Jesteśmy częścią hiberus - jednej z wiodących firm technologicznych w Hiszpanii z obecnością w ponad 14 krajach, zatrudniającej ponad 3 000 specjalistów i obsługującej Klientów na całym świecie.
Jesteśmy profesjonalistami, którzy posiadają wiele lat doświadczenia w takich obszarach jak: IT, BI, zarządzanie projektami i przedsiębiorstwami. Cechuje nas wysoka jakość i efektywność realizowanych projektów poprzez właściwe dopasowanie kandydata do profilu poszukiwanego stanowiska i kultury organizacyjnej panującej w firmie. Obecnie współpracujemy z prestiżowymi instytucjami w obszarach bankowości, finansów, ubezpieczeń, farmacji, ochrony zdrowia i turystyki, zarówno w Polsce, jak i za granicą.
Partnerstwo, rzetelność i transparentność – to wartości, którymi kierujemy się we wszystkich naszych działaniach.
About the company
We are part of hiberus - one of the leading technology companies in Spain with a presence in over 14 countries, employing over 3,000 specialists and serving Clients all over the world.
We are professionals who have many years of experience in areas such as: IT, BI, project and enterprise management. We are characterized by high quality and efficiency of implemented projects by properly matching the candidate to the profile of the sought position and the organizational culture prevailing in the company. We currently cooperate with prestigious institutions in the areas of banking, finance, insurance, pharmacy, health care and tourism, both in Poland and abroad.
Partnership, reliability and transparency - these are the values that guide us in all our activities.
Opis stanowiska
Responsibilities
1) Build a working Zero Trust segmentation model in ISE
• Define roles/attributes (users, devices, posture where applicable) and map them to clear access outcomes (e.g., VLAN/ACL/d ACL assignments, enforcement hooks).
• Produce a policy matrix and standards that are easy to operate and audit.
2) Implement NAC on Arista (wired) with enterprise-grade stability
• Deploy/configure 802.1 X + MAB patterns, NAD onboarding templates, Co A, profiling basics.
• Ensure high availability/scaling of ISE and validate end-to-end flows (client ↔ Arista ↔ ISE ↔ AD/PKI).
3) Integrate Any Connect/VPN authentication and leverage posture signals where in scope
• Configure VPN AAA (RADIUS) and incorporate Any Connect context (posture/attributes if used) into authorization.
• Align remote access outcomes with the same segmentation intent as on-prem.
4) Align segmentation intent with Check Point enforcement and operational processes
• Define how NAC outcomes relate to enforcement boundaries and how exceptions are handled.
• Establish governance: request/approval workflow, temporary exceptions with expiry, reporting.
5) Automate and operationalize the service
• Automate repetitive tasks (NAD onboarding, bulk policy object updates, reporting) using ISE REST APIs and scripting/Ansible; use Git where possible.
• Deliver runbooks (operations + troubleshooting + certificate renewal), monitoring/alerting, backup/restore, upgrade plan
Job description
Poszukujemy inżyniera/konsultanta Cisco ISE do wsparcia wdrożenia modelu Zero Trust dla dostępu użytkowników/urządzeń poprzez kontrolę dostępu do sieci (NAC), z wykorzystaniem Cisco ISE + Any Connect, zintegrowanego z zaporami ogniowymi Check Point i przełącznikami rdzeniowymi/dostępowymi Arista. Rola koncentruje się na segmentacji użytkowników, automatyzacji polityk i operacjonalizacji (runbooki, procesy wyjątków, monitorowanie), w ścisłej współpracy z zespołami ds. sieci, bezpieczeństwa, IAM/PKI i Zero Trust.
Poziom doświadczenia
• Ponad 5 lat doświadczenia w zakresie inżynierii sieci/bezpieczeństwa w przedsiębiorstwach, ze szczególnym uwzględnieniem NAC; udokumentowane wdrożenia na dużą skalę (wiele lokalizacji).
Obowiązki
1) Stworzenie działającego modelu segmentacji Zero Trust w ISE
• Zdefiniowanie ról/atrybutów (użytkownicy, urządzenia, postawa, jeśli ma to zastosowanie) i przyporządkowanie ich do jasnych wyników dostępu (np. przypisania VLAN/ACL/d ACL, haki egzekwujące).
• Stworzenie matrycy zasad i standardów, które są łatwe w obsłudze i audycie.
