Домен
Безопасность
Профиль навыка
Безопасность Kubernetes
Pod Security Standards, OPA Gatekeeper, Falco, network policies, RBAC, secrets management
Безопасность
Безопасность инфраструктуры
Ролей
6
где встречается этот навык
Грейдов
5
сформированная дорожка роста
Обязательных требований
26
ещё 4 — необязательные
Группа
Безопасность инфраструктуры
Последнее обновление
17.03.2026
Как использовать
Выберите текущий грейд и сравните ожидания. Карточки ниже покажут, что нужно закрыть для следующего уровня.
Чего ждут на каждом уровне
Таблица показывает, как меняется глубина владения навыком от Junior до Principal.
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Понимает базовые концепции Безопасность Kubernetes. Следует security guidelines. Распознаёт типовые уязвимости в коде. |
| DevSecOps Engineer | Обязателен | Изучает основы безопасности Kubernetes: RBAC, ServiceAccount, SecurityContext. Настраивает Pod Security Standards (Restricted). Запускает Trivy для сканирования образов в кластере. Применяет NetworkPolicies для базовой сегментации подов. Понимает принципы least privilege для контейнеров. |
| Infrastructure Engineer | Понимает базовые принципы безопасности Kubernetes: запуск контейнеров от non-root пользователя, использование readOnlyRootFilesystem, ограничение capabilities. Знает зачем нужны NetworkPolicy и RBAC, умеет проверять pod security context и следует базовым рекомендациям CIS Kubernetes Benchmark. | |
| Penetration Testing Engineer | Обязателен | Понимает базовые концепции Безопасность Kubernetes. Следует security guidelines. Распознаёт типовые уязвимости в коде. |
| QA Security Engineer | Тестирует базовый K8s security: RBAC misconfigurations, exposed services, default credentials. Использует kube-bench для CIS compliance. Сканирует manifests через kubesec. | |
| Security Analyst | Обязателен | Понимает базовые концепции Безопасность Kubernetes. Следует security guidelines. Распознаёт типовые уязвимости в коде. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Применяет практики Kubernetes security к контейнеризованным приложениям, включая pod security standards, network policies и конфигурации RBAC. Сканирует образы контейнеров на уязвимости с помощью Trivy или Snyk. Ревьюирует Kubernetes manifest-ы на ошибки конфигурации безопасности и compliance с hardening. |
| DevSecOps Engineer | Обязателен | Внедряет OPA Gatekeeper с constraint templates для Policy-as-Code в кластере. Настраивает Falco для runtime-обнаружения аномалий в контейнерах. Реализует image signing с Cosign и verification через Kyverno. Управляет Kubernetes RBAC с ClusterRoles по принципу minimal access. |
| Infrastructure Engineer | Настраивает безопасность Kubernetes-кластеров: конфигурация RBAC с principle of least privilege, NetworkPolicy для сегментации трафика между namespace-ами, Pod Security Standards (restricted profile). Внедряет сканирование манифестов через kube-bench и kubesec, ограничивает доступ к API-серверу. | |
| Penetration Testing Engineer | Обязателен | Проводит оценку безопасности Kubernetes-кластеров, выявляя ошибки конфигурации RBAC, network policies и pod security. Использует инструменты kube-hunter и kubeaudit для обнаружения уязвимостей. Тестирует сценарии container escape и lateral movement в кластерных средах. |
| QA Security Engineer | Проводит K8s security assessment: network policies audit, pod security standards compliance, secret management review. Тестирует через kube-hunter. Проверяет admission controllers. | |
| Security Analyst | Обязателен | Мониторит Kubernetes-кластеры на события безопасности с помощью Falco и audit logs. Анализирует поведение container runtime для обнаружения аномальной активности и потенциальных breach-ей. Расследует Kubernetes-специфичные алерты, включая несанкционированный доступ к API, privilege escalation и подозрительные pod deployment-ы. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Проектирует security-решения с Безопасность Kubernetes. Проводит threat modeling. Внедряет security practices в SDLC. Менторит команду. |
| DevSecOps Engineer | Обязателен | Проектирует комплексную систему безопасности Kubernetes: admission controllers, runtime protection, network segmentation. Настраивает Aqua/Sysdig для полного lifecycle security. Внедряет eBPF-based мониторинг с Cilium Tetragon. Разрабатывает hardening guidelines для кластеров по CIS Benchmark. |
| Infrastructure Engineer | Обязателен | Проектирует комплексную безопасность Kubernetes: admission controllers (OPA Gatekeeper, Kyverno) для policy enforcement, runtime security через Falco, network segmentation через Cilium NetworkPolicy. Настраивает audit logging, encrypts secrets at rest через KMS-провайдер и проектирует workload identity для облачных сервисов. |
