Altyapı Güvenlik Mühendisi, Safkan İngilizler Arasında Tek Boynuzlu Attır

Yakın zamanda gerçekleşen bulut tabanlı sektör etkinliğinde bir ekip bize şunu söylediğinde yüksek sesle güldü: "Konuşmadan yeni çıktık ve görünüşe göre artık altyapı güvenlik mühendisleriyiz." Teknoloji endüstrisindeki yaygın işten çıkarmalarla birlikte, iş unvanlarının eğlencesinin altında, bu yeni rolde ve ilgili ekosistemde başarılı olmaya yönelik beklentiler konusundaki gerçek belirsizlik yatıyor.

Kubernetes ve bulut tabanlı uygulama dağıtımı çağında, altyapı güvenlik mühendisi işe alınacak bir ödüldür. Ancak düzinelerce iş tanımı ve uygulayıcı görüşmesi sonucunda bu rolün son derece zorlu bir mücadeleyi yansıttığını gördük: hem dolaylı etkide hem de zorlu teknik becerilerde en iyi olmak.

Peki altyapı güvenlik mühendisliği nedir? Altyapı veya bulut güvenliği ekibi, uygulama katmanı yerine altyapı katmanında (sürpriz değil) oturuyor. Öncelikle dağıtım ve çalışan bulut ortamıyla ilgilenirler.

Bu rol hakkında anlaşılması gereken ilk şey, bulut güvenliği paylaşılan sorumluluk modeli onlardan gerektirir. Bu durumuda yönetilen Kubernetes platformlarıgenel bir PaaS modeli varsayabiliriz. Bu, neredeyse her şeyi bir araya getiren ortak bir sorumluluk modeli anlamına gelir. bulutun tüm konfigürasyonu altyapı güvenliği rolünün elinde. Google'ın kendi ifadeleriyle, "GKE için, yamaların işletim sistemine, çalışma zamanına ve Kubernetes bileşenlerine dağıtılması ve elbette kendi iş yükünüzün güvenliğinin sağlanması da dahil olmak üzere çalışan düğümlerinizi korumaktan siz sorumlusunuz."

Ancak paylaşılan sorumluluk modeli yalnızca başlangıçtır. Hiçbir rol boşlukta mevcut değildir ve bu rolün güvenlik açığı yönetimi ve alandaki trendler konusunda güncel kalma dışında en yaygın üçüncü gerekliliği, kuruluştaki diğer ekiplere en iyi uygulamaları aşılamaktır. Bir işe alma yöneticisinin belirttiği gibi, "Asıl sorumluluğunuz, mühendislik ekiplerimizin en iyi güvenlik uygulamalarını iş akışlarına entegre etmesini ve güvenli ürün ve hizmetler sunmasını sağlamak olacaktır."

Ekiplerin yeni özelliklerin üretime akışını yavaşlatacak herhangi bir şey yapmasını bir geliştirme ekibinden istemenin doğasında bir sürtüşme vardır; Güvenliği DevOps süreçlerine dahil etmek aslında daha hızlı teslimat yapıyorlar.

Altyapı Güvenlik Mühendislerinin Başarılı Olması Gerekenler

İşe alma yöneticileri, adayların az önce açıklanan türde bir rolde başarılı olmasını sağlayacak ne düşünüyor? Şaşırtıcı olmayan bir şekilde, bulut platformları ve ağ oluşturma konusunda uygulamalı deneyimin ardındaki bu rol için üçüncü en yaygın gereksinim, komut dosyası dillerinde yeterliliğin yanı sıra herhangi bir kombinasyonla ilgili uygulamalı deneyimdir. IaC, Terraform ve CI/CD hattı. Neden? Çünkü dağıtımları hiçbir zaman kodla otomatikleştirmediyseniz, en iyi güvenlik uygulamalarını bunu günlük olarak yapan geliştiricilerle paylaşmanız imkansız olacaktır.

Altyapı güvenliği rolündeki son ortak gereksinim, uçtan uca geliştirme hattının derinlemesine anlaşılmasıdır. Bir güvenlik mühendisi buluttaki en son gelişmeleri takip etmeyi, geliştirmeyi etkilemeyi ve buluttaki güvenlik açıklarını günlük bazda yönetmeyi bekliyorsa, verimlilik, bunların hepsinin birlikte nasıl çalıştığı ve nasıl önceliklendirileceği konusunda bir anlayışa sahip olmaları gerekir. .

İşte röportaj yaptığımız kişilerden birkaç ipucu daha:

• “Sadece buluta bakıyorsanız Kubernetes'i unutmayın. Günümüzde yönetilen bulut hizmetleri aracılığıyla sıklıkla dağıtılsa da, bulut ortamlarındaki güvenlik açıklarının ele alındığı şekilde ele alınamaz." — Bulut güvenliği direktörü
• “Triyaj kritiktir. Geçmişte ekiplerim başarısız olduğunda bunun nedeni genellikle parlak şeylerin peşinde koşmamızdı. Önceliklendirme konusunda disiplinli ve metodik davranarak, (neredeyse) herhangi bir zamanda doğru sorunlar üzerinde çalıştığımıza olan güvenimizi koruyoruz." — Yönetici, altyapı ve BT güvenliği
• “Mühendislik ekiplerinin güvenlik sorunlarını çözme konusundaki ilgisini hafife almayın. Onları veri ve bağlamla güçlendirin ve bunları kullanmaya ne kadar aç olduklarını görün." — Yönetici, altyapı ve BT güvenliği

Bu Neden En Zor İş Olabilir?

İlginç bir şekilde, araştırmamızda yalnızca bir iş tanımında "güvenlik incelemeleri" için bir satır öğesi vardı; burada rol, güvenlik ekibinin geliştirme değişikliklerine evet veya hayır demesine olanak tanıyordu. Bu, mühendislik ve geliştirme üzerindeki doğrudan ve dolaylı etkinin rolüne ilişkin diğer gözlemler bağlamında anlamlıdır; örneğin IaC bilgisine doğrudan kullanmak için değil, başkalarına nasıl kullanacaklarını anlatabilmek için ihtiyaç duyulur.

Ayrıca iletişim ve mentorluk en yaygın iş önkoşulları arasında yer almıyordu ancak rollerin yarısının bu sosyal beceriye yönelik hâlâ yüksek beklentileri vardı. Bu özellikle daha üst düzey pozisyonlar için geçerliydi.

Geliştirme ekiplerini etkileme gerekliliği, gerekli IaC araçları ve otomasyon bilgisi, iletişim ve mentorluk ihtiyacı ve resmi güvenlik incelemelerinin neredeyse tamamen yokluğu arasında, en başarılı altyapı güvenliği uzmanına dair bir görüş ortaya çıkmaya başlar. Bu kişi, bulut ekosisteminde geniş uygulamalı deneyime sahip olacak ve ayrıca günlük olarak son derece yeni, son teknolojiye sahip GitOps araçlarını yöneten yetenekli ekipleri etkileme ve güvenilirlik oluşturma becerilerine sahip olacak. Bu gerçekten yüksek bir çıta!

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• EVM Finans. Merkezi Olmayan Finans için Birleşik Arayüz. Buradan Erişin.
• Kuantum Medya Grubu. IR/PR Güçlendirilmiş. Buradan Erişin.
• PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
• Kaynak: https://www.darkreading.com/edge/the-infrastructure-security-engineer-is-a-unicorn-among-thoroughbreds