Эксперт по безопасности облачной инфраструктуры (OpenStack, Kubernetes)( Positive Technologies )

Компания "Positive Technologies"

• Проведение регулярных аудитов безопасности и hardening компонентов OpenStack (Nova, Neutron, Cinder, Keystone, Horizon и др.) в соответствии с лучшими практиками (CIS OpenStack Benchmark);
• Харденинг базовой операционной системы на всех узлах (control, compute, storage) под управлением Linux;
• Проработка ролевой модели доступа (RBAC) в Keystone по принципу наименьших привилегий;
• Проработка интеграции центра аутентификации Keystone с корпоративными IDP (например, через SAML/OpenID Connect) для реализации единого входа (SSO) и многофакторной аутентификации (MFA);
• Периодический аудит выданных токенов и прав доступа пользователей и сервисов;
• Аудит конфигурации виртуальных фаерволов (Security Groups, FWaaS) для изоляции трафика между тенантами и приложениями;
• Анализ и обеспечение безопасности overlay-сетей (VXLAN, GRE);
• Реализация и проверка сетевых политик, предотвращающих ARP-spoofing, IP/MAC-spoofing и другие атаки на уровне L2-L4.

• Аудит и обеспечение соответствия кластера Kubernetes рекомендациям CIS Kubernetes Benchmark;
• Безопасная настройка компонентов control-plane (etcd, kube-apiserver, scheduler, controller-manager) и worker-nodes;
• Проработка ролевых моделей (Role, ClusterRole) для пользователей и сервис-аккаунтов;
• Периодический аудит прав доступа, особенно привилегированных сервис-аккаунтов;
• Интеграция с корпоративной системой аутентификации;
• Аудит сетевых политик (Network Policies) для изоляции трафика между неймспейсами и подами;
• Экспертиза и обеспечение безопасности CNI-плагинов (Calico, Cilium, WeaveNet);
• Внедрение политик безопасности pod'ов (Pod Security Standards/Admission Controllers) для запрета запуска привилегированных контейнеров;
• Сканирование образов контейнеров (Image Scanning) на наличие уязвимостей (CVE) в реестрах и на этапе CI/CD;
• Анализ манифестов на предмет misconfigurations (с помощью инструментов like kubeaudit, kubesec).

• Глубокое знание Linux на уровне администратора;
• Понимание принципов виртуализации (KVM) и контейнеризации (Docker, containerd);
• Продвинутые знания сетевых технологий: VLAN, VXLAN, BGP, VPN, Firewalling (iptables/nftables), Linux bridge;
• Опыт работы с компонентами программно-определяемых сетей (SDN);
• Практический опыт работы с Kubernetes (администрирование, безопасность);
• Понимание и практический опыт применения подходов Infrastructure as Code (Terraform, Ansible) и GitOps (ArgoCD, Flux);
• Умение читать и писать код на Python/Go/Bash для автоматизации задач.

• Опыт работы с OpenStack: понимание архитектуры и опыт администрирования/обеспечения безопасности ключевых сервисов (Nova, Neutron, Keystone, Cinder);
• Опыт работы с системами управления секретами (HashiCorp Vault);
• Знание стандартов безопасности: CIS Benchmarks, NIST, MITRE ATT&CK Framework.

• Гибридный формат работы, гибкое начало рабочего дня;
• Условия для постоянного развития: внешние и внутренние образовательные программы, митапы, научпоп-лекции, экспертное обучение, обучение для руководителей и не только;
• Гибкий подход к отдыху: 28 календарных дней отпуска, доплату отпускных до полного оклада и 10 day off в год;
• Заботу о здоровье: ДМС с первой недели работы, включая стоматологию, ежегодный чекап;
• Компенсацию до 50% расходов на занятия спортом и английским языком в рамках ежегодного бюджета;
• Работу в аккредитованной ИТ-компании и возможность использования льгот Министерства цифрового развития.

Открыть контакты работодателя

Зарегистрируйтесь или войдите, чтобы открыть контакты работодателя