Компания "TELECOM CLOUD"
Security Architect (IAM & Zero Trust)
Telecom Cloud — инфраструктурная основа суверенного облака Узбекистана
Мы строим крупнейшую облачную платформу страны для Enterprise и B2G.
Нам нужен Security Architect (IAM & Zero Trust), который спроектирует и поможет внедрить корпоративную модель управления доступом и защищённого доступа в закрытом телеком-контуре — с прицелом на дальнейшую упаковку этих решений в облачные и private-cloud-продукты.
Задачи
IAM и Zero Trust архитектура
- Спроектировать целевую архитектуру IAM и Zero Trust платформы как контрольную плоскость доступа:
- единая точка аутентификации (IdP) и авторизации;
- единое управление пользователями, группами, ролями и сервисными аккаунтами;
- федерация идентичностей (AD / LDAP);
- поддержка многоуровневой модели: организации, подразделения, контуры, среды;
- разделение control plane / data plane.
- Определить и описать ролевую модель доступа (RBAC/ABAC) с принципом минимально необходимых прав.
Защищённый доступ к системам
- Спроектировать модель Zero Trust доступа к закрытым системам и инфраструктуре:
- доступ к ресурсам на основе идентичности, роли и контекста;
- интеграция IAM с VPN / ZTNA / Remote Access решениями;
- разграничение доступа к системам по ролям, средам и критичности ресурсов;
- реализация и поддержка approval-based и time-bound доступа;
- минимизация сетевого параметра и отказ от постоянных доверенных зон.
Файлы, коллаборация и уход от локального хранения
- Спроектировать архитектуру защищенной работы с файлами:
- централизованная файловая платформа (Nextcloud / UzCloud Hub);
- доступ к файлам на основе идентичности, ролей и политик;
- антивирусная проверка и базовая DLP-логика;
- аудит операций с файлами;
- отказ от локального хранения и неконтролируемого обмена файлами.
Логирование, аудит и контроль
- Спроектировать модель логирования, аудита и трассируемости:
- какие события собираем (логины, доступы, операции с файлами);
- централизованный сбор и хранение логов;
- обеспечение трассируемости «кто, откуда, к чему обращался».
- Подготовить требования для интеграции с SIEM / лог-хранилищами.
- Участвовать в сценариях расследования инцидентов.
Работа с решениями и командами
- Участвовать в выборе и оценке security-решений (вендоры, open source):
- прогон архитектур и решений по ключевым user story;
- выявление функциональных и архитектурных пробелов;
- формирование требований к доработкам и интеграциям.
- Работать в связке с командами разработки, cloud и network-инженерами и бизнес-стейкхолдерами.
- Ставить задачи по реализации архитектуры и консультировать по security-требованиям.
Особый контекст роли
Наши клиенты — банки, телеком и госсектор, где:
- критична изоляция данных;
- есть legacy-инфраструктура;
- безопасность = непрерывность бизнеса.
Обязательные требования
- 3–5+ лет опыта в роли Security Architect / Security Engineer в enterprise-среде.
- Практический опыт проектирования и внедрения IAM решений:
- IdP (Keycloak, Okta, Auth0, Azure AD или аналоги);
- Протоколы: OAuth2, OIDC, SAML;
- Интеграции с AD, LDAP.
- Опыт построения защищённого доступа:
- VPN-решения (OpenVPN, StrongSwan и др.);
- практическая реализация Zero Trust / ZTNA моделей доступа.
- Понимание сетевой безопасности: сегментация, firewall, маршрутизация.
- Опыт с логированием, аудитом и базовой DLP.
- Умение объяснять архитектуру техническим и бизнес-аудиториям.
Будет плюсом
- Опыт в телеком-компаниях, банках, B2G.
- Понимание механизмов Keycloak.
- Опыт c high-load IAM-архитектурами.
- Опыт с OpenZiti, Teleport или аналогичными ZTNA решениями.
- Опыт превращения внутренних security-решений в B2B / SaaS-продукты.
Что мы предлагаем
- Формат работы: удалённо.
- Возможность релокации в Ташкент с оформлением в штат.
- Проект национального масштаба.
- Команда, которой нужен результат, а не отчёт.