search

VPC: Grupos de segurança pública

Esta regra identifica Security Groups que possuem regras de entrada (Ingress) permitindo acesso público irrestrito através do CIDR:

0.0.0.0/0

O objetivo é detectar configurações que expõem recursos internos à internet pública, aumentando significativamente o risco de segurança.

Segue a documentação estruturada rigorosamente no padrão definido.

Contexto da regra e impacto no negócio

Security Groups funcionam como firewall virtual para recursos dentro da VPC.

Quando uma regra permite:

0.0.0.0/0

Significa que qualquer IP da internet pode tentar acessar o recurso associado.

Riscos associados:

  • Exposição indevida de servidores internos.

  • Aumento da superfície de ataque.

  • Risco de exploração de vulnerabilidades.

  • Possibilidade de brute force e scanning automatizado.

  • Incidentes de segurança e vazamento de dados.

Impactos no negócio:

  • Comprometimento de dados sensíveis.

  • Multas regulatórias.

  • Interrupção de serviços.

  • Danos reputacionais.

  • Custos elevados com resposta a incidentes.

Mesmo que a regra esteja associada a portas específicas, o acesso irrestrito deve ser controlado e justificado.

Detalhamento técnico da regra

A regra executa análise regional de todos os Security Groups.

Como a regra é executada

  1. Autentica na conta AWS por região.

  2. Lista todos os Security Groups via describe_security_groups.

  3. Aplica filtros de tag (inclusão/exclusão).

  4. Para cada Security Group:

    • Analisa as permissões de entrada (IpPermissions).

    • Verifica se algum IpRanges contém:

  5. Caso exista ao menos uma regra com esse CIDR, o Security Group é sinalizado.

Lógica aplicada

Um Security Group será considerado em não conformidade quando:

  • Possuir qualquer regra de entrada.

  • E dentro dessa regra existir:

A regra não avalia:

  • Porta específica.

  • Protocolo.

  • Justificativa do acesso.

  • Regras IPv6 (::/0) nesta implementação.

Campos analisados

Security Group:

  • GroupId

  • GroupName

  • Description

  • VpcId

  • SecurityGroupArn

  • Tags

Permissões:

  • IpPermissions

  • IpRanges

  • CidrIp

Parâmetros considerados na busca

APIs utilizadas:

  • ec2:DescribeSecurityGroups

Condições técnicas:

  • Existência de IpPermissions

  • Presença de CidrIp = 0.0.0.0/0

Período Avaliado (Filtro Temporal)

Período Avaliado (Filtro Temporal): Padrão 15 dias.

Padrão é configurado para 15 dias de avaliação do grupos de segurança com acesso público permitido.

Esse parâmetro de avaliação pode ser ajustado nas configurações das regras.

Intervalo de Análise

Execução padrão: a cada 8 horas.

Aderência às melhores práticas

Não possui cálculo de savings direto.

Está alinhada com:

  • AWS Security Best Practices

  • AWS Well-Architected Framework – Pilar de Segurança

  • CIS AWS Foundations Benchmark

  • Princípio de menor privilégio (Least Privilege)

Riscos associados

  • Exposição pública indevida.

  • Superfície ampliada para ataques automatizados.

  • Possível acesso não autorizado.

  • Movimentação lateral dentro da VPC.

Exemplo prático

Security Group com regra:

Resultado:

  • Qualquer IP público pode tentar acessar via SSH.

  • Alto risco de brute force.

Dicas de uso e boas práticas para o usuário

  • Substituir 0.0.0.0/0 por CIDRs específicos.

  • Utilizar bastion host com IP restrito.

  • Implementar VPN ou AWS Client VPN.

  • Usar AWS Systems Manager Session Manager.

  • Revisar periodicamente regras antigas.

  • Avaliar também regras IPv6 (::/0).

Possíveis exceções legítimas:

  • Load Balancers públicos.

  • APIs públicas controladas.

  • Aplicações intencionalmente expostas à internet.

Recomenda-se validar a necessidade de exposição antes de qualquer alteração.

PreviousVPC: Alcançando 80% das cotas para uso de VPCs ou sub-redesNextVPC: Ponto de extremidade VPC inativo

Last updated