V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 外包信息请发到 /go/outsourcing 节点。
• 不要把相同的信息发到不同的节点
ihacku
V2EX  ›  酷工作

[上海] [华住] 云原生安全岗

  •  
  •   ihacku · 2021-08-11 11:49:49 +08:00 · 3588 次点击
    这是一个创建于 1199 天前的主题,其中的信息可能已经有所发展或是发生改变。
    # 团队介绍
    华住集团信息安全部-基础安全团队,团队主要负责基础安全建设,安全告警监控和响应,日常安全运维和运营,安全系统的开发和数据分析支撑。

    # 岗位要求
    熟悉 Linux 、容器、K8S,有相关安全加固、监控落地经验优先,有相关场景攻防经验优先。
    实测 /运营过 Falco 等相关开源项目优先,有云原生开源 /商业安全产品落地经验优先。
    熟悉一门语言如 python/go/shell ...优先,有参与或维护开源项目优先,有 CKA/CKS 证书优先。
    了解安全容器 Kata Containers 、Firecracker 、Rust-VMM 、gVisor 等,有安全容器落地经验优先。
    了解 Istio (内部小范围落地中)优先,有 Istio 安全落地经验优先。
    了解 PodSecurityPolicy,Seccomp,AppArmor,Cgroup,NameSpace 等广泛应用与容器 /k8s 的安全特性。
    了解 Node,Pod,Service,Deployment,ServiceAccount 等 k8s 资源概念,有管理上述资源经验的优先。

    因为这块不太好招,所以上面的很多点都只写了优先而没有列为必须。
    没有相关安全经验但熟悉对应领域、有运维或者落地经验等想转安全亦可。
    但是需要有快速学习能力(以及一定的英文文档阅读能力),因为此方向团队中没有人能带你,需要独当一面,在实践中成长。

    # 岗位职责
    对照业界最佳实践对容器、K8S 环境进行安全加固和监测防护能力验证,探索服务网格安全。
    对云原⽣领域相关开源、主流安全⼚商的产品功能和特性做对比、测试,能够根据业务需求进行选型和落地。
    支撑解决业务在云原生开发、集成、分发和运行等整个生命周期中遇到的安全相关问题。

    # 工作地点
    上海漕河泾

    # 薪资待遇
    30~40K * 13~14,优秀可谈

    # 简历投递
    zhangweiyao#huazhu.com ,或者需要进一步了解的,微信同 V2EX id
    另有应用安全 /渗透测试 /蓝军岗,感兴趣可以投递、联系~

    # 附录
    列一些具体链接方便了解工作会涉及的一些内容
    Kubernetes 加固指南 https://jimmysong.io/kubernetes-hardening-guidance/
    Kubernetes CIS Benchmark https://www.aquasec.com/cloud-native-academy/kubernetes-in-production/kubernetes-cis-benchmark-best-practices-in-brief/
    Threat matrix for Kubernetes https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/
    Istio 安全最佳实践 https://cloudnative.to/blog/istio-security-best-practices/
    CDK 是一个开源容器、k8s 渗透项目 https://github.com/cdk-team/CDK
    容器、K8s 、ServiceMesh(Istio) 安全 PPT 材料 https://github.com/neargle/slidefiles
    Awesome Kubernetes (K8s) Security https://github.com/magnologan/awesome-k8s-security
    阿里云云上容器 ATT&CK 攻防矩阵 https://developer.aliyun.com/article/765449
    Falco 是一个开源的运行时安全项目 https://github.com/falcosecurity/falco
    kube-bench 是一个开源的 k8s 安全基线扫描项目 https://github.com/aquasecurity/kube-bench
    其他还有不少开源项目不一一列举
    ...

    一些商业方案(排名不分先后,不做任何背书,仅方便了解商业产品都有哪些功能)
    https://www.aliyun.com/solution/security/containersecurity
    https://www.aquasec.com/
    https://arksec.cn/
    https://www.dosec.cn/
    https://www.huaweicloud.com/product/cgs.html
    https://qingteng.cn/fc-home.html
    https://www.qegis.com/
    https://www.nsfocus.com.cn/html/2020/458_1113/135.html
    https://www.paloaltonetworks.com/prisma/cloud
    https://sysdig.com/products/secure/
    https://www.stackrox.com/
    https://www.safedog.cn/index/yunJia.html
    https://cloud.tencent.com/product/tcss
    https://www.tensorsecurity.cn/
    https://www.tigera.io/
    15 条回复    2021-08-14 09:42:24 +08:00
    Greenm
        1
    Greenm  
       2021-08-11 12:12:49 +08:00   ❤️ 1
    我在某云厂商做安全,跟你招的方向相反,红队路线的。

    说实话,这个方向人非常少,懂安全的懂云的很少,懂云的对安全的没那么了解,两者加起来懂的少之又少,还基本都在大厂。

    祝好运吧。
    m4d3bug
        2
    m4d3bug  
       2021-08-11 13:22:19 +08:00 via Android
    看起来不错但可惜不在深圳,收藏一波,祝好
    WithLin
        3
    WithLin  
       2021-08-11 14:07:42 +08:00
    good
    handsomeroger
        4
    handsomeroger  
       2021-08-11 14:59:00 +08:00   ❤️ 1
    居然看到了老东家的招聘
    impl
        5
    impl  
       2021-08-11 15:31:48 +08:00 via Android
    团队里刚好有人转去专门做安全
    Microseft
        6
    Microseft  
       2021-08-12 10:57:39 +08:00
    因为此方向团队中没有人能带你,需要独当一面

