Der Infrastruktur-Sicherheitsingenieur ist ein Einhorn unter den Vollblütern

Ein Team bei einer kürzlich stattgefundenen Cloud-Native-Branchenveranstaltung lachte laut, als es uns sagte: „Wir sind gerade aus einem Gespräch herausgekommen und offenbar sind wir jetzt Infrastruktur-Sicherheitsingenieure.“ Angesichts der grassierenden Entlassungen in der Technologiebranche liegt der Belustigung über Berufsbezeichnungen eine echte Unsicherheit darüber zugrunde, welche Erwartungen man hat, in dieser neuen Rolle und dem damit verbundenen Ökosystem erfolgreich zu sein.

Im Zeitalter von Kubernetes und der Bereitstellung nativer Cloud-Anwendungen ist der Infrastruktur-Sicherheitsingenieur eine wertvolle Anstellung. Aber in Dutzenden von Stellenbeschreibungen und Interviews mit Praktikern haben wir herausgefunden, dass diese Rolle eine äußerst schwierige Herausforderung darstellt: sowohl im indirekten Einfluss als auch in den harten technischen Fähigkeiten der Beste zu sein.

Was ist überhaupt Infrastruktursicherheitstechnik? Das Infrastruktur- oder Cloud-Sicherheitsteam sitzt (keine Überraschung) auf der Infrastrukturebene und nicht auf der Anwendungsebene. Dabei geht es ihnen vor allem um die Bereitstellung und die laufende Cloud-Umgebung.

Das erste, was man über diese Rolle verstehen muss, ist, wie viel Modell der geteilten Verantwortung für Cloud-Sicherheit verlangt von ihnen. Im Fall von verwaltete Kubernetes-Plattformenkönnen wir von einem allgemeinen PaaS-Modell ausgehen. Dies impliziert ein Modell der geteilten Verantwortung, das nahezu das bedeutet gesamte Konfiguration der Cloud in den Händen der Infrastruktursicherheitsrolle. In Googles eigenen Worten: „Für GKE sind Sie für den Schutz Ihrer Worker-Knoten verantwortlich, einschließlich der Bereitstellung von Patches für das Betriebssystem, die Laufzeit- und Kubernetes-Komponenten und natürlich für die Sicherung Ihrer eigenen Arbeitslast.“

Aber das Modell der geteilten Verantwortung ist nur der Anfang. Keine Rolle existiert im luftleeren Raum, und die dritthäufigste Anforderung in dieser Rolle ist neben dem Schwachstellenmanagement und dem Bleiben über Trends in diesem Bereich die Verbreitung von Best Practices in anderen Teams der Organisation. Wie ein Personalmanager es ausdrückte: „Ihre Hauptverantwortung wird darin bestehen, sicherzustellen, dass unsere Technikteams bewährte Sicherheitspraktiken in ihre Arbeitsabläufe integrieren und sichere Produkte und Dienstleistungen liefern.“

Es ist mit einer inhärenten Reibung verbunden, von einem Entwicklungsteam etwas zu verlangen, das den Fluss neuer Funktionen in die Produktion verlangsamen könnte, selbst wenn sich gezeigt hat, dass Teams dies tun Integrieren Sie Sicherheit in Ihre DevOps-Prozesse liefern tatsächlich schneller.

Was Infrastruktursicherheitsingenieure brauchen, um erfolgreich zu sein

Was glauben Personalmanager, dass Kandidaten in der gerade beschriebenen Rolle erfolgreich sein werden? Es überrascht nicht, dass die dritthäufigste Voraussetzung für diese Rolle – nach praktischer Erfahrung mit Cloud-Plattformen und Netzwerken – die Beherrschung von Skriptsprachen in Kombination mit praktischer Erfahrung in einer beliebigen Kombination davon ist IaC, Terraform und die CI/CD-Pipeline. Warum? Denn wenn Sie Bereitstellungen noch nie mit Code automatisiert haben, ist es unmöglich, den Entwicklern, die täglich daran arbeiten, bewährte Sicherheitspraktiken mitzuteilen.

