devops engineer

Компания ищет опытного SRE-инженера для построения практик информационной безопасности с нуля. В компании есть работающая production-инфраструктура, но отсутствует системный подход к ИБ. Требуется специалист, который сможет оценить текущее состояние, сформировать стратегию и поэтапно её реализовать. Роль предполагает как архитектурную работу, так и hands-on.

• Провести аудит текущей инфраструктуры, выявить риски и сформировать security roadmap с приоритетами
• Выстроить модель угроз и определить security-периметры для сервисов на Kubernetes и Docker Swarm
• Спроектировать и внедрить политики безопасности кластеров: сетевые политики, RBAC, admission controllers, pod security standards
• Построить процесс управления секретами и доступами к PostgreSQL, Redis, RabbitMQ, ClickHouse, TimescaleDB — шифрование, ротация ключей, аудит
• Заложить security-мониторинг поверх существующего observability-стека (OpenTelemetry, Loki, Tempo): детекция аномалий, security-алертинг, корреляция событий
• Выстроить secure CI/CD pipeline: сканирование образов, SBOM, подпись артефактов, policy gates
• Сформировать и внедрить стандарты hardening: CIS benchmarks, runtime security (Falco / Tetragon), сетевая сегментация
• Разработать процессы реагирования на инциденты: runbooks, эскалации, post-mortem
• Внедрить подход policy-as-code (OPA / Kyverno) и интегрировать его в IaC (Terraform / Ansible)
• Формировать security-культуру в команде: ревью, обучение, документация

• 5+ лет опыта в SRE / DevOps, из них не менее 2 лет с задачами в области ИБ
• Опыт построения security-практик, а не только поддержки существующих — умение работать в условиях, когда «ничего ещё не настроено»
• Глубокое знание Kubernetes: умение выстраивать безопасные кластеры, а не только деплоить в них
• Практический опыт с PostgreSQL, Redis, RabbitMQ в production — тюнинг, мониторинг, бэкапы, disaster recovery
• Опыт работы с колоночными / timeseries СУБД (ClickHouse, TimescaleDB)
• Уверенное владение стеком наблюдаемости: OpenTelemetry, Loki, Tempo (или аналоги)
• Понимание сетевой безопасности: TLS, mTLS, сетевые политики, service mesh
• Linux на уровне расследования инцидентов: strace, tcpdump, auditd
• Навыки скриптинга: Bash, Python или Go
• Способность приоритизировать: понимание, что нельзя сделать всё сразу, и умение выстроить последовательность шагов
• Будет плюсом сертификации: CKS, CKA, OSCP, CompTIA Security+; опыт с Falco, Trivy, Grype, cosign, Notary; практика внедрения compliance-фреймворков (SOC 2, ISO 27001, PCI DSS); опыт построения zero-trust архитектуры; контрибьюции в open source в области DevSecOps.

• Полностью удалённая работа
• Возможность построить security-направление с чистого листа
• Влияние на архитектурные решения
• Гибкий график