Security Engineer — Network&Infrastructure

Сеть в Яндексе — это не просто набор «железок» разных вендоров, но и множество автоматизаций, которые позволяют управлять всем парком сетевого оборудования: наливкой, конфигурацией, мониторингом. Большое количество собственных сетевых решений: например, YANET и Annet. И слой инфраструктуры: FreeBSD, Ubuntu, K8s.

Всё вместе объединяет серверы, расположенные в разных уголках планеты, в экосистему Яндекса.
Для этой роли особенно важен опыт AppSec: бо́льшая часть сетевой инфраструктуры и автоматизации — это внутренние сервисы и платформы, код которых необходимо аудировать и проектировать с учётом требований безопасности.

Команда информационной безопасности Яндекса

Проработка безопасной архитектуры и её аудит

Сеть Яндекса постоянно меняется. Вместе с коллегами из Network Operations Center (NOC) и базовой инфраструктуры мы определяем, какой она должна быть и какими свойствами обладать. Чему при этом должна соответствовать управляющая инфраструктура вокруг. В рамках процессов Security Design Review и Security Audit мы смотрим как на первоначальную идею, так и на реализацию. Примеры задач:
* Безопасный переезд сервисов NOC с железных серверов на K8s
* Аудит сервиса аутентификации и авторизации на базе TACACS+
* Выбор между stateless- и stateful-файерволом в разных обстоятельствах
* Обеспечение работы нескольких CNI в K8s
* Аудит кода инфраструктурных и сетевых сервисов (Golang/Python/C++)
* Развитие secure SDLC для инфраструктурной разработки

Развитие функций безопасности сетевой инфраструктуры

Кроме того, что сеть должна быть безопасной, она ещё и важный элемент безопасности: файерволы, netflow и другие логи соединений, инвентаризация и прочее. Департамент информационной безопасности сильно полагается на инструменты безопасности и сигналы от них. В Яндексе мы один из основных заказчиков NOC. Вам предстоит определять направление развития этого трека, чтобы успешно прокачивать как харденинг инфры, так и средства мониторинга безопасности.

Разработка инструментов и автоматизаций

Часть ваших задач — внедрение существующих инструментов в процессы команд, где вы помогаете делать безопасность. Другая часть — разработка новых инструментов, которые помогают успешно справиться с существующими (и помогут с будущими) проблемами. Инструменты могут быть самые разные: автоматизации вокруг SAST/DAST, улучшение внутренних процессов департамента информационной безопасности, bleeding-edge вокруг eBPF или безопасности Kubernetes.

* Понимаете механизмы безопасности Linux и контейнеризации
* Имеете опыт анализа архитектуры или аудита инфраструктурных сервисов
* Понимаете типичные классы уязвимостей и механизмы защиты в инфраструктурных сервисах
* Хотите и умеете автоматизировать свою работу, используя Golang или Python
* Понимаете, как устроена сеть, какие протоколы в ней используются и что может пойти не так, и хотите глубже разбираться в безопасности сетевой инфраструктуры

* Интересуетесь offensive security, участвуете в CTF, HackTheBox или исследуете безопасность инфраструктурных технологий самостоятельно
* Знаете принципы построения больших сетей передачи данных, основные протоколы маршрутизации, MPLS, SR