Zespół na niedawnym wydarzeniu branżowym poświęconym chmurze roześmiał się głośno, gdy powiedział nam: „Właśnie skończyliśmy rozmowę i najwyraźniej jesteśmy teraz inżynierami ds. bezpieczeństwa infrastruktury”. W obliczu masowych zwolnień w branży technologicznej u podstaw zabawy z tytułami stanowisk leży prawdziwa niepewność co do oczekiwań dotyczących pomyślnego rozwoju w tej nowej roli i związanym z nią ekosystemie.
W dobie Kubernetesa i wdrażania aplikacji natywnych w chmurze inżynier bezpieczeństwa infrastruktury jest na wagę złota. Jednak z dziesiątek opisów stanowisk i rozmów z praktykami odkryliśmy, że ta rola odzwierciedla niezwykle trudne wyzwanie: być najlepszym zarówno pod względem pośredniego wpływu, jak i twardych umiejętności technicznych.
Czym w ogóle jest inżynieria bezpieczeństwa infrastruktury? Zespół ds. bezpieczeństwa infrastruktury lub chmury pracuje (co nie jest zaskoczeniem) w warstwie infrastruktury, a nie w warstwie aplikacji. Dotyczą one przede wszystkim wdrożenia i działającego środowiska chmurowego.
Pierwszą rzeczą, którą należy zrozumieć w związku z tą rolą, jest to, jak bardzo model wspólnej odpowiedzialności za bezpieczeństwo w chmurze wymaga od nich. W przypadku zarządzane platformy Kubernetes, możemy założyć ogólny model PaaS. Oznacza to model wspólnej odpowiedzialności, który zakłada, że prawie cała konfiguracja chmury w rękach osoby odpowiedzialnej za bezpieczeństwo infrastruktury. Według słów Google: „W przypadku GKE jesteś odpowiedzialny za ochronę swoich węzłów roboczych, w tym za wdrażanie poprawek do systemu operacyjnego, środowiska wykonawczego i komponentów Kubernetes, a także oczywiście za zabezpieczenie własnego obciążenia”.
Ale model wspólnej odpowiedzialności to dopiero początek. Żadna rola nie istnieje w próżni, a trzecim najczęstszym wymaganiem w tej roli, poza zarządzaniem podatnościami na zagrożenia i byciem na bieżąco z trendami w przestrzeni, jest wdrażanie najlepszych praktyk do innych zespołów w organizacji. Jak ujął to jeden z menedżerów ds. rekrutacji: „Twoim głównym obowiązkiem będzie dopilnowanie, aby nasze zespoły inżynieryjne włączyły najlepsze praktyki w zakresie bezpieczeństwa do swoich przepływów pracy oraz dostarczały bezpieczne produkty i usługi”.
Proszenie zespołu programistów o zrobienie czegokolwiek, co mogłoby spowolnić wprowadzanie nowych funkcji do środowiska produkcyjnego, wiąże się z nieodłącznym tarciem, nawet jeśli wykazano, że zespoły wbudowując bezpieczeństwo w swoje procesy DevOps faktycznie dostarczają szybciej.
Czego potrzebują inżynierowie ds. bezpieczeństwa infrastruktury, aby odnieść sukces
Co, zdaniem menedżerów ds. rekrutacji, sprawi, że kandydaci odniosą sukces na opisanej właśnie roli? Nic dziwnego, że trzecim najczęstszym wymaganiem na tym stanowisku – po praktycznym doświadczeniu z platformami chmurowymi i sieciami – jest biegłość w językach skryptowych połączona z praktycznym doświadczeniem w dowolnej kombinacji IaC, Terraform i potok CI/CD. Dlaczego? Ponieważ jeśli nigdy nie automatyzowałeś wdrożeń za pomocą kodu, nie będzie możliwe udostępnienie najlepszych praktyk bezpieczeństwa programistom, którzy robią to na co dzień.
Ostatnim powszechnym wymaganiem na stanowisku odpowiedzialnym za bezpieczeństwo infrastruktury jest dogłębne zrozumienie kompleksowego procesu rozwoju. Jeśli inżynier bezpieczeństwa chce być na bieżąco z najnowszymi informacjami w chmurze, wpływać na rozwój i na co dzień zarządzać lukami w zabezpieczeniach chmury, potrzebuje zrozumienia wydajności, tego, jak to wszystko ze sobą współpracuje i tego, jak ustalać priorytety .
