Tech Lead DevSecOps

Проект: enterprise-сервис с повышенными требованиями к контролю доступа, журналированию и отказоустойчивости.

Стек:

• Платформа: Linux, Kubernetes, Helm

• IaC и GitOps: Terraform, Argo CD

• CI и supply chain: GitLab CI, SAST/SCA, Trivy/Grype, SBOM, Cosign + policy enforcement

• Secrets и доверенные связи: Vault (в т.ч. PKI), mTLS; интеграции с корпоративными KMS/аппаратными модулями защиты (по применимости)

• Policy-as-code: Kyverno или OPA Gatekeeper (выбор и стандартизация)

• Observability: Prometheus/Grafana, OpenTelemetry, централизованные логи (Loki или Elastic/OpenSearch - единый стандарт)

• Edge/Ingress: Nginx или Envoy (единый стандарт), опционально service mesh (Istio)

Роль и зона ответственности:

• Техническое лидерство направления DevSecOps/платформенной безопасности: стандарты, архитектурные решения, roadmap и приоритизация.

• Построение и развитие Kubernetes security baseline: доступы (RBAC), политики, сегментация, требования к средам и деплою.

• Защищенная поставка (supply chain): правила допуска артефактов, подпись, SBOM, security gates и enforcement в Kubernetes.

• Организация процессов управления сертификатами и доверенными связями для сервисов и интеграций: mTLS/PKI, ротация, отзыв.

• Секрет-менеджмент и контроль чувствительных учетных данных: Vault, аудит, break-glass, модели доступа и минимизация прав.

• Эксплуатационная зрелость: алертинг, SLO, неизменяемость журналов (по применимости), участие в IR/BCP/DR и учениях.

• Координация интеграций с корпоративными средствами защиты (WAF/NGFW/SIEM/EDR/DLP) совместно с профильными командами.

• Менторинг и ревью: качество IaC, пайплайнов, политик, эксплуатационных процедур (runbooks).

Требования:

• Опыт лидерства/ownership: проектирование стандартов и контроль их исполнения (архитектура, безопасность, эксплуатация).

• Production-Kubernetes и опыт построения HA/DR для критичных сервисов (RTO/RPO, бэкапы, учения).

• Глубокая практика supply chain security: подпись артефактов, SBOM, security gates, политики допуска и блокировки по риску.

• Понимание модели доверия и ротации сертификатов (mTLS/PKI) для сервисов и интеграций.

• Опыт внедрения secret-management (Vault или аналоги), аудит, разграничение доступа, практики least privilege.

• Понимание интеграций с SIEM/EDR/WAF/NGFW: требования к событиям, ретеншн, надежная доставка журналов.

• Английский язык - техдок; опыт работы в РФ-контуре комплаенса - плюс (по применимости).

Будет плюсом:

• Практика аудитов/сертификаций (ISO 27001/PCI DSS/ФСТЭК/ФСБ) - по применимости.

• Опыт проведения threat modeling и участия в пентестах/разборах уязвимостей.

• Runtime security (например, Falco) и зрелые практики incident response.

Условия:

• Работа в компании с более чем 18-ти летним опытом и занимающей лидирующую позицию на рынке спецдепозитарных услуг;
• Удаленный формат работы из любой точки РФ;
• График работы ПН-ПТ с 9.00 до 18.00 (есть возможность изменения рабочего времени начала и окончания рабочего дня);
• Полное соблюдение ТК РФ ("белая" заработная плата, оплачиваемый отпуск, больничный лист);
• Отличные возможности для профессионального развития и самореализации;
• Расширенный социальный пакет (ДМС, оплата обедов, оплата театральных билетов, авиа/железнодорожных билетов, проездных абонементов);
• Насыщенная корпоративная жизнь как для сотрудников, так и для их детей.