Senior Security Engineer

Security Architect (IAM & Zero Trust)

Telecom Cloud — инфраструктурная основа суверенного облака Узбекистана

Мы строим крупнейшую облачную платформу страны для Enterprise и B2G.

Нам нужен Security Architect (IAM & Zero Trust), который спроектирует и поможет внедрить корпоративную модель управления доступом и защищённого доступа в закрытом телеком-контуре — с прицелом на дальнейшую упаковку этих решений в облачные и private-cloud-продукты.

Задачи

IAM и Zero Trust архитектура

• Спроектировать целевую архитектуру IAM и Zero Trust платформы как контрольную плоскость доступа:
  • единая точка аутентификации (IdP) и авторизации;
  • единое управление пользователями, группами, ролями и сервисными аккаунтами;
  • федерация идентичностей (AD / LDAP);
  • поддержка многоуровневой модели: организации, подразделения, контуры, среды;
  • разделение control plane / data plane.
• Определить и описать ролевую модель доступа (RBAC/ABAC) с принципом минимально необходимых прав.

Защищённый доступ к системам

• Спроектировать модель Zero Trust доступа к закрытым системам и инфраструктуре:
  • доступ к ресурсам на основе идентичности, роли и контекста;
  • интеграция IAM с VPN / ZTNA / Remote Access решениями;
  • разграничение доступа к системам по ролям, средам и критичности ресурсов;
  • реализация и поддержка approval-based и time-bound доступа;
  • минимизация сетевого параметра и отказ от постоянных доверенных зон.

Файлы, коллаборация и уход от локального хранения

• Спроектировать архитектуру защищенной работы с файлами:
  • централизованная файловая платформа (Nextcloud / UzCloud Hub);
  • доступ к файлам на основе идентичности, ролей и политик;
  • антивирусная проверка и базовая DLP-логика;
  • аудит операций с файлами;
  • отказ от локального хранения и неконтролируемого обмена файлами.

Логирование, аудит и контроль

• Спроектировать модель логирования, аудита и трассируемости:
  • какие события собираем (логины, доступы, операции с файлами);
  • централизованный сбор и хранение логов;
  • обеспечение трассируемости «кто, откуда, к чему обращался».
• Подготовить требования для интеграции с SIEM / лог-хранилищами.
• Участвовать в сценариях расследования инцидентов.

Работа с решениями и командами

• Участвовать в выборе и оценке security-решений (вендоры, open source):
  • прогон архитектур и решений по ключевым user story;
  • выявление функциональных и архитектурных пробелов;
  • формирование требований к доработкам и интеграциям.
• Работать в связке с командами разработки, cloud и network-инженерами и бизнес-стейкхолдерами.
• Ставить задачи по реализации архитектуры и консультировать по security-требованиям.

Особый контекст роли

Наши клиенты — банки, телеком и госсектор, где:

• критична изоляция данных;
• есть legacy-инфраструктура;
• безопасность = непрерывность бизнеса.

Обязательные требования

• 3–5+ лет опыта в роли Security Architect / Security Engineer в enterprise-среде.
• Практический опыт проектирования и внедрения IAM решений:
  • IdP (Keycloak, Okta, Auth0, Azure AD или аналоги);
  • Протоколы: OAuth2, OIDC, SAML;
  • Интеграции с AD, LDAP.
• Опыт построения защищённого доступа:
  • VPN-решения (OpenVPN, StrongSwan и др.);
  • практическая реализация Zero Trust / ZTNA моделей доступа.
• Понимание сетевой безопасности: сегментация, firewall, маршрутизация.
• Опыт с логированием, аудитом и базовой DLP.
• Умение объяснять архитектуру техническим и бизнес-аудиториям.

Будет плюсом

• Опыт в телеком-компаниях, банках, B2G.
• Понимание механизмов Keycloak.
• Опыт c high-load IAM-архитектурами.
• Опыт с OpenZiti, Teleport или аналогичными ZTNA решениями.
• Опыт превращения внутренних security-решений в B2B / SaaS-продукты.

Что мы предлагаем

• Формат работы: удалённо.
• Возможность релокации в Ташкент с оформлением в штат.
• Проект национального масштаба.
• Команда, которой нужен результат, а не отчёт.