Yakın zamanda bulutta yerel bir endüstri etkinliğinde bir ekip bize “Bir konuşmadan yeni çıktık ve görünüşe göre artık altyapı güvenlik mühendisleriyiz” dediğinde kahkahalarla güldü. Teknoloji endüstrisindeki yaygın işten çıkarmalarla birlikte, iş unvanlarının eğlencesinin altında yatan, bu yeni rolde ve ilgili ekosistemde başarılı olmaya yönelik beklentiler hakkındaki gerçek belirsizliktir.
Kubernetes ve buluta özgü uygulama devreye alma çağında, altyapı güvenlik mühendisi çok değerli bir işe alımdır. Ancak düzinelerce iş tanımı ve uygulamacı görüşmesinde, bu rolün son derece zor bir mücadeleyi yansıttığını gördük: hem dolaylı etkide hem de katı teknik becerilerde en iyi olmak.
Peki altyapı güvenlik mühendisliği nedir zaten? Altyapı veya bulut güvenlik ekibi, uygulama katmanına karşı altyapı katmanında yer alır (sürpriz değildir). Öncelikle dağıtım ve çalışan bulut ortamı ile ilgilenirler.
Bu rol hakkında anlaşılması gereken ilk şey, bulut güvenliği paylaşımlı sorumluluk modelinin onlardan ne kadar talep ettiğidir. Yönetilen Kubernetes platformları söz konusu olduğunda, genel bir PaaS modeli varsayabiliriz. Bu, bulutun neredeyse tüm yapılandırmasını altyapı güvenlik rolünün ellerine bırakan paylaşılan bir sorumluluk modeli anlamına gelir. Google’ın kendi sözleriyle, “GKE için, işletim sistemine, çalışma zamanına ve Kubernetes bileşenlerine yamalar dağıtmak ve elbette kendi iş yükünüzü güvence altına almak dahil olmak üzere çalışan düğümlerinizi korumaktan siz sorumlusunuz.”
Ancak paylaşılan sorumluluk modeli sadece başlangıçtır. Boşlukta hiçbir rol yoktur ve güvenlik açığı yönetimi ve alandaki trendlerden haberdar olmak dışında bu roldeki en yaygın üçüncü gereklilik, kuruluştaki diğer ekipler arasında en iyi uygulamaları aşılamaktır. Bir işe alma müdürünün belirttiği gibi, “Asıl sorumluluğunuz, mühendislik ekiplerimizin en iyi güvenlik uygulamalarını iş akışlarına entegre etmelerini ve güvenli ürün ve hizmetler sunmalarını sağlamak olacaktır.”
Bir geliştirme ekibinden yeni özelliklerin üretime akışını yavaşlatabilecek herhangi bir şey yapmasını istemek, DevOps süreçlerine güvenliği yerleştiren ekiplerin gerçekten daha hızlı teslim ettikleri gösterilmiş olsa bile, doğasında bir sürtüşme vardır.
Altyapı Güvenlik Mühendislerinin Başarılı Olmak İçin Neye İhtiyacı Var?
İşe alım yöneticileri, adayları az önce açıklanan türde bir rolde başarılı kılacağını düşünüyorlar mı? Şaşırtıcı olmayan bir şekilde, bulut platformları ve ağ oluşturma ile uygulamalı deneyimin ardındaki bu rol için en yaygın üçüncü gereksinim, IaC, Terraform ve CI/CD ardışık düzeninin herhangi bir kombinasyonu etrafında uygulamalı deneyimle birleştirilmiş betik dillerinde yeterliliktir. Neden? Çünkü, kodla dağıtımları hiç otomatikleştirmediyseniz, güvenlikle ilgili en iyi uygulamaları günlük olarak yapan geliştiricilerle paylaşmak imkansız olacaktır.
Bir altyapı güvenlik rolündeki son ortak gereksinim, uçtan uca geliştirme hattının derinlemesine anlaşılmasıdır. Bir güvenlik mühendisi buluttaki en son gelişmelerden haberdar olmayı, geliştirmeyi etkilemeyi ve günlük olarak bulut güvenlik açıklarını yönetmeyi bekliyorsa, verimliliği, bunların birlikte nasıl çalıştığını ve nasıl öncelik sırasına konulacağını anlaması gerekir. .
İşte görüşmecilerimizden bazı ipuçları:
- “Yalnızca buluta bakıyorsanız, Kubernetes’i unutmayın. Bu günlerde daha sık olarak yönetilen bulut hizmetleri aracılığıyla dağıtılsa da, bulut ortamlarındaki güvenlik açıklarının ele alındığı şekilde ele alınamaz.” — Bulut güvenliği müdürü
- “Triyaj kritik öneme sahip. Geçmişte ekiplerim başarısız olduğunda, bunun nedeni genellikle parlak şeyleri kovalayıp durmamızdı. Önceliklendirme konusunda disiplinli ve metodik davranarak, (neredeyse) herhangi bir zamanda doğru sorunlar üzerinde çalıştığımıza dair güvenimizi koruyoruz. .” — Yönetici, altyapı ve BT güvenliği
- “Mühendislik ekiplerinin güvenlik sorunlarını çözme konusundaki ilgisini küçümsemeyin. Onları veri ve bağlamla güçlendirin ve onu kullanmaya ne kadar istekli olduklarını görün.” — Yönetici, altyapı ve BT güvenliği
Neden Bu En Zor İş Olabilir?
İlginç bir şekilde, araştırmamızda yalnızca bir iş tanımında “güvenlik incelemeleri” için bir satır öğesi vardı ve bu rol, güvenlik ekibinin geliştirme değişikliklerine evet veya hayır demesine izin veriyordu. Bu, mühendislik ve geliştirme üzerinde doğrudan ve dolaylı etkinin rolüne ilişkin diğer gözlemler bağlamında anlamlıdır; örneğin, IaC bilgisi doğrudan kullanmak için değil, başkalarına nasıl kullanılacağını anlatabilmek için gereklidir.
Ayrıca, iletişim ve mentorluk en yaygın iş ön koşulları arasında listelenmedi, ancak rollerin yarısının bu yumuşak beceri için hala yüksek beklentileri vardı. Bu, özellikle daha üst düzey pozisyonlar için geçerliydi.
Geliştirme ekiplerini etkileme gerekliliği, gerekli IaC araçları ve otomasyon bilgisi, iletişim ve mentorluk ihtiyacı ve resmi güvenlik incelemelerinin neredeyse tamamen yokluğu arasında, en başarılı altyapı güvenlik uzmanı görüşü ortaya çıkmaya başlar. Bu kişi, bulut ekosisteminde geniş uygulamalı deneyime sahip olacak ve günlük olarak son derece yeni, son teknoloji GitOps araçlarını yöneten yetenekli ekipleri etkileme ve güvenilirlik oluşturma becerilerine sahip olacaktır. Bu gerçekten yüksek bir çıta!