Infrastruktuuri turvainsener on ükssarvik täisvereliste seas

Hiljuti toimunud pilvepõhise tööstuse ürituse meeskond naeris valjusti, kui nad ütlesid meile: "Me just lahkusime vestlusest ja ilmselt oleme nüüd infrastruktuuri turvainsenerid." Tehnoloogiatööstuses toimuvate ohjeldamatute koondamiste tõttu on ametinimetuste lõbustamise taga tõeline ebakindlus selles uues rollis ja sellega seotud ökosüsteemis edu saavutamise suhtes.

Kubernetese ja pilvepõhiste rakenduste juurutamise ajastul on taristuturbeinsener auhind. Kuid kümnete ametikirjelduste ja praktikute intervjuude põhjal avastasime, et see roll peegeldab äärmiselt rasket väljakutset: olla parim nii kaudse mõjutamise kui ka raskete tehniliste oskuste osas.

Mis on ikkagi infrastruktuuri turvatehnoloogia? Infrastruktuuri või pilveturbe meeskond istub (pole üllatav) infrastruktuuri kihis, võrreldes rakenduskihiga. Nad on peamiselt seotud juurutamise ja töötava pilvekeskkonnaga.

Esimene asi, mida selle rolli puhul mõista, on see, kui palju pilveturbe jagatud vastutuse mudel nõuab neilt. Juhul kui hallanud Kubernetese platvorme, võime eeldada üldist PaaS-i mudelit. See eeldab jagatud vastutuse mudelit, mis seab peaaegu kogu pilve konfiguratsioon infrastruktuuri turvalisuse rollis. Google'i enda sõnadega: "GKE puhul vastutate oma töötajate sõlmede kaitsmise eest, sealhulgas OS-i, käitusaja ja Kubernetese komponentide paikade juurutamise eest ning loomulikult oma töökoormuse eest."

Kuid jagatud vastutuse mudel on alles algus. Vaakumis ei eksisteeri ühtegi rolli ja selle rolli kolmas kõige levinum nõue, peale haavatavuse haldamise ja ruumi trendidega kursis olemise, on parimate tavade juurutamine organisatsiooni teistes meeskondades. Nagu ütles üks värbamisjuht: "Teie peamine kohustus on tagada, et meie insenerimeeskonnad integreerivad oma töövoogudesse turvalisuse parimad tavad ning pakuksid turvalisi tooteid ja teenuseid."

Arendusmeeskonnalt midagi, mis võib aeglustada uute funktsioonide tootmisse jõudmist, on loomupärane hõõrdumine, isegi kui on näidatud, et meeskonnad turvalisust oma DevOpsi protsessidesse tegelikult tarnivad kiiremini.

Mida vajavad infrastruktuuri turbeinsenerid edu saavutamiseks

Mis teeb värbamisjuhtide arvates kandidaadid edukaks just kirjeldatud rollis? Pole üllatav, et kolmas kõige levinum nõue selle rolli jaoks – pilveplatvormide ja võrgundusega seotud praktilise kogemuse taga – on skriptikeelte valdamine koos praktilise kogemusega mis tahes kombinatsioonis IaC, Terraform ja CI/CD torujuhe. Miks? Sest kui te pole kunagi koodiga juurutusi automatiseerinud, on võimatu jagada turvalisuse parimaid tavasid seda igapäevaselt tegevatele arendajatele.

Viimane levinud nõue infrastruktuuri turvalisuse rollis on täieliku arendusjuhtme põhjalik mõistmine. Kui turbeinsener eeldab, et hoiab end kursis uusimate pilveteenustega, mõjutab arengut ja haldab igapäevaselt pilve haavatavusi, vajab ta arusaamist tõhususest, sellest, kuidas see kõik koos toimib ja kuidas prioriteete seada. .

Siin on veel mõned näpunäited meie intervjueeritavatelt:

• "Kui vaatate lihtsalt pilve, ärge unustage Kubernetest. Kuigi seda kasutatakse tänapäeval sagedamini hallatud pilveteenuste kaudu, ei saa seda käsitleda samal viisil, kui tegeleks pilvekeskkondade haavatavustega. — pilveturbe direktor
• "Triaaž on kriitiline. Kui mu meeskonnad on varem ebaõnnestunud, oli see tavaliselt tingitud sellest, et ajasime taga säravaid asju. Olles prioriteetide seadmisel distsiplineeritud ja metoodiline, säilitame kindlustunde, et lahendame (peaaegu) igal ajahetkel õigeid probleeme. — haldur, infrastruktuur ja IT-turvalisus
• „Ärge alahinnake insenerimeeskondade huvi turvaprobleemide lahendamise vastu. Võimaldage neid andmete ja kontekstiga ning vaadake, kui näljased nad neid kasutama hakkavad. — haldur, infrastruktuur ja IT-turvalisus

Miks see võib olla kõige raskem töö?

Huvitav on see, et meie uurimistöös oli ainult ühes ametijuhendis rida "turvaülevaateid", kus roll võimaldas turvameeskonnal öelda arendusmuudatustele jah või ei. See on kõnekas teiste tähelepanekute kontekstis otsese ja kaudse mõju rolli kohta projekteerimisel ja arenduses; näiteks IaC-teadmisi pole vaja selleks, et neid otseselt kasutada, vaid selleks, et saaksime teistele öelda, kuidas neid kasutada.

Ka suhtlemine ja mentorlus ei olnud levinumate tööeelduste hulgas, kuid pooltel rollidel olid siiski kõrged ootused sellele pehmele oskusele. See kehtis eriti kõrgemate ametikohtade kohta.

Arendusmeeskondade mõjutamise nõude, IaC tööriistade ja automatiseerimise vajalike teadmiste, suhtluse ja juhendamise vajaduse ning ametlike turbeülevaate peaaegu täieliku puudumise vahel hakkab tekkima nägemus kõige edukamast infrastruktuuri turvaspetsialistist. Sellel inimesel on laialdane praktiline kogemus pilveökosüsteemi vallas, samuti oskused mõjutada ja luua usaldusväärsust kvalifitseeritud meeskondades, kes haldavad iga päev väga uusi ja tipptasemel GitOpsi tööriistu. See on tõesti kõrge latt!

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• EVM Finance. Detsentraliseeritud rahanduse ühtne liides. Juurdepääs siia.
• Quantum Media Group. IR/PR võimendatud. Juurdepääs siia.
• PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://www.darkreading.com/edge/the-infrastructure-security-engineer-is-a-unicorn-among-thoroughbreds