Μια ομάδα σε μια πρόσφατη εκδήλωση της βιομηχανίας του cloud γέλασε δυνατά όταν μας είπε: «Μόλις ξεφύγαμε από μια συζήτηση και προφανώς είμαστε πλέον μηχανικοί ασφάλειας υποδομής». Με τις ανεξέλεγκτες απολύσεις στον κλάδο της τεχνολογίας, πίσω από τη διασκέδαση των τίτλων εργασίας βρίσκεται η πραγματική αβεβαιότητα σχετικά με τις προσδοκίες για ευημερία σε αυτόν τον νέο ρόλο και το σχετικό οικοσύστημα.
Στην εποχή του Kubernetes και της ανάπτυξης εγγενών εφαρμογών στο cloud, ο μηχανικός ασφάλειας υποδομής προσλαμβάνει βραβείο. Αλλά σε δεκάδες περιγραφές θέσεων εργασίας και συνεντεύξεις επαγγελματιών, διαπιστώσαμε ότι αυτός ο ρόλος αντικατοπτρίζει μια εξαιρετικά δύσκολη πρόκληση: να είσαι ο καλύτερος τόσο σε έμμεση επιρροή όσο και σε σκληρές τεχνικές δεξιότητες.
Τι είναι λοιπόν η μηχανική ασφάλειας υποδομής; Η ομάδα ασφάλειας υποδομής ή cloud βρίσκεται στο επίπεδο της υποδομής (δεν αποτελεί έκπληξη) έναντι του επιπέδου εφαρμογής. Ασχολούνται κυρίως με την ανάπτυξη και το περιβάλλον λειτουργίας cloud.
Το πρώτο πράγμα που πρέπει να καταλάβετε σχετικά με αυτόν τον ρόλο είναι πόσο το μοντέλο κοινής ευθύνης ασφάλειας cloud απαιτεί από αυτούς. Σε περίπτωση που διαχειριζόμενες πλατφόρμες Kubernetes, μπορούμε να υποθέσουμε ένα γενικό μοντέλο PaaS. Αυτό συνεπάγεται ένα μοντέλο κοινής ευθύνης που θέτει σχεδόν το ολόκληρη τη διαμόρφωση του cloud στα χέρια του ρόλου της ασφάλειας των υποδομών. Με τα λόγια της Google, "Για το GKE, είστε υπεύθυνοι για την προστασία των κόμβων εργαζομένων σας, συμπεριλαμβανομένης της ανάπτυξης ενημερώσεων κώδικα στο λειτουργικό σύστημα, του χρόνου εκτέλεσης και των στοιχείων Kubernetes, και φυσικά την εξασφάλιση του δικού σας φόρτου εργασίας."
Αλλά το μοντέλο κοινής ευθύνης είναι μόνο η αρχή. Δεν υπάρχει κανένας ρόλος στο κενό και η τρίτη πιο κοινή απαίτηση σε αυτόν τον ρόλο, εκτός από τη διαχείριση ευπάθειας και την ενημέρωση σχετικά με τις τάσεις στον χώρο, είναι η διαβίβαση βέλτιστων πρακτικών σε άλλες ομάδες του οργανισμού. Όπως είπε ένας διευθυντής προσλήψεων, «η πρωταρχική σας ευθύνη θα είναι να διασφαλίσετε ότι οι ομάδες μηχανικών μας ενσωματώνουν τις βέλτιστες πρακτικές ασφάλειας στις ροές εργασίας τους και παρέχουν ασφαλή προϊόντα και υπηρεσίες».
Υπάρχει μια εγγενής τριβή στο να ζητάμε από μια ομάδα ανάπτυξης να κάνει οτιδήποτε μπορεί να επιβραδύνει τη ροή νέων χαρακτηριστικών στην παραγωγή, ακόμα κι αν έχει αποδειχθεί ότι οι ομάδες ψησίματος της ασφάλειας στις διαδικασίες DevOps τους στην πραγματικότητα παραδίδουν πιο γρήγορα.
