Старший инженер по безопасности производства

Что предстоит делать

**О клиенте** Наш клиент — это neocloud, строящая специализированную GPU-инфраструктуру для AI-нагрузок. Мы управляем крупномасштабными кластерами, обеспечивающими обучение и инференс для одних из самых требовательных AI-заказчиков на рынке, и быстро расширяемся. Наша инфраструктура работает на ускорителях NVIDIA и AMD, InfiniBand и высокоскоростных Ethernet-сетях, а также на производственном стеке, включающем bare-metal provisioning, Kubernetes и OpenStack. Мы небольшая, опытная и быстро движущаяся команда. Люди, которые преуспевают здесь, берут на себя ответственность за задачи от начала до конца и принимают решения в условиях неполной информации. **Роль** Безопасность — ключевая часть того, кто мы есть и как мы работаем. Мы нанимаем Senior Production Security Engineer, чтобы усилить и масштабировать наши возможности в области безопасности. Это не роль, ориентированная на соответствие требованиям, и не чисто консультативная. Мы ищем практикующего senior-инженера, который может выявлять высокорисковые пробелы и возможности, сотрудничать с инженерными и руководящими командами для разработки эффективных решений и внедрять эти решения с помощью кода, автоматизации и инструментов. В дополнение к инициативам, связанным с безопасностью, этот человек будет вносить значимый вклад в более широкие усилия по инфраструктуре, платформе и производственной инженерии. Помимо технических обязанностей, эта роль играет ключевую роль в формировании культуры инженерии, ориентированной на безопасность. Вы будете выступать за лучшие практики, обучать команды и помогать повышать планку безопасности во всей организации. Это возможность сформировать будущее нашей функции безопасности и стать основополагающим лидером по мере ее дальнейшего роста. **Что это за роль и чем она не является** **Эта роль — это:** * Senior-инженер, который ведет основную работу по безопасности. * Самостоятельный практик, который выявляет слабые места в безопасности, возможности для улучшения, расставляет приоритеты и строит реалистичный roadmap. * Межфункциональный партнер, который работает с командами инфраструктуры, платформы, облака и руководством, чтобы рекомендовать действия и разрабатывать архитектуру решений. * Строитель, который внедряет решения в программном обеспечении, инструментарии и инфраструктуре, а не только в слайдах и политиках. * Ревьюер и консультант, который сотрудничает с разработчиками и командами по предлагаемым проектам с точки зрения безопасности. * Разносторонний участник, который также выполняет значимую работу в других инженерных областях. **Эта роль не является:** * Ролью по нормативному или юридическому соответствию. Доказательства соответствия будут побочным продуктом хорошей инженерии, а не самой работой. * Ролью «только аудит и рекомендации». Нам нужен кто-то, кто создает то, что рекомендует. **Над чем вы будете работать** Ниже описан объем работ, в рамках которого эта роль будет укреплять, автоматизировать и проверять состояние безопасности клиента в нашей инфраструктуре, платформе и пользовательских интерфейсах. Мы ожидаем, что человек на этой роли уточнит приоритеты на основе того, что он узнает в первые недели. **Внутренние инструменты, сервисы и приложения, которые укрепляют нашу безопасность** * Правильные практики сетевой сегментации между арендаторами, управлением и пользовательскими плоскостями. * Архитектура управления доступом к SSH и системам. * Многоуровневое хранение секретов как для внутренних пользователей, так и для клиентов. * Управление учетными записями пользователей и политика жизненного цикла для основных систем (правильное выполнение процессов приема, перемещения и увольнения сотрудников). * Пути ротации секретов для основных внутренних систем: автоматизированные, проверяемые и не полагающиеся на «племенные знания». * Архитектура выпуска сертификатов x509, внутренний PKI, которым мы действительно можем управлять и ротировать. **Мониторинг, оповещение и аудит, ориентированные на безопасность** * Многорезервированное логирование административных действий Vault. * Логирование доступа и действий GCP с реальным хранением и оповещением. * Автоматическое оповещение и отчетность из конвейеров агрегации логов. * Анализ и отчетность по сетевому трафику на основе существующей телеметрии сети. * Информационные панели по безопасности, которые действительно используются, а не просто созданы. **Управление секретами и идентификацией для клиентов** По мере развития нашего облачного предложения эта роль помогает определить историю для клиентов: * Архитектура KMS и варианты. * Стратегия шифрования: в покое, в транзите и в рамках арендатора. * Поверхности для отчетности по безопасности для клиентов. * Управление логинами, идентификацией и учетными записями клиентов для облачной платформы. **Анализ того, что у нас уже есть** * Владеть и проводить сторонние пентесты и red team-мероприятия. * Провести полный анализ дизайна и архитектуры нашего текущего стека и задокументировать ландшафт рисков. * Преобразовать выводы в приоритетный, обеспеченный ресурсами план исправлений. **Четкие политики и партнерство в отношении стороннего кода** * Владеть моделью ответственности или принять осознанное решение платить кому-то другому. * Процессы и инструменты для проверки стороннего ПО и оценки рисков зависимостей. * «Счастливый путь» для инженеров: простой, поддерживаемый способ безопасного подключения стороннего кода. **Что мы ищем** **Обязательно** * 7+ лет практического инженерного опыта, значительная часть которого связана с безопасностью в производственных средах. * Подтвержденный опыт проектирования и работы в мультиарендных средах