Inženir za varnost infrastrukture je samorog med čistokrvnimi

Ekipa na nedavnem industrijskem dogodku v oblaku se je glasno nasmejala, ko nam je povedala: "Pravkar smo prišli iz pogovora in očitno smo zdaj inženirji za varnost infrastrukture." Zaradi nenadnih odpuščanj v tehnološki industriji je pod zabavo nazivov delovnih mest resnična negotovost glede pričakovanj za uspeh v tej novi vlogi in povezanem ekosistemu.

V dobi Kubernetesa in uvajanja izvornih aplikacij v oblaku je inženir za varnost infrastrukture prava nagrada. Toda na desetine opisov delovnih mest in razgovorov s strokovnjaki smo ugotovili, da ta vloga odraža izjemno težek izziv: biti najboljši tako pri posrednem vplivu kot pri trdih tehničnih veščinah.

Torej, kaj sploh je varnostni inženiring infrastrukture? Ekipa za infrastrukturo ali varnost v oblaku sedi (ni presenetljivo) na ravni infrastrukture v primerjavi s slojem aplikacije. Skrbijo predvsem za uvajanje in tekoče okolje v oblaku.

Prva stvar, ki jo je treba razumeti pri tej vlogi, je, koliko model deljene odgovornosti za varnost v oblaku zahteva od njih. V primeru upravljane platforme Kubernetes, lahko predpostavimo splošni model PaaS. To pomeni model deljene odgovornosti, ki postavlja skoraj celotno konfiguracijo oblaka v rokah varnostne vloge infrastrukture. Z Googlovimi lastnimi besedami: "Za GKE ste odgovorni za zaščito svojih delovnih vozlišč, vključno z uvajanjem popravkov v OS, izvajalnem okolju in komponentah Kubernetes, in seveda za zaščito lastne delovne obremenitve."

Toda model deljene odgovornosti je šele začetek. Nobena vloga ne obstaja v vakuumu in tretja najpogostejša zahteva v tej vlogi, poleg upravljanja ranljivosti in spremljanja trendov v prostoru, je vnos najboljših praks v druge ekipe v organizaciji. Kot je rekel en vodja zaposlovanja: »Vaša primarna odgovornost bo zagotoviti, da naše inženirske ekipe vključijo najboljše varnostne prakse v svoje poteke dela ter zagotavljajo varne izdelke in storitve.«

Če od razvojne ekipe zahtevate, naj stori karkoli, kar bi lahko upočasnilo pretok novih funkcij v produkcijo, je prisotno trenje, tudi če se je pokazalo, da ekipe vpenjajo varnost v svoje procese DevOps dejansko dostavijo hitreje.

Kaj inženirji za varnost infrastrukture potrebujejo za uspeh

Kaj menedžerji za zaposlovanje mislijo, da bodo kandidati uspešni v pravkar opisani vlogi? Ni presenetljivo, da je tretja najpogostejša zahteva za to vlogo – za praktičnimi izkušnjami s platformami v oblaku in mreženjem – znanje skriptnih jezikov v kombinaciji s praktičnimi izkušnjami s katero koli kombinacijo IaC, Terraform in cevovod CI/CD. Zakaj? Ker če nikoli niste avtomatizirali uvajanja s kodo, bo nemogoče deliti najboljše varnostne prakse z razvijalci, ki to počnejo vsak dan.

Zadnja pogosta zahteva v vlogi varnosti infrastrukture je poglobljeno razumevanje razvojnega cevovoda od konca do konca. Če varnostni inženir pričakuje, da bo na tekočem z najnovejšimi novostmi v oblaku, vplival na razvoj in vsakodnevno upravljal ranljivosti v oblaku, potrebuje razumevanje učinkovitosti, kako vse skupaj deluje in kako določiti prednost .

Še nekaj nasvetov naših sogovornikov:

• »Če samo gledate oblak, ne pozabite na Kubernetes. Čeprav se danes pogosteje uporablja prek upravljanih storitev v oblaku, ga ni mogoče obravnavati na enak način, kot bi obravnavali ranljivosti za okolja v oblaku.« — Direktor varnosti v oblaku
• »Triaža je kritična. Ko je mojim ekipam v preteklosti spodletelo, je bilo to običajno zato, ker smo lovili bleščeče stvari. Ker smo disciplinirani in metodični pri določanju prioritet, ohranjamo zaupanje, da rešujemo prave težave v (skoraj) vsakem trenutku.« — Vodja, infrastruktura in varnost IT
• »Ne podcenjujte zanimanja inženirskih ekip za reševanje varnostnih problemov. Opolnomočite jih s podatki in kontekstom ter poglejte, kako lačni so tega uporabiti.« — Vodja, infrastruktura in varnost IT

Zakaj je to lahko najtežje delo

Zanimivo je, da je v naši raziskavi samo en opis delovnega mesta vseboval postavko za "varnostne preglede", kjer je vloga varnostni ekipi omogočila, da reče da ali ne razvojnim spremembam. To je zgovorno v kontekstu drugih opazovanj o vlogi neposrednega v primerjavi s posrednim vplivom na inženiring in razvoj; na primer, znanje IAC ni potrebno za neposredno uporabo, ampak za to, da lahko drugim povemo, kako naj ga uporabljajo.

Prav tako komunikacija in mentorstvo nista bila navedena med najpogostejšimi predpogoji za zaposlitev, vendar je polovica vlog vseeno imela visoka pričakovanja glede te mehke veščine. To je še posebej veljalo za višje položaje.

Med zahtevo po vplivanju na razvojne skupine, zahtevanim znanjem o orodjih in avtomatizaciji IAC, potrebo po komunikaciji in mentorstvu ter skoraj popolno odsotnostjo formalnih varnostnih pregledov se začne pojavljati pogled na najuspešnejšega strokovnjaka za varnost infrastrukture. Ta oseba bo imela široke praktične izkušnje v ekosistemu v oblaku, pa tudi veščine za vplivanje in ustvarjanje verodostojnosti v usposobljenih ekipah, ki dnevno upravljajo zelo nova, vrhunska orodja GitOps. To je res visoka letvica!

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• EVM Finance. Poenoten vmesnik za decentralizirane finance. Dostopite tukaj.
• Quantum Media Group. IR/PR ojačan. Dostopite tukaj.
• PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
• vir: https://www.darkreading.com/edge/the-infrastructure-security-engineer-is-a-unicorn-among-thoroughbreds