Jesteśmy częścią hiberus - jednej z wiodących firm technologicznych w Hiszpanii z obecnością w ponad 14 krajach, zatrudniającej ponad 3 000 specjalistów i obsługującej Klientów na całym świecie.

Jesteśmy profesjonalistami, którzy posiadają wiele lat doświadczenia w takich obszarach jak: IT, BI, zarządzanie projektami i przedsiębiorstwami. Cechuje nas wysoka jakość i efektywność realizowanych projektów poprzez właściwe dopasowanie kandydata do profilu poszukiwanego stanowiska i kultury organizacyjnej panującej w firmie. Obecnie współpracujemy z prestiżowymi instytucjami w obszarach bankowości, finansów, ubezpieczeń, farmacji, ochrony zdrowia i turystyki, zarówno w Polsce, jak i za granicą.

Partnerstwo, rzetelność i transparentność – to wartości, którymi kierujemy się we wszystkich naszych działaniach.

Role summary

Needed a Cisco ISE engineer/consultant to support Zero Trust implementation for user/device access through Network Access Control (NAC), leveraging Cisco ISE + AnyConnect, integrated with Check Point firewalls and Arista core/access switching. The role focuses on user segmentation, policy automation, and operationalization (runbooks, exception process, monitoring), working closely with Network, Security, IAM/PKI, and ZeroTrust team.

Experience level

• 5+ years enterprise network/security engineering with strong NAC focus; proven deployments at scale (multi-site).

Responsibilities
1) Build a working Zero Trust segmentation model in ISE

• Define roles/attributes (users, devices, posture where applicable) and map them to clear access outcomes (e.g., VLAN/ACL/dACL assignments, enforcement hooks).
• Produce a policy matrix and standards that are easy to operate and audit.

2) Implement NAC on Arista (wired) with enterprise-grade stability

• Deploy/configure 802.1X + MAB patterns, NAD onboarding templates, CoA, profiling basics.
• Ensure high availability/scaling of ISE and validate end-to-end flows (client ↔ Arista ↔ ISE ↔ AD/PKI).

3) Integrate AnyConnect/VPN authentication and leverage posture signals where in scope

• Configure VPN AAA (RADIUS) and incorporate AnyConnect context (posture/attributes if used) into authorization.
• Align remote access outcomes with the same segmentation intent as on-prem.

4) Align segmentation intent with Check Point enforcement and operational processes

• Define how NAC outcomes relate to enforcement boundaries and how exceptions are handled.
• Establish governance: request/approval workflow, temporary exceptions with expiry, reporting.

5) Automate and operationalize the service

• Automate repetitive tasks (NAD onboarding, bulk policy object updates, reporting) using ISE REST APIs and scripting/Ansible; use Git where possible.
• Deliver runbooks (operations + troubleshooting + certificate renewal), monitoring/alerting, backup/restore, upgrade plan

Poszukujemy inżyniera/konsultanta Cisco ISE do wsparcia wdrożenia modelu Zero Trust dla dostępu użytkowników/urządzeń poprzez kontrolę dostępu do sieci (NAC), z wykorzystaniem Cisco ISE + AnyConnect, zintegrowanego z zaporami ogniowymi Check Point i przełącznikami rdzeniowymi/dostępowymi Arista. Rola koncentruje się na segmentacji użytkowników, automatyzacji polityk i operacjonalizacji (runbooki, procesy wyjątków, monitorowanie), w ścisłej współpracy z zespołami ds. sieci, bezpieczeństwa, IAM/PKI i ZeroTrust.

Poziom doświadczenia

• Ponad 5 lat doświadczenia w zakresie inżynierii sieci/bezpieczeństwa w przedsiębiorstwach, ze szczególnym uwzględnieniem NAC; udokumentowane wdrożenia na dużą skalę (wiele lokalizacji).

Obowiązki
1) Stworzenie działającego modelu segmentacji Zero Trust w ISE

• Zdefiniowanie ról/atrybutów (użytkownicy, urządzenia, postawa, jeśli ma to zastosowanie) i przyporządkowanie ich do jasnych wyników dostępu (np. przypisania VLAN/ACL/dACL, haki egzekwujące).
• Stworzenie matrycy zasad i standardów, które są łatwe w obsłudze i audycie.

