Platform Security Engineer / Secrets Management Engineer - REMOTE &

Westhouse Consulting GmbH
Frankfurt am Main, Germany
2 days ago

Role details

Contract type
Permanent contract
Employment type
Full-time (> 32 hours)
Working hours
Regular working hours
Languages
German

Job location

Frankfurt am Main, Germany

Tech stack

Backup Devices
Configuration Management
Continuous Integration
Disaster Recovery
Failover
Monitoring of Systems
Identity and Access Management
Public Key Infrastructure
Prometheus
Security Information and Event Management
Vault (Revision Control System)
Data Logging
Okta
Grafana
Integration Tests
Kubernetes
Terraform

Job description

  • Verwaltung des OpenBao/Vault-Cluster-Lebenszyklus (Initialisierung, Unseal-Prozesse, Upgrades und Migrationen)
  • Sicherstellung der Raft-Konsensmechanismen, einschließlich Quorum-Erhalt, Leader-Election, Anti-Affinity-Platzierung und Umgang mit Netzwerkpartitionen
  • Erstellung und Wiederherstellung von System-Snapshots sowie Verwaltung verschlüsselter Offsite-Backups für Disaster-Recovery
  • Optimierung der Systemperformance durch Tuning von Verbindungs-Limits, Storage-I/O und Reduzierung von Audit-Logging-Overhead
  • Einrichtung und Verwaltung von Namespaces, Sicherheitsrichtlinien und Authentifizierungs-Mounts
  • Administration von Audit-Devices sowie Integration von Log-Pipelines für Monitoring und Compliance
  • Analyse und Behebung operativer Probleme wie Seal/Unseal-Fehler, instabile Raft-Leader-Strukturen oder Token- bzw. Lease-Stürme
  • Verwaltung von OpenBao/Vault-Ressourcen mittels Infrastructure as Code (Terraform oder OpenTofu)
  • Deployment von Anwendungen auf Kubernetes-Clustern mit Helm
  • Umsetzung von GitOps-Ansätzen für Konfigurationsmanagement mit ArgoCD oder Flux
  • Entwicklung und Pflege von Policy-as-Code (HCL), inklusive Tests und Validierung über CI-Pipelines
  • Einrichtung und Betrieb von Kubernetes-Authentifizierungsmethoden sowie Verwaltung ihres Lebenszyklus
  • Konzeption und Implementierung von Secret-Injection-Mechanismen (z. B. Vault Agent, CSI Driver, External Secrets Operator)
  • Integration mit Service-Mesh-Technologien unter Berücksichtigung von mTLS und SPIFFE-Identitäten
  • Erfassung von Prometheus-Metriken aus OpenBao zur Systemüberwachung
  • Entwicklung und Pflege von Grafana-Dashboards zur Visualisierung von Service-Level-Objectives (SLOs)
  • Aufbau und Betrieb von Audit-Log-Pipelines inklusive Sammlung, Indexierung und Aufbewahrung
  • Erstellung von Alerting-Regeln für zentrale Betriebskennzahlen wie Seal-Status, Leader-Health, Token-/Lease-Zahlen und Policy-Verstöße
  • Verständnis des Zertifikats-Lifecycle-Managements im PKI-Umfeld
  • Unterscheidung und Betrieb separater PKI- und Secrets-OpenBao-Cluster
  • Durchführung grundlegender PKI-Cluster-Operationen zur Sicherstellung von Cross-Coverage im Notfall
  • Durchführung funktionaler Tests für PKI- und Secrets-Deployments sowie Integrationstests für IAM-Federation, CI/CD-Pipelines und HA/DR-Szenarien
  • Monitoring von Vault-Telemetry, Logs und SIEM-Outputs sowie Fehleranalyse in Vault-, PKI- und Keycloak-Umgebungen
  • Automatisierung und Validierung wiederholbarer High-Availability- und Disaster-Recovery-Failover-Tests
  • Durchführung von Tests in Multi-Tenant-Umgebungen sowie Szenarien mit Registration-Authority-Delegation (RA)

Requirements

  • ZU JEDEM SKILL MUSS MINDESTENS EINE PROJEKTREFERENZ GENANNT WERDEN KÖNNEN!!!
  • Erfahrung mit OpenBao/HashiCorp Vault, insbesondere im Cluster-Lifecycle, Raft-Konsens, Snapshot/Restore, Namespace-Operationen und Audit-Device-Management
  • Expertise im Bereich Infrastructure as Code mit Terraform/OpenTofu, Helm sowie ArgoCD oder Flux
  • Erfahrung mit Policy-as-Code, einschließlich Erstellung von HCL-Policies, Testing und Validierung über CI-Pipelines
  • Erfahrung in der Konfiguration von Kubernetes-Authentifizierungsmethoden sowie in Secret-Injection-Patterns (z. B. Vault Agent, CSI Driver, External Secrets Operator)
  • Sehr gute Kenntnisse im Bereich Observability, insbesondere mit Prometheus, Grafana und Audit-Log-Pipelines
  • Fähigkeit, Tier-1-Ausführungsdokumentationen zu verstehen und umzusetzen, ohne eine detaillierte Schritt-für-Schritt-Übersetzung zu benötigen
  • Erfahrung in der Erstellung klarer Tier-3-Runbooks, die von anderen Engineers eigenständig ausgeführt werden können
  • Grundlagenkenntnisse in PKI, insbesondere zum Zertifikats-Lifecycle und zur Trennung von PKI- und Secrets-Clustern

Apply for this position