2) Wdrożenie NAC w Arista (przewodowe) z stabilnością na poziomie przedsiębiorstwa
• Wdrożenie/konfiguracja wzorców 802.1 X + MAB, szablonów onboardingu NAD, Co A, podstaw profilowania.
• Zapewnienie wysokiej dostępności/skalowalności ISE i walidacja przepływów end-to-end (klient ↔ Arista ↔ ISE ↔ AD/PKI).
3) Zintegruj uwierzytelnianie Any Connect/VPN i wykorzystaj sygnały dotyczące stanu w odpowiednim zakresie.
• Skonfiguruj VPN AAA (RADIUS) i włącz kontekst Any Connect (stan/atrybuty, jeśli są używane) do autoryzacji.
• Dostosuj wyniki zdalnego dostępu do tych samych celów segmentacji, co w przypadku lokalnego dostępu.
4) Dostosuj cele segmentacji do egzekwowania Check Point i procesów operacyjnych.
• Zdefiniuj, w jaki sposób wyniki NAC odnoszą się do granic egzekwowania i jak są obsługiwane wyjątki.
• Ustanowienie zasad zarządzania: przepływ pracy związany z wnioskami/zatwierdzaniem, tymczasowe wyjątki z terminem ważności, raportowanie.
5) Automatyzacja i operacjonalizacja usługi
• Automatyzacja powtarzalnych zadań (wdrażanie NAD, zbiorcze aktualizacje obiektów polityki, raportowanie) przy użyciu interfejsów API ISE REST i skryptów/Ansible; w miarę możliwości użycie Git.
• Dostarczanie podręczników operacyjnych (operacje + rozwiązywanie problemów + odnawianie certyfikatów), monitorowanie/alerty, tworzenie kopii zapasowych/przywracanie, plan aktualizacji
Benefits
Wymagane doświadczenie
Niezbędne umiejętności:
• Dobra znajomość Cisco ISE (2.x/3.x): zestawy zasad, profile autoryzacji, Co A, profilowanie; znajomość postawy (Any Connect).
• Dobra znajomość 802.1 X/EAP (EAP-TLS, PEAP), RADIUS, MAB, rozwiązywanie problemów związanych z certyfikatami.
• Doświadczenie w integracji ISE z AD/LDAP i PKI/CA; umiejętność bezpiecznego zarządzania cyklem życia certyfikatów.
• Udokumentowana umiejętność integracji NAC z przełącznikami innych producentów niż Cisco — w szczególności Arista (wzorce implementacji 802.1 X/MAB, przypadki skrajne).
• Swoboda pracy w środowiskach wykorzystujących zapory Check Point i zrozumienie, w jaki sposób intencje segmentacji przekładają się na granice egzekwowania.
• Praktyczne doświadczenie w automatyzacji: ISE REST API + skrypty (Python) i/lub Ansible; przepływy pracy Git.
Mile widziane:
• Doświadczenie w projektowaniu segmentacji opartej na tożsamości w sieciach heterogenicznych (kampus/rdzeń innych niż Cisco).
• Doświadczenie w środowiskach zgodności/regulacyjnych i dokumentacji gotowej do audytu.
• Znajomość frameworków i modeli operacyjnych Zero Trust (zarządzanie wyjątkami, So D, minimalne uprawnienia).
Experience required
Must-have skills
• Strong hands-on Cisco ISE (2.x/3.x): Policy Sets, authorization profiles, Co A, profiling; posture familiarity (Any Connect).
• Strong in 802.1 X/EAP (EAP-TLS, PEAP), RADIUS, MAB, certificate troubleshooting.
• Experience integrating ISE with AD/LDAP and PKI/CA; ability to manage cert lifecycle safely.
• Proven ability to integrate NAC with non-Cisco switching — specifically Arista (802.1 X/MAB implementation patterns, edge cases).
• Comfortable working in environments using Check Point firewalls and understanding how segmentation intents translate to enforcement boundaries.
• Practical automation experience: ISE REST API + scripting (Python) and/or Ansible; Git workflows.
Nice-to-have
• Experience designing identity-driven segmentation in heterogeneous networks (non-Cisco campus/core).
• Experience with compliance/regulatory environments and audit-ready documentation.
• Familiarity with Zero Trust frameworks and operating models (exception governance, So D, least privilege).