2) Wdrożenie NAC w Arista (przewodowe) z stabilnością na poziomie przedsiębiorstwa

• Wdrożenie/konfiguracja wzorców 802.1X + MAB, szablonów onboardingu NAD, CoA, podstaw profilowania.
• Zapewnienie wysokiej dostępności/skalowalności ISE i walidacja przepływów end-to-end (klient ↔ Arista ↔ ISE ↔ AD/PKI).

3) Zintegruj uwierzytelnianie AnyConnect/VPN i wykorzystaj sygnały dotyczące stanu w odpowiednim zakresie.

• Skonfiguruj VPN AAA (RADIUS) i włącz kontekst AnyConnect (stan/atrybuty, jeśli są używane) do autoryzacji.
• Dostosuj wyniki zdalnego dostępu do tych samych celów segmentacji, co w przypadku lokalnego dostępu.

4) Dostosuj cele segmentacji do egzekwowania Check Point i procesów operacyjnych.

• Zdefiniuj, w jaki sposób wyniki NAC odnoszą się do granic egzekwowania i jak są obsługiwane wyjątki.
• Ustanowienie zasad zarządzania: przepływ pracy związany z wnioskami/zatwierdzaniem, tymczasowe wyjątki z terminem ważności, raportowanie.

5) Automatyzacja i operacjonalizacja usługi

• Automatyzacja powtarzalnych zadań (wdrażanie NAD, zbiorcze aktualizacje obiektów polityki, raportowanie) przy użyciu interfejsów API ISE REST i skryptów/Ansible; w miarę możliwości użycie Git.
• Dostarczanie podręczników operacyjnych (operacje + rozwiązywanie problemów + odnawianie certyfikatów), monitorowanie/alerty, tworzenie kopii zapasowych/przywracanie, plan aktualizacji

Niezbędne umiejętności:

• Dobra znajomość Cisco ISE (2.x/3.x): zestawy zasad, profile autoryzacji, CoA, profilowanie; znajomość postawy (AnyConnect).
• Dobra znajomość 802.1X/EAP (EAP-TLS, PEAP), RADIUS, MAB, rozwiązywanie problemów związanych z certyfikatami.
• Doświadczenie w integracji ISE z AD/LDAP i PKI/CA; umiejętność bezpiecznego zarządzania cyklem życia certyfikatów.
• Udokumentowana umiejętność integracji NAC z przełącznikami innych producentów niż Cisco — w szczególności Arista (wzorce implementacji 802.1X/MAB, przypadki skrajne).
• Swoboda pracy w środowiskach wykorzystujących zapory Check Point i zrozumienie, w jaki sposób intencje segmentacji przekładają się na granice egzekwowania.
• Praktyczne doświadczenie w automatyzacji: ISE REST API + skrypty (Python) i/lub Ansible; przepływy pracy Git.

Mile widziane:

• Doświadczenie w projektowaniu segmentacji opartej na tożsamości w sieciach heterogenicznych (kampus/rdzeń innych niż Cisco).
• Doświadczenie w środowiskach zgodności/regulacyjnych i dokumentacji gotowej do audytu.
• Znajomość frameworków i modeli operacyjnych Zero Trust (zarządzanie wyjątkami, SoD, minimalne uprawnienia).

Must-have skills

• Strong hands-on Cisco ISE (2.x/3.x): Policy Sets, authorization profiles, CoA, profiling; posture familiarity (AnyConnect).
• Strong in 802.1X/EAP (EAP-TLS, PEAP), RADIUS, MAB, certificate troubleshooting.
• Experience integrating ISE with AD/LDAP and PKI/CA; ability to manage cert lifecycle safely.
• Proven ability to integrate NAC with non-Cisco switching — specifically Arista (802.1X/MAB implementation patterns, edge cases).
• Comfortable working in environments using Check Point firewalls and understanding how segmentation intents translate to enforcement boundaries.
• Practical automation experience: ISE REST API + scripting (Python) and/or Ansible; Git workflows.

Nice-to-have

• Experience designing identity-driven segmentation in heterogeneous networks (non-Cisco campus/core).
• Experience with compliance/regulatory environments and audit-ready documentation.
• Familiarity with Zero Trust frameworks and operating models (exception governance, SoD, least privilege).