Проект: enterprise-сервис с повышенными требованиями к контролю доступа, журналированию и отказоустойчивости.
Стек:
– Платформа: Linux, Kubernetes, Helm
– IaC и GitOps: Terraform, Argo CD
– CI и supply chain: GitLab CI, SAST/SCA, Trivy/Grype, SBOM, Cosign + policy enforcement
– Secrets и доверенные связи: Vault (в т.ч. PKI), mTLS; интеграции с корпоративными KMS/аппаратными модулями защиты (по применимости)
– Policy-as-code: Kyverno или OPA Gatekeeper (выбор и стандартизация)
– Observability: Prometheus/Grafana, OpenTelemetry, централизованные логи (Loki или Elastic/OpenSearch - единый стандарт)
– Edge/Ingress: Nginx или Envoy (единый стандарт), опционально service mesh (Istio)
Роль и зона ответственности:
– Техническое лидерство направления DevSecOps/платформенной безопасности: стандарты, архитектурные решения, roadmap и приоритизация.
– Построение и развитие Kubernetes security baseline: доступы (RBAC), политики, сегментация, требования к средам и деплою.
– Защищенная поставка (supply chain): правила допуска артефактов, подпись, SBOM, security gates и enforcement в Kubernetes.
– Организация процессов управления сертификатами и доверенными связями для сервисов и интеграций: mTLS/PKI, ротация, отзыв.
– Секрет-менеджмент и контроль чувствительных учетных данных: Vault, аудит, break-glass, модели доступа и минимизация прав.
– Эксплуатационная зрелость: алертинг, SLO, неизменяемость журналов (по применимости), участие в IR/BCP/DR и учениях.
– Координация интеграций с корпоративными средствами защиты (WAF/NGFW/SIEM/EDR/DLP) совместно с профильными командами.
– Менторинг и ревью: качество IaC, пайплайнов, политик, эксплуатационных процедур (runbooks).
Требования:
– Опыт лидерства/ownership: проектирование стандартов и контроль их исполнения (архитектура, безопасность, эксплуатация).
– Production-Kubernetes и опыт построения HA/DR для критичных сервисов (RTO/RPO, бэкапы, учения).
– Глубокая практика supply chain security: подпись артефактов, SBOM, security gates, политики допуска и блокировки по риску.
– Понимание модели доверия и ротации сертификатов (mTLS/PKI) для сервисов и интеграций.
– Опыт внедрения secret-management (Vault или аналоги), аудит, разграничение доступа, практики least privilege.
– Понимание интеграций с SIEM/EDR/WAF/NGFW: требования к событиям, ретеншн, надежная доставка журналов.
– Английский язык - техдок; опыт работы в РФ-контуре комплаенса - плюс (по применимости).
Будет плюсом:
– Практика аудитов/сертификаций (ISO 27001/PCI DSS/ФСТЭК/ФСБ) - по применимости.
– Опыт проведения threat modeling и участия в пентестах/разборах уязвимостей.
– Runtime security (например, Falco) и зрелые практики incident response.
Условия:
– Работа в компании с более чем 18-ти летним опытом и занимающей лидирующую позицию на рынке спецдепозитарных услуг;
– Удаленный формат работы из любой точки РФ;
– График работы ПН-ПТ с 9.00 до 18.00 (есть возможность изменения рабочего времени начала и окончания рабочего дня);
– Полное соблюдение ТК РФ (оплачиваемый отпуск, больничный лист);
– Отличные возможности для профессионального развития и самореализации;
– Расширенный социальный пакет (ДМС, оплата обедов, оплата театральных билетов, авиа/железнодорожных билетов, проездных абонементов);
– Насыщенная корпоративная жизнь как для сотрудников, так и для их детей.