Oto więcej wskazówek od naszych rozmówców:
- „Jeśli patrzysz tylko na chmurę, nie zapomnij o Kubernetesie. Chociaż obecnie jest on wdrażany za pośrednictwem zarządzanych usług w chmurze, nie można go rozwiązać w taki sam sposób, jak w przypadku luk w zabezpieczeniach środowisk chmurowych”. — Dyrektor ds. bezpieczeństwa chmury
- „Triage ma kluczowe znaczenie. Kiedy w przeszłości moje zespoły ponosiły porażki, było to zwykle spowodowane tym, że goniliśmy za błyszczącymi rzeczami. Dzięki zdyscyplinowaniu i metodyce ustalania priorytetów zachowujemy pewność, że rozwiązujemy właściwe problemy w (prawie) dowolnym momencie”. — Menedżer, infrastruktura i bezpieczeństwo IT
- „Nie lekceważ zainteresowania zespołów inżynierskich rozwiązywaniem problemów związanych z bezpieczeństwem. Zapewnij im dane i kontekst i zobacz, jak bardzo są głodni, aby z nich skorzystać”. — Menedżer, infrastruktura i bezpieczeństwo IT
Dlaczego to może być najtrudniejsza praca
Co ciekawe, w naszym badaniu tylko jeden opis stanowiska zawierał pozycję „przeglądy bezpieczeństwa”, gdzie rola pozwalała zespołowi ds. bezpieczeństwa wyrazić zgodę lub nie na zmiany programistyczne. Jest to wymowne w kontekście innych obserwacji dotyczących roli bezpośredniego i pośredniego wpływu na inżynierię i rozwój; na przykład wiedza IaC nie jest potrzebna do bezpośredniego jej wykorzystania, ale do tego, aby móc powiedzieć innym, jak z niej korzystać.
Ponadto komunikacja i mentoring nie znalazły się wśród najczęstszych wymagań wstępnych na stanowisku pracy, ale połowa stanowisk nadal miała wysokie oczekiwania w stosunku do tej umiejętności miękkiej. Dotyczyło to zwłaszcza stanowisk wyższego szczebla.
Pomiędzy wymogiem wywierania wpływu na zespoły programistyczne, wymaganą wiedzą na temat narzędzi IaC i automatyzacji, potrzebą komunikacji i mentoringu oraz niemal całkowitym brakiem formalnych przeglądów bezpieczeństwa, zaczyna się wyłaniać pogląd na najskuteczniejszego specjalistę ds. bezpieczeństwa infrastruktury. Osoba ta będzie miała szerokie praktyczne doświadczenie w ekosystemie chmury, a także umiejętności wywierania wpływu i budowania wiarygodności w wykwalifikowanych zespołach, które na co dzień zarządzają najnowszymi, najnowocześniejszymi narzędziami GitOps. To naprawdę wysoka poprzeczka!
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- EVM Finanse. Ujednolicony interfejs dla zdecentralizowanych finansów. Dostęp tutaj.
