Вакансия: DevSecOps Engineer (Security Team)
Компания "SEMrush"
Semrush – продуктовая IT-компания. С 2008 года мы разрабатываем свою собственную онлайн-платформу для интернет-маркетологов, и у нас неплохо получается! Доказательством этому является премия WORLD’S BEST SEARCH SOFTWARE, которую мы получаем уже три года подряд. С помощью Semrush можно отслеживать эффективность сайта, оценивать положение продукта в сети, анализировать конкурентов и многое другое.
Сегодня нашим сервисом пользуются 7 000 000+ клиентов из Америки, Европы, Азии и Австралии, а над созданием трудятся более 900 человек по всему миру. С самого основания мы привержены своим фундаментальным ценностям: всегда отдавать приоритет людям, а не процессам, приспосабливаться к переменам, а не следовать строгому плану.
Хочешь с нами? Сейчас самое время! Команда Security Team в поисках нового коллеги на вакансию DevSecOps engineer.
В группе сейчас 3 специалиста, мы занимаемся обеспечением и развитием infrastructure security в компании. У нашей группы большие планы и амбиции. Все решения мы стараемся принимать совместно. Нам не хватает коллеги, любящего решать сложные задачи, готового исследовать и создавать новое, который не боится иногда заглянуть в беклог.
У нас есть несколько проектов в работе:
- совместно с командой развивать практики безопасности в GCP и k8s (фокус на Policy as Code),
- участвовать в анализе архитектуры и аудите новых сервисов с точки зрения безопасности инфраструктуры,
- интегрировать контроли безопасности с CI/CD,
- развивать и помогать dev командам внедрять практики безопасного хранения секретов (Vault/GCP secret manager),
- участвовать в развитии существующей системы выявления и реагирования на инциденты безопасности SIEM на базе Splunk ES.
У нас также много планов, которые еще предстоит обсудить и реализовать. Есть возможность предлагать свое видение того, как можно повысить защищенность инфраструктуры, какие есть возможности для автоматизации.
Какие задачи придется решать:
У нас очень гибкий подход и мы всегда стараемся найти компромисс между нужными задачами и интересными, которые будут развивать. Мы стараемся закладывать чуть больше времени, чтобы иметь возможность хорошо проработать задачу, задокументировать все важное и при необходимости провести ресерч.
Примером задач может быть:
- дежурство (у нас есть несколько систем, которые шлют нам алерты), без этого пока никак, но мы очень стараемся минимизировать время необходимое на дежурство за счет адекватного подхода, автоматизации и хороших ранбуков)
- решение задач связанных с обеспечением соответствие стандарту PCI DSS (мы уже не 1 год проходим аудит, но всегда есть рутина + желание сделать все еще лучше)
- создание правил корреляции в SIEM, алертов для правила и runbooks по реагированию
- анализ и создание security policy для k8s
- формирование требований и проведение аудита инфраструктуры GCP для новых сервисов
- интегрирование новых инструментов анализа в CI/CD
В группе нет четких рамок, все инициативы/улучшения/развитие систем обсуждаются и формируется роадмап с критериями успеха. Мы стараемся не ограничивать себя в скопе выбираемых решений, любим аргументированные доводы и всегда помогаем друг другу:)
Мы ждём от тебя:
- опыт Linux администрирования
- хорошие знание сетей
- навыки автоматизации/программирования (bash,Python/Go/PHP)
- понимание основ безопасности
- понимание CI/CD
Плюсом будут:
- знание GCP
- умение работать с docker/k8s
- понимание практик DevOps/DevSecOps
- умение выстраивать коммуникации с коллегами из dev команд
- навыки аудита/пентеста инфраструктуры
Мы предлагаем:
- На данный момент наши сотрудники придерживаются формата “работа из дома“, а вообще СПб офис располагается совсем рядом со ст.м. Московские ворота (10 минут прогулочным шагом). Надеемся, скоро мы все туда вернемся.
- Гибкое начало рабочего дня, которое подойдет как жаворонку, так и сове. Ты можешь начать день в период с 9:00 до 12:00.
- Agile-подход в работе (с удовольствием всему научим).
- Различные тренинги/онлайн-курсы/конференции/книги для прокачивания твоих hard- и soft-скиллов.
- Поддержка твоих спортивных увлечений и компенсация стоимости абонементов (зал/танцы/скалодромы и прочее на твой выбор).
- Занятия по английскому языку. Сейчас они проводятся в формате онлайн.
- Крутые вечеринки и корпоративы! Да, тоже в онлайн-режиме, но нам все равно весело:)