Security Engineer / Red Team (Cloud & DevSecOps)

Sobre a posição Estamos em busca de um(a)

Security Engineer / Red Team , com forte perfil técnico e executor, para atuar diretamente na

segurança ofensiva e defensiva

da plataforma Arctica. Essa posição tem atuação diária em

Cloud Security (Azure) ,

DevSecOps ,

Secure SDLC

e

Red Team , trabalhando lado a lado com os times de engenharia desde o design até a produção.

Responsabilidades

Cloud Security – Azure Implementar e operar controles de segurança nativos do Azure: Entra ID (Azure AD) Azure Policy Defender for Cloud RBAC, PIM e Conditional Access Realizar hardening de workloads: VMs AKS App Services Storage Accounts Avaliar e corrigir riscos relacionados a: Exposição de serviços Identidades e permissões Segredos e chaves (Key Vault) DevSecOps Integrar segurança aos pipelines CI/CD: SAST, DAST, SCA e Secret Scanning Automatizar controles de segurança em pipelines (GitHub Actions / Azure DevOps) Definir políticas de bloqueio de build com base em risco Atuar em parceria com os times de engenharia na correção de vulnerabilidades Secure SDLC Definir e executar práticas de Secure SDLC: Threat Modeling Security reviews de arquitetura Code review focado em segurança Criar guidelines de desenvolvimento seguro (OWASP Top 10) Atuar desde o design até produção Red Team / Segurança Ofensiva Executar testes de intrusão (pentest): Web APIs Cloud Simular ataques como: Credential abuse Lateral movement Privilege escalation Validar controles de segurança existentes Produzir relatórios técnicos e executivos com: Evidências Impacto Risco Recomendações práticas de correção

Requisitos técnicos obrigatórios

Cloud & Infra Experiência prática em

Microsoft Azure Conhecimento sólido em: Entra ID (Azure AD) IAM, RBAC e PIM Networking (VNet, NSG, Firewall, WAF) Segurança Experiência comprovada em

pentest / Red Team Conhecimento profundo em: OWASP Top 10 API Security OAuth 2.0 / OIDC JWT Exploração de falhas como: Auth bypass Injeções IDOR Misconfigurações em cloud DevSecOps & SDLC Experiência com: Git CI/CD Infraestrutura como Código (Terraform, Bicep ou ARM) Experiência prática em Secure SDLC Atuação contínua na melhoria da postura de segurança da plataforma

Diferenciais

Certificações: OSCP, CRTO, eJPT AZ-500 GWAPT Experiência com: Kubernetes (AKS) Containers e segurança de imagens Bug bounty Ambientes SaaS B2B

Soft skills

Executor e investigativo Alta autonomia técnica Capacidade de documentar e comunicar riscos de forma clara e objetiva Boa comunicação com times de engenharia, sem burocracia excessiva