Senior DevSecOps инженер / Инфраструктурный безопасник (техлид)

Проект: enterprise-внедрение сервиса на базе SMPC.

Стек:

• Платформа: Linux, Kubernetes (containerd), Helm

• IaC и GitOps: Terraform, Argo CD

• CI и supply chain: GitLab CI, Trivy (сканирование), Cosign (подпись), SBOM (CycloneDX/SPDX)

• Secrets и PKI: HashiCorp Vault (в т.ч. PKI), mTLS

• Policy-as-code (Kubernetes): Kyverno

• Observability: Prometheus, Grafana, Loki, OpenTelemetry

• Интеграции безопасности (в контуре компании): WAF/NGFW, SIEM (интеграция логов)

Задачи:

• Эксплуатация и развитие production-Kubernetes платформы: обновления, capacity, hardening, контроль конфигураций, HA.

• Построение защищенного CI/CD и security gates: SAST/SCA, контейнерное сканирование, SBOM, подпись артефактов и проверка при деплое.

• Настройка безопасного транспорта для RPC/gRPC/WebSocket и внутренних интеграций: mTLS, управление сертификатами, автоматическая ротация.

• Секрет-менеджмент: централизованная выдача/ротация секретов, аудит доступа, контроль жизненного цикла учетных данных и токенов.

• Наблюдаемость и эксплуатационная готовность: метрики, алертинг, централизованные логи, трассировка; участие в инцидентах и разборе причин.

• Интеграция с корпоративными средствами защиты совместно с ИБ/сетями/СОКом: требования к событиям, журналам, ретеншну и каналам доставки.

• Подготовка и поддержка регламентов (runbooks), участие в DR-учениях и улучшении RTO/RPO.

Требования:

• Практический опыт production-Kubernetes и эксплуатации распределенных систем.

• Опыт построения CI/CD с контрольными точками безопасности (сканирование зависимостей/контейнеров, SBOM, подпись артефактов, политики деплоя).

• Знание mTLS/PKI и опыт автоматизации ротации сертификатов; уверенное понимание безопасного RPC/gRPC.

• Опыт внедрения и эксплуатации secret-management (Vault или аналоги), аудит и разграничение доступа.

• Понимание принципов hardening, least privilege (RBAC), network segmentation и базовых контролей Kubernetes security.

Будет плюсом:

• Интеграции с аппаратными модулями защиты (по применимости).

• Service mesh (Istio) или продвинутый L7 ingress/gateway (Envoy).

• Опыт аудитов/пентестов, практики ISO 27001/PCI DSS/ФСТЭК (по применимости).

• Опыт построения DR-контуров и регулярных учений восстановления.

Условия:

• Работа в компании с более чем 18-ти летним опытом и занимающей лидирующую позицию на рынке спецдепозитарных услуг;
• Удаленный формат работы из любой точки РФ;
• График работы ПН-ПТ с 9.00 до 18.00 (есть возможность изменения рабочего времени начала и окончания рабочего дня);
• Полное соблюдение ТК РФ ("белая" заработная плата, оплачиваемый отпуск, больничный лист);
• Отличные возможности для профессионального развития и самореализации;
• Расширенный социальный пакет (ДМС, оплата обедов, оплата театральных билетов, авиа/железнодорожных билетов, проездных абонементов);
• Насыщенная корпоративная жизнь как для сотрудников, так и для их детей.