| Penetration Testing Engineer | Обязателен | Разрабатывает продвинутые методологии penetration-тестирования Kubernetes, охватывая атаки на control plane, эксплуатацию etcd и обход service mesh. Создаёт custom-инструменты для симуляции атак на Kubernetes и валидирует hardening кластеров по MITRE ATT&CK for Containers. Менторит команду по cloud-native offensive security. |
| QA Security Engineer | Обязателен | Проектирует K8s security testing: automated CIS compliance checking, runtime threat detection (Falco), supply chain verification (Sigstore). Тестирует multi-tenancy isolation. |
| Security Analyst | Обязателен | Руководит стратегией мониторинга безопасности Kubernetes с продвинутыми правилами обнаружения cluster-level угроз. Проводит глубокое расследование инцидентов компрометации контейнеров с forensic-анализом артефактов pod и сетевого трафика. Интегрирует audit-телеметрию Kubernetes в SIEM и разрабатывает автоматизированные playbook-и. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Определяет стандарты Kubernetes security для организации, включая политики admission control, требования к подписи образов и supply chain security. Создаёт библиотеки политик OPA/Gatekeeper для workload-ов приложений. Координирует security-ревью архитектур кластеров и обучает команды безопасным паттернам Kubernetes. |
| DevSecOps Engineer | Обязателен | Определяет стратегию Kubernetes security для мультикластерной платформы. Управляет командой platform security. Строит GitOps-процесс с автоматическим enforcement политик безопасности. Интегрирует Kubernetes audit logs с SIEM. Разрабатывает incident response playbooks для container-среды. |
| Infrastructure Engineer | Обязателен | Определяет стандарты Kubernetes security для организации: политики Kyverno/OPA для всех кластеров, стандарты image admission, процесс security review для Helm-чартов. Внедряет security-as-code подход, ревьюит RBAC-матрицы команд и проектирует incident response процесс для Kubernetes-инцидентов. |
| Penetration Testing Engineer | Обязателен | Определяет программы offensive security тестирования Kubernetes, охватывая multi-cluster и multi-cloud среды. Создаёт playbook-и red team для атак на оркестрацию контейнеров, согласованные с актуальной threat intelligence. Координируется с platform-командами по приоритетам remediation и улучшает security posture кластеров. |
| QA Security Engineer | Обязателен | Определяет K8s security testing стандарты: mandatory checks per cluster, compliance requirements, incident response for K8s. Координирует security hardening с platform team. |
| Security Analyst | Обязателен | Определяет organization-wide стратегию мониторинга безопасности и incident response для Kubernetes. Устанавливает стандарты detection engineering для container runtime, событий оркестрации и телеметрии service mesh. Координирует покрытие security operations для multi-cluster сред и продвигает платформы runtime protection. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Формирует enterprise-архитектуру безопасности Kubernetes для multi-cluster, multi-cloud сред с принципами zero-trust networking. Продвигает стандарты supply chain security (SLSA, Sigstore) для контейнерных workload-ов. Консультирует руководство по emerging-угрозам контейнерной безопасности и приоритетам инвестиций в cloud-native security. |
| DevSecOps Engineer | Обязателен | Архитектурно определяет подход к безопасности контейнерной платформы в масштабе предприятия. Проектирует Zero Trust networking для service mesh (Istio mTLS). Разрабатывает фреймворк оценки зрелости container security. Влияет на стратегию перехода на confidential computing. |
| Infrastructure Engineer | Обязателен | Формирует стратегию Kubernetes security на уровне компании: архитектура zero-trust внутри кластеров через service mesh mTLS, compliance framework (CIS, NSA hardening guide), multi-tenant isolation. Определяет roadmap для confidential computing, eBPF-based security и проектирует security posture management для десятков кластеров. |
| Penetration Testing Engineer | Обязателен | Определяет enterprise-стратегию offensive security для Kubernetes, адресуя эволюционирующие поверхности атак контейнеров и оркестрации. Формирует отраслевые стандарты cloud-native penetration testing и adversary simulation. Консультирует руководство по рискам контейнерной безопасности и исследует новые векторы атак на экосистемы Kubernetes. |
| QA Security Engineer | Обязателен | Проектирует K8s security strategy: zero-trust in K8s, service mesh security, platform security controls. Определяет organizational container orchestration security framework. |
| Security Analyst | Обязателен | Определяет enterprise-стратегию безопасности контейнеров, интегрируя Kubernetes security в общий фреймворк security operations. Формирует security-архитектуру для cloud-native workload-ов в масштабе организации с автоматическим compliance и policy enforcement. Представляет организацию в Kubernetes security сообществах и влияет на upstream security features. |
Загрузка комментариев...
Войти, чтобы присоединиться к обсуждению