VPC: Rede IPv4 pública

Esta regra identifica recursos que possuem endereços IP públicos expostos, incluindo:
Network Interfaces (ENIs) com PublicIp associado
Elastic IPs (EIPs) alocados
O objetivo é mapear exposição pública de rede para fins de governança, segurança e controle de custo.

Contexto da regra e impacto no negócio

Endereços IP públicos:

Geram custo direto (modelo atual de cobrança de IPv4 público)
Aumentam superfície de ataque
Podem expor workloads indevidamente
Indicam possíveis falhas de arquitetura privada

Impactos potenciais:

Risco de segurança
Não conformidade com políticas corporativas
Custo recorrente por IP público
Shadow IT

Esta regra é classificada principalmente como GOVERNANÇA, com impacto secundário em ECONOMIA.

Detalhamento técnico da regra

A regra realiza varredura regional para identificar:

Network Interfaces com IP público associado
Elastic IPs existentes na conta

Não há validação de utilização ou tráfego.

Como a regra é executada

Autentica na conta AWS por região.
Executa:

Para Network Interfaces

ec2:DescribeNetworkInterfaces

Com filtro:

addresses.association.public-ip = *

Coleta todas as ENIs com IP público associado.

Para Elastic IPs

ec2:DescribeAddresses

Identifica todos os endereços que possuem:

PublicIp presente

Aplica filtros de tag (inclusão/exclusão).
Registra os recursos encontrados.

Lógica aplicada

Um recurso será sinalizado quando:

Caso 1 – Network Interface

Possui Association.PublicIp

Caso 2 – Elastic IP

Possui PublicIp

Não há filtro de status ou uso.

Campos analisados

Network Interface

NetworkInterfaceId
PublicIp
PrivateIpAddress
SubnetId
VpcId
TagSet
Região

Elastic IP

AllocationId
PublicIp
InstanceId
NetworkInterfaceId
AssociationId
Tags
Região

Parâmetros considerados na busca

APIs utilizadas:

ec2:DescribeNetworkInterfaces
ec2:DescribeAddresses

Filtro aplicado para ENI:

addresses.association.public-ip = *

Período Avaliado (Filtro Temporal)

Período Avaliado: 15 dias

Configuração padrão e que identifique recursos IPv4 com exposição pública dentro do perdiodo de 15 dias

Esse parâmetro de avaliação pode ser ajustado nas configurações das regras.

Intervalo de Análise

Execução padrão: a cada 8 horas.

Cálculo de Savings

Caso a política da organização determine remoção de IPs públicos desnecessários:

Savings = sum("lineitem/unblendedcost")

Relacionado ao custo de IPv4 público.

Campo de custo utilizado

No Billing AWS:

Service: AmazonEC2
Usage Type:
- PublicIPv4:InUseAddress
- PublicIPv4:IdleAddress
Line Item Type: Usage
Campo financeiro considerado:
- lineitem/unblendedcost

Exemplo aplicado ao Billing

Cenário:

25 IPs públicos ativos
Custo médio por IP: $3,60/mês

Cálculo:

Savings potencial = 25 × 3,60
Savings = $90/mês

Savings anual:

90 × 12 = $1.080

Dicas de uso e boas práticas para o usuário

Preferir arquitetura privada com NAT Gateway ou Load Balancer.
Utilizar bastion host controlado para acesso administrativo.
Implementar política de bloqueio de criação de IP público automático.
Monitorar criação manual de EIPs.
Integrar com política de segurança corporativa.

Possíveis exceções:

Serviços que exigem exposição pública.
APIs públicas.
Infraestrutura de CDN.
Bastion hosts controlados.

Recomenda-se revisão periódica de todos os IPs públicos da conta.

PreviousVPC: Ponto de extremidade VPC inativo NextAzure

Last updated 1 month ago