (Nova, Neutron, Cinder, Keystone, Horizon и др.) в соответствии с лучшими практиками (CIS OpenStack Benchmark);
Харденинг базовой операционной системы на всех узлах (control, compute, storage) под управлением Linux;
Проработка ролевой модели доступа (RBAC) в Keystone по принципу наименьших привилегий;
Проработка интеграции центра аутентификации Keystone с корпоративными IDP (например, через SAML/OpenID Connect) для реализации единого входа (SSO) и многофакторной аутентификации (MFA);
Периодический аудит выданных токенов и прав доступа пользователей и сервисов;
Аудит конфигурации виртуальных фаерволов (Security Groups, FWaaS) для изоляции трафика между тенантами и приложениями;
Анализ и обеспечение безопасности overlay-сетей (VXLAN, GRE);
Реализация и проверка сетевых политик, предотвращающих ARP-spoofing, IP/MAC-spoofing и другие атаки на уровне L2-L4.

Обеспечение безопасности контейнерной платформы (Kubernetes):

Аудит и обеспечение соответствия кластера Kubernetes рекомендациям CIS Kubernetes Benchmark;
Безопасная настройка компонентов control-plane (etcd, kube-apiserver, scheduler, controller-manager) и worker-nodes;
Проработка ролевых моделей (Role, ClusterRole) для пользователей и сервис-аккаунтов;
Периодический аудит прав доступа, особенно привилегированных сервис-аккаунтов;
Интеграция с корпоративной системой аутентификации;
Аудит сетевых политик (Network Policies) для изоляции трафика между неймспейсами и подами;
Экспертиза и обеспечение безопасности CNI-плагинов (Calico, Cilium, WeaveNet);
Внедрение политик безопасности pod'ов (Pod Security Standards/Admission Controllers) для запрета запуска привилегированных контейнеров;
Сканирование образов контейнеров (Image Scanning) на наличие уязвимостей (CVE) в реестрах и на этапе CI/CD;
Анализ манифестов на предмет misconfigurations (с помощью инструментов like kubeaudit, kubesec).

Требования:

Глубокое знание Linux на уровне администратора;
Понимание принципов виртуализации (KVM) и контейнеризации (Docker, containerd);
Продвинутые знания сетевых технологий: VLAN, VXLAN, BGP, VPN, Firewalling (iptables/nftables), Linux bridge;
Опыт работы с компонентами программно-определяемых сетей (SDN);
Практический опыт работы с Kubernetes (администрирование, безопасность);
Понимание и практический опыт применения подходов Infrastructure as Code (Terraform, Ansible) и GitOps (ArgoCD, Flux);
Умение читать и писать код на Python/Go/Bash для автоматизации задач.

Будет плюсом:

Опыт работы с OpenStack: понимание архитектуры и опыт администрирования/обеспечения безопасности ключевых сервисов (Nova, Neutron, Keystone, Cinder);
Опыт работы с системами управления секретами (HashiCorp Vault);
Знание стандартов безопасности: CIS Benchmarks, NIST, MITRE ATT&CK Framework.

Условия:

Гибридный формат работы, гибкое начало рабочего дня;
Условия для постоянного развития: внешние и внутренние образовательные программы, митапы, научпоп-лекции, экспертное обучение, обучение для руководителей и не только;
Гибкий подход к отдыху: 28 календарных дней отпуска, доплату отпускных до полного оклада и 10 day off в год;
Заботу о здоровье: ДМС с первой недели работы, включая стоматологию, ежегодный чекап;
Компенсацию до 50% расходов на занятия спортом и английским языком в рамках ежегодного бюджета;
Работу в аккредитованной ИТ-компании и возможность использования льгот Министерства цифрового развития.