Τι χρειάζονται οι μηχανικοί ασφάλειας υποδομής για να επιτύχουν
Τι πιστεύουν οι διευθυντές προσλήψεων ότι θα κάνει τους υποψηφίους επιτυχημένους στο είδος του ρόλου που μόλις περιγράφηκε; Δεν αποτελεί έκπληξη το γεγονός ότι η τρίτη πιο κοινή απαίτηση για αυτόν τον ρόλο - πίσω από την πρακτική εμπειρία με πλατφόρμες cloud και δικτύωση - είναι η επάρκεια στις γλώσσες δέσμης ενεργειών, σε συνδυασμό με την πρακτική εμπειρία γύρω από οποιονδήποτε συνδυασμό IaC, Terraform και ο αγωγός CI/CD. Γιατί; Επειδή αν δεν έχετε ποτέ αυτοματοποιήσει τις αναπτύξεις με κώδικα, θα είναι αδύνατο να μοιραστείτε τις βέλτιστες πρακτικές ασφάλειας στους προγραμματιστές που το κάνουν σε καθημερινή βάση.
Η τελευταία κοινή απαίτηση σε έναν ρόλο ασφάλειας υποδομής είναι η εις βάθος κατανόηση του αγωγού ανάπτυξης από άκρο σε άκρο. Εάν ένας μηχανικός ασφαλείας αναμένει να συνεχίσει να ενημερώνεται για τα πιο πρόσφατα στο cloud, να επηρεάζει την ανάπτυξη και να διαχειρίζεται τις ευπάθειες του cloud σε καθημερινή βάση, χρειάζεται να κατανοήσει την αποτελεσματικότητα, πώς λειτουργούν όλα μαζί και πώς να ιεραρχήσουν .
Ακολουθούν μερικές ακόμη συμβουλές από τους συνεντευξιαζόμενους μας:
- «Αν κοιτάτε απλώς το σύννεφο, μην ξεχνάτε το Kubernetes. Αν και αναπτύσσεται μέσω διαχειριζόμενων υπηρεσιών cloud πιο συχνά αυτές τις μέρες, δεν μπορεί να αντιμετωπιστεί με τον ίδιο τρόπο που θα αντιμετωπίσουμε τα τρωτά σημεία για περιβάλλοντα cloud." — Διευθυντής ασφάλειας cloud
- «Το Triage είναι κρίσιμο. Όταν οι ομάδες μου είχαν αποτύχει στο παρελθόν, ήταν συνήθως επειδή συνεχίζαμε να κυνηγάμε λαμπερά πράγματα. Με το να είμαστε πειθαρχημένοι και μεθοδικοί ως προς την ιεράρχηση προτεραιοτήτων, διατηρούμε την πεποίθηση ότι αντιμετωπίζουμε τα σωστά προβλήματα (σχεδόν) κάθε δεδομένη στιγμή». — Διευθυντής, υποδομή και ασφάλεια πληροφορικής
- «Μην υποτιμάτε το ενδιαφέρον των ομάδων μηχανικών για την επίλυση προβλημάτων ασφάλειας. Ενδυναμώστε τους με δεδομένα και πλαίσιο και δείτε πόσο πεινασμένοι είναι να τα χρησιμοποιήσουν». — Διευθυντής, υποδομή και ασφάλεια πληροφορικής
Γιατί αυτή θα μπορούσε να είναι η πιο δύσκολη δουλειά
Είναι ενδιαφέρον ότι στην έρευνά μας, μόνο μία περιγραφή εργασίας είχε ένα στοιχείο γραμμής για "αξιολογήσεις ασφαλείας", όπου ο ρόλος επέτρεπε στην ομάδα ασφαλείας να πει ναι ή όχι στις αλλαγές ανάπτυξης. Αυτό είναι ενδεικτικό στο πλαίσιο άλλων παρατηρήσεων σχετικά με τον ρόλο της άμεσης έναντι της έμμεσης επιρροής στη μηχανική και την ανάπτυξη. Για παράδειγμα, οι γνώσεις του IaC δεν χρειάζονται για να το χρησιμοποιήσουν άμεσα, αλλά για να μπορείς να πεις στους άλλους πώς να το χρησιμοποιήσουν.
