Hi 感谢回复 睡不着刷了下 v2 看到就解释补充下
如同 1 楼的同学所说,这个方向的人非常少,相对能贴合各种条件的基本集中在大厂。朋友圈里 sysdig 的同学看到也说在美国一样不好招。
之所以列了很多点是因为整体确实会牵扯到很多点,如果有接触或者落地经验会避免走一些弯路和花更多的时间。这个 JD 的目的是在公司这个 HC 能提供的薪资范围内去找相对匹配的同学。
目前收到的简历有几类:
运维出身,熟悉 k8s,但没有安全相关经验,可能会需要一定时间学习相关背景知识的爬坡期,但是和运维同事跨部门协作推动落地应该会相对顺畅;
运维出身,后期转安全,但相对做的比较浅;
安全出身,对这块感兴趣,自学考了 cka 、cks,有 k8s 环境下的渗透和后渗透经验,但没有实际环境防护角色的经验;
开发出身,有 k8s 环境下的开发经验,有想法换方向。
招人来说不同方向的选择可能会带来不一样的视角和落地方式。但是我们核心诉求是相对清晰的:
补齐容器这块的安全能力,包括但不限于入侵检测能力,感知能力;
自适应的进程和行为白名单控制;
不像当前物理网络划分了几个安全域,进行了相对严格的控制。这边 k8s 环境没有做什么隔离,需要自适应的微隔离。
针对我们的需求来说,开源版本的 falco 并不是一个完整的解决方案。
至于 firecracker,需求背景是在解决核心目标之后推进安全容器,对容器逃逸问题进一步兜底。我不熟悉 firecracker,我不太确定你说的安全弱点指什么,fc 这个项目本身就是裁剪和攻击面收缩过的 vmm,方便可以麻烦贴下链接学习下。
之前看过一篇文章似乎安装也不复杂
https://www.padok.fr/en/blog/deploy-kubernetes-firecracker所以 JD 这边提到是希望如果投递简历的同学在生产环境实际落地过可能可以避免踩一些坑。所以我有点困惑熟悉 AWS 安全架构在这里的逻辑是?