Die letzte gemeinsame Anforderung in einer Infrastruktursicherheitsrolle ist ein tiefgreifendes Verständnis der End-to-End-Entwicklungspipeline. Wenn ein Sicherheitsingenieur täglich über die neuesten Entwicklungen in der Cloud auf dem Laufenden bleiben, Einfluss auf die Entwicklung nehmen und Cloud-Schwachstellen verwalten möchte, muss er ein Verständnis für Effizienz, das Zusammenspiel aller Zusammenhänge und die Priorisierung haben .

Hier noch einige weitere Tipps unserer Interviewpartner:

• „Wenn Sie nur auf die Cloud schauen, vergessen Sie Kubernetes nicht. Obwohl es heutzutage in den meisten Fällen über verwaltete Cloud-Dienste bereitgestellt wird, kann es nicht auf die gleiche Weise angegangen werden, wie man Schwachstellen in Cloud-Umgebungen beheben würde.“ — Direktor für Cloud-Sicherheit
• „Triage ist entscheidend. Wenn meine Teams in der Vergangenheit scheiterten, lag das meist daran, dass wir ständig auf der Suche nach glänzenden Dingen waren. Indem wir bei der Priorisierung diszipliniert und methodisch vorgehen, bewahren wir die Gewissheit, dass wir (fast) jederzeit an den richtigen Problemen arbeiten.“ — Manager, Infrastruktur und IT-Sicherheit
• „Unterschätzen Sie nicht das Interesse von Ingenieurteams an der Lösung von Sicherheitsproblemen. Stellen Sie ihnen Daten und Kontext zur Verfügung und sehen Sie, wie hungrig sie darauf sind, diese zu nutzen.“ — Manager, Infrastruktur und IT-Sicherheit

Warum dies der schwierigste Job sein könnte

Interessanterweise enthielt in unserer Untersuchung nur eine Stellenbeschreibung eine Position für „Sicherheitsüberprüfungen“, bei der die Rolle es dem Sicherheitsteam ermöglichte, zu Entwicklungsänderungen Ja oder Nein zu sagen. Dies ist aufschlussreich im Zusammenhang mit anderen Beobachtungen zur Rolle des direkten und indirekten Einflusses auf Technik und Entwicklung; Das IaC-Wissen wird beispielsweise nicht für die direkte Nutzung benötigt, sondern um anderen erklären zu können, wie man es nutzt.

Auch Kommunikation und Mentoring gehörten nicht zu den häufigsten Jobvoraussetzungen, doch die Hälfte der Stellen stellte immer noch hohe Erwartungen an diese Soft Skills. Dies galt insbesondere für die höheren Positionen.

Zwischen der Anforderung, Einfluss auf die Entwicklungsteams zu nehmen, den erforderlichen Kenntnissen über IaC-Tools und -Automatisierung, dem Bedarf an Kommunikation und Mentoring und dem nahezu völligen Fehlen formeller Sicherheitsüberprüfungen zeichnet sich allmählich eine Vorstellung vom erfolgreichsten Infrastruktursicherheitsexperten ab. Diese Person verfügt über umfassende praktische Erfahrung im Cloud-Ökosystem sowie über die Fähigkeit, kompetente Teams zu beeinflussen und Glaubwürdigkeit aufzubauen, die täglich hochmoderne GitOps-Tools verwalten. Das ist in der Tat eine hohe Messlatte!

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• EVM-Finanzen. Einheitliche Schnittstelle für dezentrale Finanzen. Hier zugreifen.
• Quantum Media Group. IR/PR verstärkt. Hier zugreifen.
• PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.darkreading.com/edge/the-infrastructure-security-engineer-is-a-unicorn-among-thoroughbreds