Επίσης, η επικοινωνία και η καθοδήγηση δεν περιλαμβάνονταν στις πιο κοινές προϋποθέσεις εργασίας, αλλά οι μισοί από τους ρόλους εξακολουθούσαν να έχουν υψηλές προσδοκίες για αυτή τη μαλακή δεξιότητα. Αυτό ίσχυε ιδιαίτερα για τις πιο ανώτερες θέσεις.
Μεταξύ της απαίτησης για επιρροή στις ομάδες ανάπτυξης, της απαιτούμενης γνώσης εργαλείων και αυτοματισμού IaC, της ανάγκης για επικοινωνία και καθοδήγηση και της σχεδόν παντελούς απουσίας επίσημων αναθεωρήσεων ασφάλειας, αρχίζει να αναδύεται μια άποψη του πιο επιτυχημένου επαγγελματία ασφάλειας υποδομής. Αυτό το άτομο θα έχει ευρεία πρακτική εμπειρία στο οικοσύστημα cloud, καθώς και δεξιότητες να επηρεάζει και να χτίζει αξιοπιστία σε εξειδικευμένες ομάδες που διαχειρίζονται εξαιρετικά νέα, υπερσύγχρονα εργαλεία GitOps σε καθημερινή βάση. Αυτός είναι πράγματι υψηλός πήχης!
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- EVM Finance. Ενιαία διεπαφή για αποκεντρωμένη χρηματοδότηση. Πρόσβαση εδώ.
- Quantum Media Group. Ενισχυμένο IR/PR. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/edge/the-infrastructure-security-engineer-is-a-unicorn-among-thoroughbreds
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 7
- a
- Ικανός
- ΠΛΗΡΟΦΟΡΙΕΣ
- απέναντι
- πραγματικά
- διεύθυνση
- την ηλικία του
- Όλα
- μεταξύ των
- διασκέδαση
- an
- και
- κάθε
- οτιδήποτε
- χώρια
- Εφαρμογή
- ΕΙΝΑΙ
- γύρω
- AS
- συσχετισμένη
- At
- Αυτοματοποιημένη
- Αυτοματοποίηση
- μπαρ
- βάση
- BE
- επειδή
- ήταν
- πίσω
- είναι
- ΚΑΛΎΤΕΡΟΣ
- βέλτιστες πρακτικές
- και οι δύο
- ευρύς
- χτίζω
- αλλά
- by
- CAN
- υποψηφίους
- δεν μπορώ
- περίπτωση
- πρόκληση
- Αλλαγές
- Backup
- Ασφάλεια Cloud
- υπηρεσίες cloud
- κωδικός
- συνδυασμός
- σε συνδυασμό
- Κοινός
- Επικοινωνία
- πλήρης
- εξαρτήματα
- ενδιαφερόμενος
- εμπιστοσύνη
- διαμόρφωση
- συμφραζόμενα
- θα μπορούσε να
- Πορεία
- Αξιοπιστία
- κρίσιμης
- αιχμής
- καθημερινά
- ημερομηνία
- Ημερομηνία
- από μέρα σε μέρα
- Ημ.
