Сеть в Яндексе — это не просто набор «железок» разных вендоров, но и множество автоматизаций, которые позволяют управлять всем парком сетевого оборудования: наливкой, конфигурацией, мониторингом. Большое количество собственных сетевых решений: например, YANET и Annet. И слой инфраструктуры: FreeBSD, Ubuntu, K8s. Всё вместе объединяет серверы, расположенные в разных уголках планеты, в экосистему Яндекса. Для этой роли особенно важен опыт AppSec: бо́льшая часть сетевой инфраструктуры и автоматизации — это внутренние сервисы и платформы, код которых необходимо аудировать и проектировать с учётом требований безопасности.

Обязанности:

Проработка безопасной архитектуры и её аудит
Сеть Яндекса постоянно меняется. Вместе с коллегами из Network Operations Center (NOC) и базовой инфраструктуры мы определяем, какой она должна быть и какими свойствами обладать. Чему при этом должна соответствовать управляющая инфраструктура вокруг. В рамках процессов Security Design Review и Security Audit мы смотрим как на первоначальную идею, так и на реализацию. Примеры задач: * Безопасный переезд сервисов NOC с железных серверов на K8s * Аудит сервиса аутентификации и авторизации на базе TACACS+ * Выбор между stateless- и stateful-файерволом в разных обстоятельствах * Обеспечение работы нескольких CNI в K8s * Аудит кода инфраструктурных и сетевых сервисов (Golang/Python/C++) * Развитие secure SDLC для инфраструктурной разработки Развитие функций безопасности сетевой инфраструктуры
Кроме того, что сеть должна быть безопасной, она ещё и важный элемент безопасности: файерволы, netflow и другие логи соединений, инвентаризация и прочее. Департамент информационной безопасности сильно полагается на инструменты безопасности и сигналы от них. В Яндексе мы один из основных заказчиков NOC. Вам предстоит определять направление развития этого трека, чтобы успешно прокачивать как харденинг инфры, так и средства мониторинга безопасности. Разработка инструментов и автоматизаций
Часть ваших задач — внедрение существующих инструментов в процессы команд, где вы помогаете делать безопасность. Другая часть — разработка новых инструментов, которые помогают успешно справиться с существующими (и помогут с будущими) проблемами. Инструменты могут быть самые разные: автоматизации вокруг SAST/DAST, улучшение внутренних процессов департамента информационной безопасности, bleeding-edge вокруг eBPF или безопасности Kubernetes.

Ключевые навыки:

  • Понимаете механизмы безопасности Linux и контейнеризации
  • Имеете опыт анализа архитектуры или аудита инфраструктурных сервисов
  • Понимаете типичные классы уязвимостей и механизмы защиты в инфраструктурных сервисах
  • Хотите и умеете автоматизировать свою работу, используя Golang или Python
  • Понимаете, как устроена сеть, какие протоколы в ней используются и что может пойти не так, и хотите глубже разбираться в безопасности сетевой инфраструктуры

Дополнительные требования:

  • Интересуетесь offensive security, участвуете в CTF, HackTheBox или исследуете безопасность инфраструктурных технологий самостоятельно
  • Знаете принципы построения больших сетей передачи данных, основные протоколы маршрутизации, MPLS, SR