Шаблон CV Junior Инженер облачной безопасности
Готовый шаблон CV для Junior Инженер облачной безопасности. Оптимизирован под ATS-системы.
Зарплата Junior (US)
$130,000 - $180,000
Почему это CV работает
Сильные глаголы в начале каждого пункта
Триажил, Написал, Построил, Расследовал, Сопровождал. Каждый пункт открывается действием, доказывающим, что вы вели cloud-security работу, а не наблюдали за тикетами Wiz.
Цифры превращают cloud-security работу в доказательство
4 200+ Wiz issues, MTTR с 17 дней до 6 дней, 240+ misconfigurations, 38 true-positive алертов, false-positive cut на 71 percent. Без метрик CSPM-триаж читается как лог рутины.
Контекст превращает результат сканеров в posture-результат
Не 'запускал сканы', а 'по 94 IaC-репозиториям и 9 AWS-аккаунтам'. Не 'писал политики', а 'как pre-merge gate в 64 Terraform-репозиториях'. Контекст показывает, что вы понимали landing-zone, который защищали.
Сигналы командной работы даже на стажёрском уровне
Приняты 5 платформенными командами, маршрутизация 8 владельцам сервисов, runbooks для on-call SRE, сопровождал старшего cloud-security инженера, поддерживал EKS-платформу. Junior cloud-security — это работа внутри platform-eng, CV должно показывать людей рядом.
Инструменты в достижениях, а не в списке стека
'Построил ночной drift-detection на AWS Config и Security Hub' звучит сильнее, чем 'AWS Config, Security Hub'. Инструменты живут внутри того, что вы выкатили, а не в отдельной табличке.
Необходимые навыки
- Wiz
- AWS Config
- AWS Security Hub
- GuardDuty
- Checkov
- tfsec
- Terraform
- AWS IAM
- Macie
- AWS Access Analyzer
- OPA
- Falco
- Pod Security Admission
- CIS AWS Foundations
- Cloud Security Alliance CCM
- Python
- Go
- Bash
- HackerOne
Улучшите своё CV
CV инженера облачной безопасности: как попасть внутрь platform engineering, а не рядом с комплаенс-командой
Cloud Security - одна из самых неправильно классифицируемых ролей в индустрии. Это не generic AppSec. Не ротация SOC-аналитика. Не IT-helpdesk security. Инженер облачной безопасности владеет posture самой облачной платформы: IAM, сеть, IaC, runtime и supply chain. Рекрутеры в Yandex Cloud Security, Sber Cloud, MTS Cloud, Тинькофф, Wildberries, Avito, Selectel и VK Cloud (плюс международный remote в Snyk, HashiCorp, Wiz, Datadog) сканируют CV в поисках одного сигнала: вы катите landing-zone guardrails и владеете multi-cloud posture или пересылаете Wiz-тикеты и называете это программой.
Жестокая правда: большинство cloud-security резюме фильтруется по одним и тем же причинам. В них пишут 'ревьювил cloud security' вместо 'написал landing-zone SCP baseline, блокирующий 14 high-risk actions на 312 аккаунтах'. CISSP стоит в начале первой страницы, а Wiz упомянут один раз. Заявляется 'AWS expertise' без единого landing-zone решения. Нанимающий цикл смотрит на конкретные posture-решения, а не на стопку сертификатов.
Этот гид разбирает, что работает на каждом уровне: junior триажит CSPM-находки и пишет правила Checkov/OPA; middle владеет одним облаком (AWS, GCP или Azure) и свободно говорит про landing-zone; senior - multi-cloud governance с IaC + runtime + supply-chain; lead - cloud-platform-security архитектор с бюджетом, vendor-решениями и board-level posture-отчётами. Все примеры построены на реальных инструментах (Wiz, Lacework, Orca, Prisma Cloud, CrowdStrike Falcon Cloud, Sysdig, Aqua, Checkov, tfsec, KICS, Falco, OPA, Kyverno, Sigstore, cosign, AWS IAM Identity Center, Verified Permissions, GCP Security Command Center, Azure Defender for Cloud) и реальных метриках (misconfig MTTR, drift detection rate, IAM permission-boundary adoption, процент аккаунтов под SCP-deny, Wiz issue burndown rate, public-asset count, SLSA build-attestation coverage, blast-radius score reduction).
Лучшие практики для CV Junior-инженера облачной безопасности
Подавайте себя как инженера, осваивающего cloud security, а не как безопасника, учащегося пользоваться AWS. Нанимающие в Yandex Cloud, Тинькофф и Avito de-prioritize кандидатов, начинающих с теоретического security-знания. Начинайте с IaC. 'Написал 86 правил Checkov и tfsec для S3 public-read, IAM wildcard-action и security-group 0.0.0.0/0, развёрнуты как pre-merge gate в 64 Terraform-репозиториях' побеждает 'знаком с AWS Well-Architected'.
Цифры вокруг CSPM-триажа - единственное доказательство вкуса. Каждое junior CV заявляет 'триажил CSPM-находки'. Те, что получают callbacks: '4 200+ Wiz issues по 94 IaC-репозиториям и 9 AWS-аккаунтам, MTTR с 17 дней до 6 дней через severity-tagged JIRA routing'. MTTR-дельта говорит менеджеру, что вы поняли: cloud security - это проблема signal-to-noise и маршрутизации.