- παραδώσει
- αναπτυχθεί
- ανάπτυξη
- ανάπτυξη
- αναπτύξεις
- περιγράφεται
- περιγραφή
- προγραμματιστές
- Ανάπτυξη
- δύσκολος
- κατευθύνει
- κατευθείαν
- Διευθυντής
- πειθαρχημένη
- do
- πράξη
- Don
- κάτω
- δεκάδες
- οικοσύστημα
- αποδοτικότητα
- αναδύονται
- εξουσιοδοτώ
- από άκρη σε άκρη
- μηχανικός
- Μηχανική
- Μηχανικοί
- εξασφαλίζω
- Περιβάλλον
- περιβάλλοντα
- ειδικά
- Even
- Συμβάν
- παράδειγμα
- υπάρχει
- προσδοκίες
- αναμένει
- εμπειρία
- Απέτυχε
- Χαρακτηριστικά
- Όνομα
- ροή
- Για
- επίσημος
- Βρέθηκαν
- τριβή
- από
- General
- δεδομένου
- είχε
- Ήμισυ
- τα χέρια
- hands-on
- Σκληρά
- Έχω
- Ψηλά
- υψηλά
- ενοικίαση
- Πρόσληψη
- Πως
- Πώς να
- HTTPS
- Πεινασμένος
- if
- αδύνατος
- in
- σε βάθος
- Συμπεριλαμβανομένου
- βιομηχανία
- επιρροή
- Υποδομή
- συμφυής
- ενσωματώσει
- τόκος
- ερωτηθέντες
- συνεντεύξεις
- σε
- IT
- Δουλειά
- τίτλοι εργασίας
- jpg
- μόλις
- Διατήρηση
- διατηρούνται
- Είδος
- γνώση
- Γλώσσες
- Επίθετο
- αργότερο
- στρώμα
- απολύσεις
- γραμμή
- Εισηγμένες
- κοιτάζοντας
- διατηρήσουν
- κάνω
- διαχείριση
- διαχειρίζεται
- διαχείριση
- διευθυντής
- Διευθυντές
- διαχείριση
- mentoring
- μεθοδικός
- ενδέχεται να
- μοντέλο
- περισσότερο
- πλέον
- πολύ
- my
- ντόπιος
- Κοντά
- σχεδόν
- Ανάγκη
- που απαιτούνται
- δικτύωσης
- ποτέ
- Νέα
- Νέες δυνατότητες
- Όχι.
- κόμβων
- τώρα
- of
- συχνά
- on
- ONE
- αποκλειστικά
- or
- OS
- ΑΛΛΑ
- Άλλα
- δικός μας
- έξω
- επί
- δική
- Το παρελθόν
- Patches
- person
- αγωγού
- Πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- θέσεις
- πρακτικές
- προαπαιτούμενα
- πρωτίστως
- πρωταρχικός
- ιεράρχηση
- Δώστε προτεραιότητα
- βραβείο
- προβλήματα
- παραγωγή
- Προϊόντα
- επαγγελματίας
- προστασία
- βάζω
- Βάζει
- γρήγορα
- RE
- πραγματικός
- πρόσφατος
- αντικατοπτρίζει
- απαιτείται
- απαίτηση
- Απαιτεί
- έρευνα
- ευθύνη
- υπεύθυνος
- Κριτικές
- δεξιά
- Ρόλος
- ρόλους
- τρέξιμο
- s
- ίδιο
- λένε
- προστατευμένο περιβάλλον
- ασφάλεια
- ασφάλεια
- δείτε
- αρχαιότερος
- Υπηρεσίες
- Κοινοποίηση
- Shared
- παρουσιάζεται
- κάθεται
- επιδεξιότητα
- έμπειρος
- δεξιότητες
- επιβραδύνουν
- Μαλακός
- Επίλυση
- μερικοί
- Χώρος
- ταχύτητα
- Εκκίνηση
- Ακόμη
- επιτυχής
- έκπληξη
- Συζήτηση
- ομάδες
- tech
- τεχνολογίας
- Τεχνικός
- τεχνικές δεξιότητες
- πει
- Terraform
- από
- ότι
- Η
- τους
- Τους
- Αυτοί
- αυτοί
- πράγμα
- πράγματα
- νομίζω
- Τρίτος
- αυτό
- ευημερούν
- Μέσω
- ώρα
- συμβουλές
- τίτλους
- προς την
- μαζι
- εργαλεία
- Τάσεις
- αληθής
- Αβεβαιότητα
- υποκείμενες
- καταλαβαίνω
- κατανόηση
- μονόκερος
- us
- χρήση
- χρησιμοποιώντας
- συνήθως
- Κενό
- Εναντίον
- Δες
- Θέματα ευπάθειας
- ευπάθεια
- ήταν
- Τρόπος..
- we
- ΛΟΙΠΌΝ
- ήταν
- Τι
- Τι είναι
- πότε
- ενώ
- Ο ΟΠΟΊΟΣ
- WHY
- θα
- με
- λόγια
- εργάτης
- ροές εργασίας
- εργαζόμενος
- λειτουργεί
- θα
- Ναί
- Εσείς
- Σας
- zephyrnet