    这个意思是..总监级别吗?
    ro2020
        7
    ro2020  
       2021-08-12 11:20:20 +08:00
    @Microseft 说明只有你一个人 hhhhh
    ihacku
        8
    ihacku  
    OP
       2021-08-12 11:43:20 +08:00 via Android
    @Microseft 说的是这个方向当前团队同事都没有熟悉的哈
    Yc1992
        9
    Yc1992  
       2021-08-13 18:03:12 +08:00
    裤子都被脱多少遍了,破罐子破摔得了
    ihacku
        10
    ihacku  
    OP
       2021-08-13 19:02:09 +08:00 via Android
    desdouble
        11
    desdouble  
       2021-08-14 01:00:02 +08:00
    云原生这个概念估计能把相当一部分人吓倒。云原生下的安全,要讲清楚这个概念估计至少要四个学时。没看出来到底是咨询顾问,安全运维,hw,项目经理,产品经理,还是开发。

    falco 是个优秀的项目,把这个项目吃透就了不得,能接近青藤云容器安全的水平。
    desdouble
        12
    desdouble  
       2021-08-14 01:21:17 +08:00
    要求有点多了,面试官确定熟悉 firecracker,了解它的安全弱点吗?甚至于熟悉 AWS 的安全架构么?我觉得面试官水平得是相当了得才行。
    ihacku
        13
    ihacku  
    OP
       2021-08-14 04:08:45 +08:00 via Android
    Hi 感谢回复 睡不着刷了下 v2 看到就解释补充下

    如同 1 楼的同学所说,这个方向的人非常少,相对能贴合各种条件的基本集中在大厂。朋友圈里 sysdig 的同学看到也说在美国一样不好招。

    之所以列了很多点是因为整体确实会牵扯到很多点,如果有接触或者落地经验会避免走一些弯路和花更多的时间。这个 JD 的目的是在公司这个 HC 能提供的薪资范围内去找相对匹配的同学。

    目前收到的简历有几类:
    运维出身,熟悉 k8s,但没有安全相关经验,可能会需要一定时间学习相关背景知识的爬坡期,但是和运维同事跨部门协作推动落地应该会相对顺畅;
    运维出身,后期转安全,但相对做的比较浅;
    安全出身,对这块感兴趣,自学考了 cka 、cks,有 k8s 环境下的渗透和后渗透经验,但没有实际环境防护角色的经验;
    开发出身,有 k8s 环境下的开发经验,有想法换方向。

    招人来说不同方向的选择可能会带来不一样的视角和落地方式。但是我们核心诉求是相对清晰的:
    补齐容器这块的安全能力,包括但不限于入侵检测能力,感知能力;
    自适应的进程和行为白名单控制;
    不像当前物理网络划分了几个安全域,进行了相对严格的控制。这边 k8s 环境没有做什么隔离,需要自适应的微隔离。

    针对我们的需求来说,开源版本的 falco 并不是一个完整的解决方案。

    至于 firecracker,需求背景是在解决核心目标之后推进安全容器,对容器逃逸问题进一步兜底。我不熟悉 firecracker,我不太确定你说的安全弱点指什么,fc 这个项目本身就是裁剪和攻击面收缩过的 vmm,方便可以麻烦贴下链接学习下。

    之前看过一篇文章似乎安装也不复杂
    https://www.padok.fr/en/blog/deploy-kubernetes-firecracker
    所以 JD 这边提到是希望如果投递简历的同学在生产环境实际落地过可能可以避免踩一些坑。所以我有点困惑熟悉 AWS 安全架构在这里的逻辑是?
    desdouble
        14
    desdouble  
       2021-08-14 09:18:12 +08:00
    啊,让大佬出来解释,我太唐突了。抱歉哈,酒后不擅长婉转的表达多担待。

    看你描述的核心诉求,容器安全,确实是清晰的,我应该多看几遍岗位要求。

    恰好对 falco 有过几次讨论,感觉是个很好的容器安全框架,我们其实曾经想把我们在终端安全方面的能力集成进去,保护我们自己的云业务。可能这个项目更有吸引力的是能让自己的安全能力落地。就像很多扫描框架一样。
    desdouble
        15
    desdouble  
       2021-08-14 09:42:24 +08:00 via Android
    我对 firecracker 不熟,只跟腾讯云轻量级服务器开发的同学泛泛的聊过一次。有两个感觉,我瞎说一下,纯个人观点:

    1. FC 能否被广泛接受一个重要的原因是它在硬件资源开销的增加能否带来显著的开发运维安全方面成本的降低。目前它的生态还不太完善。

    2. 从安全视角看,AWS 推出 FC 在多大程度上解决了 docker 逃逸的问题,有没有引入一些新的安全弱点。最简单的方法就是看 AWS 是如何实践的,毕竟它自己是最主要的推动者。了解 AWS 的整体安全架构有利于更深刻的认识这一点。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1579 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:02 · PVG 01:02 · LAX 09:02 · JFK 12:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.