- Quantum Media Group. Wzmocnienie IR/PR. Dostęp tutaj.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Źródło: https://www.darkreading.com/edge/the-infrastructure-security-engineer-is-a-unicorn-among-thoroughbreds
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 7
- a
- Zdolny
- O nas
- w poprzek
- faktycznie
- adres
- wiek
- Wszystkie kategorie
- wśród
- rozrywka
- an
- i
- każdy
- wszystko
- osobno
- Zastosowanie
- SĄ
- na około
- AS
- powiązany
- At
- zautomatyzowane
- Automatyzacja
- bar
- podstawa
- BE
- bo
- być
- za
- jest
- BEST
- Najlepsze praktyki
- obie
- szeroki
- budować
- ale
- by
- CAN
- kandydatów
- nie może
- walizka
- wyzwanie
- Zmiany
- Chmura
- Cloud Security
- usługi w chmurze
- kod
- połączenie
- połączony
- wspólny
- Komunikacja
- kompletny
- składniki
- zaniepokojony
- pewność siebie
- systemu
- kontekst
- mógłby
- Kurs
- Wiarygodność
- krytyczny
- pionierski nowatorski
- codziennie
- dane
- Data
- dzień do dnia
- Dni
- dostarczyć
- wdrażane
- wdrażanie
- Wdrożenie
- wdrożenia
- opisane
- opis
- deweloperzy
- oprogramowania
- trudny
- kierować
- bezpośrednio
- Dyrektor
- zdyscyplinowany
- do
- robi
- darowizna
- na dół
- dziesiątki
- Ekosystem
- efektywność
- wyłaniać się
- upoważniać
- koniec końców
- inżynier
- Inżynieria
- Inżynierowie
- zapewnić
- Środowisko
- środowiska
- szczególnie
- Parzyste
- wydarzenie
- przykład
- istnieje
- oczekiwania
- oczekuje
- doświadczenie
- Failed
- Korzyści
- i terminów, a
- pływ
- W razie zamówieenia projektu
- formalny
- znaleziono
- tarcie
- od
- Ogólne
- dany
- miał
- Pół
- siła robocza
- hands-on
- Ciężko
- Have
- Wysoki
- wysoko
- zatrudnić
- Wynajmowanie
- W jaki sposób
- How To
- HTTPS
- Głodny
- if
- niemożliwy
- in
- informacje
- Włącznie z
- przemysł
- wpływ
- Infrastruktura
- nieodłączny
- integrować
- odsetki
- rozmówcy
- Wywiady
- najnowszych
- IT
- Praca
- tytuły stanowisk
- jpg
- właśnie
- Trzymać
- trzymane
- Uprzejmy
- wiedza
- Języki
- Nazwisko
- firmy
- warstwa
- zwolnienia
- Linia
- Katalogowany
- poszukuje
- utrzymać
- robić
- zarządzanie
- zarządzane
- i konserwacjami
- kierownik
- Zarządzający
- zarządzający
- mentoring
- metodyczny
- może
- model
- jeszcze
- większość
- dużo
- my
- rodzimy
- Blisko
- prawie
- Potrzebować
- potrzebne
- sieci
- nigdy
- Nowości
- Nowe funkcje
- Nie
- węzły
- już dziś
- of
- często
- on
- ONE
- tylko
- or
- OS
- Inne
- Pozostałe
- ludzkiej,
- na zewnątrz
- koniec
- własny
- Przeszłość
- Łatki
- osoba
- rurociąg
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- Pozycje
- praktyki
- warunki wstępne
- głównie
- pierwotny
- priorytetyzacja
- Priorytet
- nagroda
- problemy
- Produkcja
- Produkty
- profesjonalny
- ochrony
- położyć
- Stawia
- szybko
- RE
- real
- niedawny
- odzwierciedla
- wymagany
- wymaganie
- Wymaga
- Badania naukowe
- odpowiedzialność
- odpowiedzialny
- Recenzje
- prawo
- Rola
- role
- bieganie
- s
- taki sam
- powiedzieć
- bezpieczne
- zabezpieczenia
- bezpieczeństwo
- widzieć
- senior
- Usługi
- Share
- shared
- pokazane
- siada
- umiejętność
- wykwalifikowany
- umiejętności
- powolny
- Miękki
- Rozwiązywanie
- kilka
- Typ przestrzeni
- prędkość
- początek
- Nadal
- udany
- niespodzianka
- Mówić
- zespół
- Zespoły
- tech
- przemysł technologiczny
- Techniczny
- umiejętności techniczne
- powiedzieć
- Terraform
- niż
- że
- Połączenia
- ich
- Im
- Te
- one
- rzecz
- rzeczy
- myśleć
- Trzeci
- to
- kwitną
- Przez
- czas
- wskazówki
- tytuły
- do
- razem
- narzędzia
- Trendy
- prawdziwy
- Niepewność
- zasadniczy
- zrozumieć
- zrozumienie
- jednorożec
- us
- posługiwać się
- za pomocą
- zazwyczaj
- Odkurzać
- Przeciw
- Zobacz i wysłuchaj
- Luki w zabezpieczeniach
- wrażliwość
- była
- Droga..
- we
- DOBRZE
- były
- Co
- Co to jest
- jeśli chodzi o komunikację i motywację
- Podczas
- KIM
- dlaczego
- będzie
- w
- słowa
- pracownik
- przepływów pracy
- pracujący
- działa
- by
- tak
- You
- Twój
- zefirnet
