インフラストラクチャ セキュリティ エンジニアはサラブレッドの中のユニコーンです

最近のクラウド ネイティブ業界のイベントに参加したチームは、「話が終わったところですが、どうやら私たちはインフラストラクチャ セキュリティ エンジニアになったようです」と私たちに告げて大笑いしました。 テクノロジー業界で人員削減が横行する中、役職の面白さの根底にあるのは、その新しい役割とそれに関連するエコシステムでの成功への期待に関する実際の不確実性です。

Kubernetes とクラウド ネイティブ アプリケーションの導入の時代では、インフラストラクチャ セキュリティ エンジニアは優秀な人材です。 しかし、何十もの職務記述書や実務者インタビューを通じて、この役割が非常に難しい課題を反映していることがわかりました。それは、間接的な影響力と厳しい技術スキルの両方で最高であることです。

そもそも、インフラストラクチャ セキュリティ エンジニアリングとは何でしょうか? インフラストラクチャまたはクラウド セキュリティ チームは、(当然のことですが) アプリケーション層ではなくインフラストラクチャ層に位置します。 彼らは主に、展開と実行中のクラウド環境に関係しています。

この役割について最初に理解すべきことは、 クラウドセキュリティ責任共有モデル 彼らに求められるのは。 の場合 マネージド Kubernetes プラットフォーム、一般的な PaaS モデルを想定できます。 これは、ほぼ次のような責任共有モデルを意味します。 クラウド全体の構成 インフラストラクチャセキュリティの役割の手に。 Google 自身の言葉を借りると、「GKE の場合、OS、ランタイム、Kubernetes コンポーネントへのパッチのデプロイを含め、ワーカー ノードを保護する責任はあります。もちろん、独自のワークロードを保護することも含まれます。」

しかし、責任共有モデルは始まりにすぎません。 孤立して存在する役割はありません。この役割で XNUMX 番目に一般的な要件は、脆弱性管理と業界の最新のトレンドを常に把握することを除けば、組織内の他のチームにベスト プラクティスを浸透させることです。 ある採用マネージャーは、「あなたの主な責任は、当社のエンジニアリング チームがセキュリティのベスト プラクティスをワークフローに確実に統合し、安全な製品とサービスを提供できるようにすることです。」と述べています。

開発チームに、実稼働環境への新機能の流れを遅らせる可能性のあることを行うよう依頼することには、固有の摩擦が生じます。 DevOps プロセスにセキュリティを組み込む 実際にはもっと早く配達できます。

インフラストラクチャ セキュリティ エンジニアが成功するために必要なもの

採用担当者は、候補者が今説明したような役割で成功するためにはどうすればよいと考えていますか? 当然のことですが、この役割に対する XNUMX 番目に一般的な要件は、クラウド プラットフォームとネットワーキングの実践経験に次いで、スクリプト言語の熟練度であり、これらの組み合わせに関する実践経験と組み合わされたものです。 IaC、Terraform、CI/CD パイプライン。 なぜ？ コードを使用してデプロイメントを自動化したことがない場合、セキュリティのベスト プラクティスを日常的に行っている開発者に共有することは不可能だからです。

インフラストラクチャ セキュリティの役割における最後の共通要件は、エンドツーエンドの開発パイプラインを深く理解することです。 セキュリティ エンジニアがクラウドの最新情報を常に把握し、開発に影響を与え、クラウドの脆弱性を日常的に管理することを期待している場合、効率性、すべてがどのように連携するか、優先順位を付ける方法について理解する必要があります。 。

インタビュー対象者からのヒントをさらにいくつか紹介します。

• 「クラウドに注目しているだけなら、Kubernetes を忘れないでください。 最近ではマネージド クラウド サービスを通じて導入されることが多くなっていますが、クラウド環境の脆弱性に対処するのと同じ方法で対処することはできません。」 — クラウドセキュリティ担当ディレクター
• 「トリアージは非常に重要です。 過去に私のチームが失敗したとき、それはたいてい、私たちが輝かしいものを追い続けたことが原因でした。 優先順位付けを規律正しく系統的に行うことで、（ほぼ）いつでも適切な問題に取り組んでいるという自信を維持できます。」 — マネージャー、インフラストラクチャおよび IT セキュリティ
• 「セキュリティ問題の解決に対するエンジニアリング チームの関心を過小評価しないでください。 彼らにデータとコンテキストを提供し、彼らがそれを使用することにどれだけ飢えているかを確認してください。」 — マネージャー、インフラストラクチャおよび IT セキュリティ

これが最も難しい仕事である理由

興味深いことに、私たちの調査では、「セキュリティ レビュー」という項目が含まれている職務記述書は XNUMX つだけでした。この役割では、セキュリティ チームが開発変更に対して「はい」または「いいえ」を言うことができました。 これは、エンジニアリングと開発に対する直接的影響と間接的影響の役割に関する他の観察との関連で語っています。 たとえば、IaC の知識は、IaC を直接使用するためではなく、他の人にその使用方法を伝えるために必要です。

また、コミュニケーションとメンタリングは最も一般的な仕事の前提条件には含まれていませんでしたが、役割の半数は依然としてこのソフトスキルに高い期待を持っていました。 これは特に上級職に当てはまります。

開発チームに影響を与えるための要件、IaC ツールと自動化に関する必要な知識、コミュニケーションと指導の必要性、そして正式なセキュリティ レビューがほぼ完全に欠如していることの間で、最も成功したインフラストラクチャ セキュリティの専門家の見方が浮かび上がってきます。 この人材は、クラウド エコシステムでの幅広い実践経験に加え、非常に新しい最先端の GitOps ツールを日常的に管理する熟練したチーム全体に影響を与え、信頼性を構築するスキルを持っています。 それは実に高いハードルです！

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• EVMファイナンス。 分散型金融のための統一インターフェイス。 こちらからアクセスしてください。
• クォンタムメディアグループ。 IR/PR増幅。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/edge/the-infrastructure-security-engineer-is-a-unicorn-among-thoroughbreds