DevSecOps Engineer (Security Team) (удаленная работа)
(вакансия в архиве)

Вакансия: DevSecOps Engineer (Security Team)

Компания "SEMrush"

Semrush – продуктовая IT-компания. С 2008 года мы разрабатываем свою собственную онлайн-платформу для интернет-маркетологов, и у нас неплохо получается! Доказательством этому является премия WORLD’S BEST SEARCH SOFTWARE, которую мы получаем уже три года подряд. С помощью Semrush можно отслеживать эффективность сайта, оценивать положение продукта в сети, анализировать конкурентов и многое другое.

Сегодня нашим сервисом пользуются 7 000 000+ клиентов из Америки, Европы, Азии и Австралии, а над созданием трудятся более 900 человек по всему миру. С самого основания мы привержены своим фундаментальным ценностям: всегда отдавать приоритет людям, а не процессам, приспосабливаться к переменам, а не следовать строгому плану.

Хочешь с нами? Сейчас самое время! Команда Security Team в поисках нового коллеги на вакансию DevSecOps engineer.

В группе сейчас 3 специалиста, мы занимаемся обеспечением и развитием infrastructure security в компании. У нашей группы большие планы и амбиции. Все решения мы стараемся принимать совместно. Нам не хватает коллеги, любящего решать сложные задачи, готового исследовать и создавать новое, который не боится иногда заглянуть в беклог.

У нас есть несколько проектов в работе:

• совместно с командой развивать практики безопасности в GCP и k8s (фокус на Policy as Code),
• участвовать в анализе архитектуры и аудите новых сервисов с точки зрения безопасности инфраструктуры,
• интегрировать контроли безопасности с CI/CD,
• развивать и помогать dev командам внедрять практики безопасного хранения секретов (Vault/GCP secret manager),
• участвовать в развитии существующей системы выявления и реагирования на инциденты безопасности SIEM на базе Splunk ES.

У нас также много планов, которые еще предстоит обсудить и реализовать. Есть возможность предлагать свое видение того, как можно повысить защищенность инфраструктуры, какие есть возможности для автоматизации.

Какие задачи придется решать:

У нас очень гибкий подход и мы всегда стараемся найти компромисс между нужными задачами и интересными, которые будут развивать. Мы стараемся закладывать чуть больше времени, чтобы иметь возможность хорошо проработать задачу, задокументировать все важное и при необходимости провести ресерч.

Примером задач может быть:

• дежурство (у нас есть несколько систем, которые шлют нам алерты), без этого пока никак, но мы очень стараемся минимизировать время необходимое на дежурство за счет адекватного подхода, автоматизации и хороших ранбуков)
• решение задач связанных с обеспечением соответствие стандарту PCI DSS (мы уже не 1 год проходим аудит, но всегда есть рутина + желание сделать все еще лучше)
• создание правил корреляции в SIEM, алертов для правила и runbooks по реагированию
• анализ и создание security policy для k8s
• формирование требований и проведение аудита инфраструктуры GCP для новых сервисов
• интегрирование новых инструментов анализа в CI/CD

В группе нет четких рамок, все инициативы/улучшения/развитие систем обсуждаются и формируется роадмап с критериями успеха. Мы стараемся не ограничивать себя в скопе выбираемых решений, любим аргументированные доводы и всегда помогаем друг другу:)

Мы ждём от тебя:

• опыт Linux администрирования
• хорошие знание сетей
• навыки автоматизации/программирования (bash,Python/Go/PHP)
• понимание основ безопасности
• понимание CI/CD

Плюсом будут:

• знание GCP
• умение работать с docker/k8s
• понимание практик DevOps/DevSecOps
• умение выстраивать коммуникации с коллегами из dev команд
• навыки аудита/пентеста инфраструктуры

Мы предлагаем:

• На данный момент наши сотрудники придерживаются формата “работа из дома“, а вообще СПб офис располагается совсем рядом со ст.м. Московские ворота (10 минут прогулочным шагом). Надеемся, скоро мы все туда вернемся.
• Гибкое начало рабочего дня, которое подойдет как жаворонку, так и сове. Ты можешь начать день в период с 9:00 до 12:00.
• Agile-подход в работе (с удовольствием всему научим).
• Различные тренинги/онлайн-курсы/конференции/книги для прокачивания твоих hard- и soft-скиллов.
• Поддержка твоих спортивных увлечений и компенсация стоимости абонементов (зал/танцы/скалодромы и прочее на твой выбор).
• Занятия по английскому языку. Сейчас они проводятся в формате онлайн.
• Крутые вечеринки и корпоративы! Да, тоже в онлайн-режиме, но нам все равно весело:)