Uma equipe em um recente evento do setor nativo da nuvem riu alto quando nos disse: “Acabamos de sair de uma conversa e, aparentemente, agora somos engenheiros de segurança de infraestrutura”. Com as demissões desenfreadas na indústria de tecnologia, por trás da diversão dos cargos está uma incerteza real em torno das expectativas de prosperar nessa nova função e no ecossistema associado.
Na era do Kubernetes e da implantação de aplicativos nativos da nuvem, o engenheiro de segurança de infraestrutura é uma contratação valiosa. Mas, em dezenas de descrições de cargos e entrevistas com profissionais, descobrimos que essa função reflete um desafio extremamente difícil: ser o melhor tanto em influência indireta quanto em habilidades técnicas difíceis.
Afinal, o que é engenharia de segurança de infraestrutura? A equipe de infraestrutura ou segurança na nuvem fica (sem surpresa) na camada de infraestrutura, em vez da camada de aplicativo. Eles estão preocupados principalmente com a implantação e o ambiente de nuvem em execução.
A primeira coisa a entender sobre esse papel é o quanto o modelo de responsabilidade compartilhada de segurança na nuvem exige deles. No caso de plataformas Kubernetes gerenciadas, podemos assumir um modelo geral de PaaS. Isso implica um modelo de responsabilidade compartilhada que coloca quase o toda a configuração da nuvem nas mãos da função de segurança da infraestrutura. Nas próprias palavras do Google, “para o GKE, você é responsável por proteger seus nós de trabalho, incluindo a implantação de patches no sistema operacional, tempo de execução e componentes do Kubernetes e, é claro, proteger sua própria carga de trabalho”.
Mas o modelo de responsabilidade compartilhada é apenas o começo. Nenhuma função existe no vácuo, e o terceiro requisito mais comum nessa função, além do gerenciamento de vulnerabilidades e da atualização sobre as tendências da área, é a imbuição de práticas recomendadas em outras equipes da organização. Como disse um gerente de contratação, “sua principal responsabilidade será garantir que nossas equipes de engenharia integrem as melhores práticas de segurança em seus fluxos de trabalho e forneçam produtos e serviços seguros”.
Há um atrito inerente em pedir a uma equipe de desenvolvimento que faça qualquer coisa que possa retardar o fluxo de novos recursos para a produção, mesmo que tenha sido demonstrado que as equipes incorporando segurança em seus processos de DevOps realmente entregar mais rapidamente.
O que os engenheiros de segurança de infraestrutura precisam para ter sucesso
O que os gerentes de contratação acham que tornará os candidatos bem-sucedidos no tipo de função que acabamos de descrever? Não é de surpreender que o terceiro requisito mais comum para essa função — por trás da experiência prática com plataformas de nuvem e rede — seja proficiência em linguagens de script, combinada com experiência prática em qualquer combinação de IaC, Terraform e o pipeline CI/CD. Por que? Porque se você nunca automatizou implantações com código, será impossível compartilhar as melhores práticas de segurança com os desenvolvedores que fazem isso diariamente.
O último requisito comum em uma função de segurança de infraestrutura é uma compreensão profunda do pipeline de desenvolvimento de ponta a ponta. Se um engenheiro de segurança espera acompanhar o que há de mais recente na nuvem, influenciar o desenvolvimento e gerenciar as vulnerabilidades da nuvem no dia a dia, ele precisa entender a eficiência, como tudo funciona em conjunto e como priorizar .
Aqui estão mais algumas dicas de nossos entrevistados:
- “Se você está apenas olhando para a nuvem, não se esqueça do Kubernetes. Embora seja implantado por meio de serviços de nuvem gerenciados com mais frequência hoje em dia, não pode ser tratado da mesma forma que abordaria vulnerabilidades para ambientes de nuvem.” — Diretor de segurança na nuvem
- “A triagem é crítica. Quando minhas equipes falharam no passado, geralmente foi porque continuamos perseguindo coisas brilhantes. Ao sermos disciplinados e metódicos quanto à priorização, mantemos a confiança de que estamos trabalhando nos problemas certos (quase) a qualquer momento.” — Gerente de infraestrutura e segurança de TI
- “Não subestime o interesse das equipes de engenharia em resolver problemas de segurança. Capacite-os com dados e contexto e veja como eles estão ansiosos para usá-los.” — Gerente de infraestrutura e segurança de TI
Por que este pode ser o trabalho mais difícil
Curiosamente, em nossa pesquisa, apenas uma descrição de trabalho tinha um item de linha para “análises de segurança”, onde a função permitia que a equipe de segurança dissesse sim ou não às mudanças de desenvolvimento. Isso é revelador no contexto de outras observações sobre o papel da influência direta versus indireta sobre a engenharia e o desenvolvimento; por exemplo, o conhecimento de IaC é necessário não para usá-lo diretamente, mas para poder dizer aos outros como usá-lo.
Além disso, comunicação e orientação não foram listadas entre os pré-requisitos de trabalho mais comuns, mas metade das funções ainda tinha grandes expectativas para essa habilidade suave. Isso era especialmente verdadeiro para os cargos mais altos.
