毕马威
Cloud & Security Engineer
Cloud & Security Engineer
发布于 大约 3 小时前普通员工/个人贡献者
上海市
中级经验
全职员工
仅现场办公
学历未注明
信息技术与基础设施
CI/CD
DevSecOps
OWASP
SAST
DAST
AI 估算 · 18k–30k
Cloud安全工程师需求大,技能稀缺,上海3年经验薪资在20k-30k区间,毕马威作为顶级咨询公司,薪酬具有竞争力。
职位详情
关于这个职位
该职位是毕马威中国旗下的云安全工程师岗位,主要负责全球云安全项目的落地实施,包括安全扫描工具集成、Azure云安全产品配置与运营,以及与全球安全团队协作推行安全设计原则
适合具有3年以上云安全经验、熟悉DevSecOps和CI/CD的候选人
最低要求
年以上云安全实战经验,熟悉DevSecOps, SDLC 与 CI/CD 各阶段安全控制点
熟悉至少一套主流安全扫描工具链(SAST/DAST/SCA/Container/Infra),能独立完成集成与调优
具备 Azure 云平台安全产品实操经验,理解云原生安全责任共担模型
掌握基础安全知识:OWASP Top 10、CWE、CVE、威胁建模、最小权限原则、加密与密钥管理
英语听说读写流利,可进行日常会议及邮件沟通
工作职责
深度参与公司 Global Cloud Security项目及在国内的落地,集成安全能力至应用设计与部署
并熟练掌握CI/CD 全链路(如:GitLab 等工具)
依据 Global 安全基线与合规要求,设计并落地云安全扫描、容器镜像扫描、IaC安全检测、依赖库漏洞治理等自动化策略
选型、集成并持续优化 SAST/DAST工具(SonarQube、WIZ、Trivy、Prisma等)
负责Azure 云安全产品的配置与运营:Azure WAF、Key Vault、Policy、Sentinel、AD、RBAC、Network Security Groups 等
与开发、运维、架构及 Global 安全团队紧密合作,推行“Security by Design”原则,评审系统架构与威胁模型,输出安全加固方案
建立安全度量与可视化仪表盘,持续跟踪漏洞 SLA、修复率、合规差距,推动持续改进
编写并维护英文安全规范、Runbook,向 Global 团队汇报项目进展
优先资格
持有相关证书:CISSP/CCSP/Azure Security Engineer Associate/CKA/CKAD 等
熟悉基础设施即代码(Terraform、ARM、Bicep)及其安全扫描(Checkov、Tfsec)
参与过 SOC/SOAR、SIEM 集成或安全事件响应自动化建设
了解 GDPR、ISO27001、PCI-DSS、SOC2 等合规框架在云环境的落地方法
AI 洞察
优缺点分析
优点
- 毕马威作为国际知名咨询公司,平台大、项目资源丰富,可接触全球前沿云安全实践
- 专注云安全和DevSecOps,技术栈现代(Azure、K8s、IaC),技能积累价值高
- 工作内容涉及安全工具选型与自动化,有技术创新空间
- 团队协作跨全球,有助于提升英语沟通和跨文化协作能力
- 安全领域变化快,需要持续学习新工具和合规框架,保持技术敏感度
- 作为咨询公司员工,可能需应对客户紧急安全事件,工作节奏紧张
- 适合有3年以上云安全经验、自驱力强、喜欢技术深度和国际化协作的工程师,对DevSecOps和Azure安全有浓厚兴趣
缺点 / 挑战
- 需同时处理多地项目落地,可能面临时差沟通和跨团队协调压力
角色解读
- 初期深入云安全技术细节,成为Azure安全专家或DevSecOps核心成员
- 中期可转向安全架构师或安全团队Lead,负责更大范围的安全策略设计
- 长期可向全球安全经理或首席信息安全官(CISO)方向发展,管理安全团队与合规项目
- 负责实施全球云安全项目,将安全能力集成到应用设计和部署流程中,确保CI/CD全链路安全
- 配置和运营Azure云安全产品(如WAF、Key Vault、Sentinel等),并对安全扫描工具(SAST/DAST等)进行选型与优化
- 与开发、运维及全球安全团队协作,进行威胁建模和安全架构评审,输出加固方案
- 建立安全度量仪表盘,跟踪漏洞修复率,并向Global团队汇报进展
- 精通云安全实战,熟悉DevSecOps和SDLC安全控制点,具备CI/CD工具链(如GitLab)使用经验
- 熟练掌握SAST/DAST/SCA等安全扫描工具(如SonarQube、WIZ、Trivy)的集成与调优
- 具备Azure云安全产品实操经验,理解云原生安全模型
- 英语流利,能进行日常会议和邮件沟通,具备团队协作能力
申请策略
- 申请时强调对毕马威ESG和多元文化的认同,展示对可持续安全的热情
- 准备好英文自我介绍和项目介绍,面试中可能涉及英文技术问答
- 突出云安全实战项目,特别是Azure安全产品配置和SAST/DAST工具集成经验
- 强调CI/CD安全集成案例,如安全扫描流水线搭建、漏洞治理自动化
- 列出英语能力证明(如雅思/托福成绩或海外项目经验),以及相关安全证书
- 体现对DevSecOps原则的理解,如安全左移、最小权限等
- 若缺少Azure实操,可通过Azure免费实验室或官方课程补足
- 熟悉IaC安全扫描工具(如Checkov、Tfsec),可结合Terraform练习
面试指南
- STAR法则:描述情境、任务、行动和结果,突出个人贡献和技术细节
- 安全实践需结合理论与实际:先阐明原则(如最小权限),再举例工具和配置
- 展示跨团队协作:强调与开发、运维的沟通方式,以及如何推动安全左移
- 请描述你如何将安全扫描集成到CI/CD流水线中的具体案例
- Azure WAF和Key Vault的常见配置场景有哪些?如何保障密钥安全?
- 解释什么是“Security by Design”,并举例如何在项目早期介入安全设计
- 你如何处理一个高优先级漏洞的修复和跟踪流程?
- How do you ensure cloud compliance with frameworks like ISO27001? (英文问题)
匹配度报告
68
综合匹配度
国际大平台,前沿云安全技术栈,成长机会多,但需现场办公且可能加班。
适合人群
最看重技术成长和职业发展的求职者,对WLB要求不高,愿意接受国际化工作环境。
最强匹配
成长发展匹配
最弱匹配
工作生活匹配
薪资福利70
成长发展85
工作生活50
使命价值65
薪资福利匹配
70中等
毕马威薪资处于市场中等偏上水平,福利完善(五险一金、补充医疗等),但JD中未明确具体薪酬和福利,补偿性动机满足中等。
薪资信号面议 (18K-30K/月)
成长发展匹配
85较高
职位涉及前沿云安全技术和DevSecOps实践,与全球团队合作,成长空间大。JD中提及多个现代工具(Azure、K8s、Terraform),但未明确晋升路径。
技术前沿前沿/新兴技术
技术栈Azure、DevSecOps、CI/CD、Kubernetes、Terraform、SAST、DAST
业务类型ambiguous
工作生活匹配
50较低
Base上海,仅现场办公,无远程或弹性工时描述,可能涉及与全球时差沟通,生活化动机满足一般。
工作模式仅现场办公
办公地点市区核心地段
加班情况未提及(无法判断)
使命价值匹配
65中等
毕马威在ESG方面有明确承诺,但职位本身安全工程属性对直接社会贡献有限,且行业为咨询(稳定成长),意义感中等。
行业发展稳定成熟行业
社会影响中性/一般
使命信号ESG承诺、影响力计划
创新程度积极采用新技术
Watch Jobs