Покажите один OSS Checkov-рулсет и один HackerOne-репорт. Публичный Checkov-репозиторий с 14 рабочими политиками для AWS IAM permission boundaries или 3 medium-severity HackerOne-репорта против cloud-platform программ убеждают сильнее любого TryHackMe-стрика. Оба pattern-match на cloud-security loop и дают интервьюеру конкретный материал.
Называйте landing-zone surface, на которой работал инструмент. 'AWS Config' - это инструмент. 'Построил ночной drift-detection pipeline на AWS Config и Security Hub, выявляющий 240+ misconfigurations еженедельно с auto-PR-ами для 8 владельцев сервисов' - это интеграция. Landing-zone фрейминг говорит, что вы знаете, где живут guardrails.
Избегайте ловушки CISSP-стопки на junior-уровне. CISSP без 5 лет опыта бессмыслен. AWS Certified Security Specialty как baseline - нормально. CKS, GCP Professional Cloud Security Engineer или публичный Checkov-рулсет на GitHub дают намного более сильный cloud-security сигнал, чем стек enterprise-сертификатов.
Частые ошибки в CV Junior-инженера облачной безопасности
- 'Ревьювил cloud security' без системного фрейминга
Почему это вредит: Это пишет каждый junior. Cloud-security зрелые компании читают как 'я клацал по AWS console один раз'. Без имени CSPM-инструмента, количества аккаунтов, IaC-репозиториев или MTTR буллет невидим.
Как исправить: Замените на системный фрейминг: 'Триажил 4 200+ Wiz issues по 94 IaC-репозиториям и 9 AWS-аккаунтам, MTTR с 17 дней до 6 дней через severity-tagged JIRA routing'.
- 'CISSP listed' без глубины
Почему это вредит: CISSP в начале junior cloud-security CV сигнализирует cert-collector, а не инженера. Cloud-security loop downrank-ит этот профиль, потому что он pattern-match-ится с GRC и IT-security, а не с platform-eng adjacent.
Как исправить: Начните с code-артефактов: публичный Checkov-рулсет с 180+ stars, 3 HackerOne medium-severity репорта против cloud-platform программ, open-source OPA-bundle. AWS Certified Security Specialty или CKS внизу страницы - нормально.
- Generic 'AWS expertise' без единого landing-zone решения
Почему это вредит: 'Эксперт в AWS' в junior CV - это tell. Cloud-security рекрутеры знают, что реальный AWS-опыт проявляется в конкретных сервисах: SCP-deny, IAM Identity Center, триаж GuardDuty, AWS Config aggregator, ревью S3 bucket-policy.
Как исправить: Замените 'AWS expertise' на буллеты, называющие 3-4 конкретных сервиса и измеримый результат по каждому. 'Расследовал находки GuardDuty и Macie в staging- и production-landing zones, подтвердив 38 true-positive алертов и написав 22 follow-up runbooks для on-call SRE' - выводит из generic-cloud бакета.
Советы по CV для Junior-инженера облачной безопасности
Выкатите один публичный Checkov-рулсет до отклика. GitHub-репозиторий с 10-20 рабочими политиками Checkov или OPA для AWS IAM permission boundaries, S3 public-read или SCP gaps - самый быстрый сигнал, что вы читаете IaC. Это то, что менеджеры в Yandex Cloud и Тинькофф специально ищут.
Трактуйте HackerOne cloud-platform программы как портфолио. 3-4 medium-severity репорта против cloud-platform bug-bounty AWS, GCP или Azure - конкретное доказательство, что вы читаете attacker-side.
Изучите одно облако глубоко, прежде чем заявлять multi-cloud. AWS вглубь (IAM, SCP, Config, GuardDuty, Security Hub, Identity Center) побеждает AWS + GCP + Azure, которых вы коснулись один раз. Конкретика - то, на что pattern-match-ится cloud-security рекрутер.
Совет: Универсальные CV фильтруются. Используйте CV под вакансию & Сопроводительное для адаптации под cloud-security стек компании (Wiz vs Lacework, Checkov vs tfsec, AWS Identity Center vs cross-account roles).
Часто задаваемые вопросы
Рекомендуемые сертификации
Подготовка к собеседованию
Интервью на Cloud Security Engineer проверяют landing-zone fluency, глубину IaC и политик и зрелость program-мышления. Ожидайте live IAM/SCP design exercise (напишите deny-политику, блокирующую 5 конкретных high-risk actions в орге), whiteboard-сессию по threat modeling вымышленного multi-account AWS-деплоя и глубокое погружение по одному облаку, которым вы заявляете владение (AWS, GCP или Azure). Senior+ раунды добавляют вопросы по CNAPP-стратегии, walk-through vendor-решений и проектирование supply-chain provenance (Sigstore, cosign, SLSA Level 3, Binary Authorization). Lead-раунды добавляют экономику bug-bounty, CNAPP vendor consolidation и симуляцию audit-committee ридаута.
Частые вопросы
Частые вопросы:
- Пройдитесь по misconfigured IAM-политике: что эта trust-политика реально разрешает?
- Объясните различия Wiz, AWS Config и Security Hub по coverage и где каждый уместен
- Опишите триаж GuardDuty-находки vs Macie-находки
- Чем отличаются SCP, IAM policy и permission boundary?
- Как принимать решение между фиксом CSPM-находки и accept risk?
Советы: Приходите с одним публичным Checkov-правилом и одним HackerOne-репортом. Будьте готовы написать Checkov или OPA правило вживую. Избегайте CISSP-list сигналинга. Покажите понимание, что cloud security - это работа signal-to-noise и маршрутизации.