Entre o requisito de influenciar as equipes de desenvolvimento, o conhecimento necessário de ferramentas e automação de IaC, a necessidade de comunicação e orientação e a quase completa ausência de revisões formais de segurança, começa a surgir uma visão do profissional de segurança de infraestrutura mais bem-sucedido. Essa pessoa terá ampla experiência prática no ecossistema de nuvem, bem como habilidades para influenciar e construir credibilidade em equipes qualificadas que gerenciam ferramentas GitOps altamente novas e de ponta diariamente. Isso é realmente uma barra alta!
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- EVM Finanças. Interface unificada para finanças descentralizadas. Acesse aqui.
- Grupo de Mídia Quântica. IR/PR Amplificado. Acesse aqui.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Fonte: https://www.darkreading.com/edge/the-infrastructure-security-engineer-is-a-unicorn-among-thoroughbreds
- :tem
- :é
- :não
- :onde
- $UP
- 7
- a
- Capaz
- Sobre
- em
- endereço
- idade
- Todos os Produtos
- entre
- divertimento
- an
- e
- qualquer
- nada
- à parte
- Aplicação
- SOMOS
- por aí
- AS
- associado
- At
- Automatizado
- Automação
- Barra
- base
- BE
- Porque
- sido
- atrás
- ser
- MELHOR
- melhores práticas
- ambos
- amplo
- construir
- mas a
- by
- CAN
- candidatos
- não podes
- casas
- desafiar
- Alterações
- Na nuvem
- Cloud Security
- serviços na nuvem
- código
- combinação
- combinado
- comum
- Comunicação
- completar
- componentes
- preocupado
- confiança
- Configuração
- contexto
- poderia
- Para
- Credibilidade
- crítico
- ponta
- diariamente
- dados,
- Data
- dia a dia
- dias
- entregar
- implantado
- Implantação
- desenvolvimento
- Implantações
- descrito
- descrição
- desenvolvedores
- Desenvolvimento
- difícil
- diretamente
- diretamente
- Diretor
- disciplinado
- do
- fazer
- don
- down
- dezenas
- ecossistema
- eficiência
- emergem
- autorizar
- end-to-end
- engenheiro
- Engenharia
- Engenheiros
- garantir
- Meio Ambiente
- ambientes
- especialmente
- Mesmo
- Evento
- exemplo
- existe
- expectativas
- espera
- vasta experiência
- fracassado
- Funcionalidades
- Primeiro nome
- fluxo
- Escolha
- formal
- encontrado
- atrito
- da
- Geral
- dado
- tinha
- Metade
- mãos
- mãos em
- Queijos duros
- Ter
- Alta
- altamente
- contratar
- Contratando
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- Faminto
- if
- impossível
- in
- em profundidade
- Incluindo
- indústria
- influência
- Infraestrutura
- inerente
- integrar
- interesse
- entrevistados
- Entrevistas
- para dentro
- IT
- Trabalho
- títulos de trabalho
- jpg
- apenas por
- Guarda
- manteve
- Tipo
- Conhecimento
- Idiomas
- Sobrenome
- mais recente
- camada
- demissões
- Line
- Listado
- procurando
- a manter
- fazer
- gerencia
- gerenciados
- de grupos
- Gerente
- Gerentes
- gestão
- mentoring
- metódico
- poder
- modelo
- mais
- a maioria
- muito
- my
- nativo
- Perto
- quase
- você merece...
- necessário
- networking
- nunca
- Novo
- Novos Recursos
- não
- nós
- agora
- of
- frequentemente
- on
- ONE
- só
- or
- OS
- Outros
- Outros
- A Nossa
- Fora
- Acima de
- próprio
- passado
- Patches
- pessoa
- oleoduto
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- abertas
- práticas
- pré-requisitos
- principalmente
- primário
- priorização
- Priorizar
- prêmio
- problemas
- Produção
- Produtos
- profissional
- proteger
- colocar
- Coloca
- rapidamente
- RE
- reais
- recentemente
- reflete
- requeridos
- requerimento
- exige
- pesquisa
- responsabilidade
- responsável
- Opinões
- certo
- Tipo
- papéis
- corrida
- s
- mesmo
- dizer
- seguro
- assegurando
- segurança
- Vejo
- senior
- Serviços
- Partilhar
- compartilhado
- mostrando
- senta
- habilidade
- hábil
- Habilidades
- lento
- Suave
- Resolvendo
- alguns
- Espaço
- velocidade
- começo
- Ainda
- bem sucedido
- surpresa
- Converse
- Profissionais
- equipes
- tecnologia
- indústria de tecnologia
- Dados Técnicos:
- habilidades técnicas
- dizer
- Terraform
- do que
- que
- A
- deles
- Eles
- Este
- deles
- coisa
- coisas
- think
- Terceiro
- isto
- prosperando
- Através da
- tempo
- dicas
- títulos
- para
- juntos
- ferramentas
- Tendências
- verdadeiro
- Incerteza
- subjacente
- compreender
- compreensão
- unicórnio
- us
- usar
- utilização
- geralmente
- Vácuo
- Contra
- Ver
- vulnerabilidades
- vulnerabilidade
- foi
- Caminho..
- we
- BEM
- foram
- O Quê
- O que é a
- quando
- enquanto
- QUEM
- porque
- precisarão
- de
- palavras
- trabalhador
- fluxos de trabalho
- trabalhar
- trabalho
- seria
- sim
- Vocês
- investimentos
- zefirnet