с изоляцией арендаторов: облако, neocloud, хостинг или регулируемое предприятие. * Глубокое практическое знание управления секретами (HashiCorp Vault или аналог), PKI и систем идентификации (Okta, Google Workspace или аналоги). * Сильные знания Linux и основ ОС: вы понимаете, что на самом деле происходит на машине, а не только то, что сообщает инструмент. * Рабочее владение сетевыми технологиями и сетевой безопасностью: межсетевые экраны, сегментация, VPN, BGP на концептуальном уровне и современные средства контроля L3/L4. * Опыт работы как минимум с одним из: безопасность Kubernetes (admission control, network policy, workload identity), глубокое знание облачного IAM (GCP, AWS или Azure) или анализ безопасности infrastructure-as-code. * Опыт проектирования и внедрения автоматизации CI/CD, достаточный для того, чтобы при необходимости самостоятельно построить «проторенный путь». * Опыт проведения или реагирования на сторонний аудит, пентест или проверку безопасности, инициированную клиентом. * Четкая, прямая письменная коммуникация: большая часть нашей команды и работы асинхронна. **Настоятельно желательно** * Опыт работы первым или одним из первых выделенных сотрудников по безопасности в компании и построения функции с нуля. * Опыт работы в средах GPU-кластеров, HPC или AI-инфраструктуры. * Знакомство с InfiniBand, RoCE или другими высокопроизводительными сетями с точки зрения безопасности и сегментации. * Опыт работы с SOC 2, ISO 27001, HIPAA или аналогичными фреймворками, достаточный, чтобы знать, что на самом деле волнует аудиторов, не будучи специалистом по комплаенсу. * Опыт поддержки чувствительных рабочих нагрузок клиентов (регулируемые отрасли, правительство, передовые AI-лаборатории). **Как мы работаем** * Мы работаем удаленно, охватывая часовые пояса США, Латинской Америки и ЕС. * Мы все записываем: решения, архитектуру, runbook'и, post-mortem'ы, модели угроз. * Мы активно используем AI-инструменты в повседневной работе и ожидаем, что каждый член команды будет свободно владеть ими и помогать нам получать от них больше пользы. * Мы поставляем, отлаживаем, итерируем. Мы не «процессинжинирим» проблемы, которые нужно решать. **AI как мультипликатор силы** Мы делаем осознанную ставку на то, что AI меняет форму инфраструктурных команд и команд безопасности. Наш план — масштабировать платформу клиента быстрее, чем мы увеличиваем штат, используя кодирующих агентов для написания и рефакторинга автоматизации, AI-ассистированное тестирование и валидацию для укрепления наших изменений, а также LLM-управляемые инструменты для сжатия работы по расследованию, документированию и операционному анализу. Мы уже делаем это в production: Claude Code для операций SRE, MCP-серверы, предоставляющие доступ к Jira, NetBox и Checkmk, и активные усилия по преобразованию «племенных» знаний об инфраструктуре в форматы, потребляемые AI. Что касается безопасности, мы ищем того, кто в восторге от этого, а не того, кто терпит AI-инструменты только потому, что они указаны в описании вакансии. Это означает: * Использование AI-ассистированных рабочих процессов по умолчанию для таких задач, как анализ логов, аудит конфигураций, поддержка моделирования угроз и составление политик. * Определение того, где агенты могут взять на себя значимые части работы по безопасности: триаж оповещений, составление RCA, генерация и валидация конфигураций усиления защиты, анализ pull request'ов на предмет изменений, связанных с безопасностью. * Создание основы, необходимой команде, чтобы сделать AI действительно полезным: хорошая документация, четкие схемы, интеграции MCP и структурированные знания о нашей среде. * Честность в отношении того, где AI добавляет ценность, а где нет, как перед командой, так и перед руководством. Если ваша реакция на это: «Наконец-то команда, которая серьезно к этому относится», — нам нужно поговорить. **Как выглядит успех** * **Первые 30 дней:** Вы построили рабочие отношения с командами инфраструктуры, платформы, сети и облака, изучили нашу производственную среду настолько, чтобы понять, где находятся реальные риски, и подготовили черновик наших главных проблем безопасности, ранжированных по влиянию и трудозатратам. * **Первые 90 дней:** Вы владеете заслуживающим доверия, приоритизированным реестром рисков безопасности, который руководство и инженеры действительно используют в планировании. Вы приняли как минимум одно значимое архитектурное решение (по доступу, секретам или идентификации), которое команда признала правильным. Для общих SSH-ключей с правами администратора и общих или слабых паролей на критических системах существует конкретный план и сроки их устранения. * **Первые 12 месяцев:** Работающий внутренний PKI и история ротации секретов внедрены для основных систем. Логирование, оповещение и информационные панели, связанные с безопасностью, охватывают наши наиболее ценные системы с работающим путем эскалации для дежурных. Проведен сторонний пентест, и для его результатов есть план исправлений с ответственными и сроками. У инженерных команд есть четкий, малотрудозатратный путь для стороннего кода и для ревью дизайна новых сервисов. У вас и руководства есть общее мнение о том, как должен выглядеть следующий найм в функцию безопасности и станет ли это командой, поиском CSO или и тем, и другим. **Преимущества:** * Неограниченный оплачиваемый отпуск (PTO) * Медицинская страховка с полным покрытием за счет работодателя * Взносы в 401k за счет компании * Прозрачная, открытая культура с индивидуальным коучингом, обзорами производительности и последовательным циклом обратной связи * Разнообразные, уважающие друг друга, высокопроизводительные коллеги, с которыми вы захотите достигать величия!