Blog de Amazon Web Services (AWS)
Mejores prácticas para utilizar AWS Shield Advanced como protección contra ataques de denegación de servicio
Por Omner Barajas, Arquitecto de Soluciones Especialista en Seguridad en AWS México
AWS Shield es un servicio de protección contra ataques de denegación de servicio distribuidos (DDoS) que protege las aplicaciones ejecutadas en AWS. Existen dos capas de AWS Shield, Standard y Advanced.
AWS Shield proporciona una mitigación en línea automática y una detección siempre activa ante los ataques DDoS más comunes, que normalmente ocurren en la capa de red y transporte, y que están dirigidos a su aplicación o sitio web. Todos los clientes de AWS se benefician de dicha protección de AWS Shield Standard sin cargo adicional.
Si desea un nivel de protección superior contra ataques dirigidos a sus aplicaciones, puede suscribirse a AWS Shield Advanced. Además de las protecciones comunes de la capa de transporte y red que Standard incluye, AWS Shield Advanced proporciona detección y mitigación adicionales contra ataques DDoS sofisticados y a gran escala, visibilidad de los ataques casi en tiempo real e integración con AWS WAF, un firewall para aplicaciones web. AWS Shield Advanced también ofrece acceso al equipo de respuesta ante DDoS (DRT) de AWS y protección contra picos relacionados con DDoS en el costo de los recursos que protege.
Mejores prácticas para utilizar el servicio de AWS Shield Advanced
A continuación, se listan cinco mejores prácticas para tomar ventaja y aprovechar el servicio de AWS Shield Advanced en toda su capacidad:
1. Activa el servicio en todas las cuentas de tu organización. Existe un único pago mensual para todas las cuentas bajo una cuenta administradora central. Puedes revisar los detalles en la página de precios del servicio.
2. Protege todos tus recursos expuestos a Internet. En la documentación del servicio puedes encontrar la guía de como habilitar la protección a tus recursos de AWS (ELB, direcciones IP de instancias EC2, distribuciones de CloudFront, etc).
3. Incluye en la protección reglas (ACL) contra ataques en capa 7 (aplicación) utilizando el servicio de AWS WAF, el cual está disponible sin costo adicional para recursos protegidos por AWS Shield Advanced. Cabe notar que las reglas administradas contratadas si generan un costo adicional.
Para proteger tu aplicación contra ataques de denegación por volumen, no olvides utilizar reglas de control (rate-based) para identificar y bloquear picos repentinos que pueden significar comportamiento malicioso.
4. Configura alarmas y tableros que te ofrezcan visibilidad de los eventos de ataques de denegación utilizando Amazon CloudWatch.
5. Para eventos de ataque o durante una emergencia, entrena a tu equipo acerca de como contactar al equipo de respuesta (DRT) de AWS, ya sea abriendo un caso a través de AWS Support Center o de forma proactiva. Asegúrate que el equipo de respuesta de AWS (DRT) tenga los permisos necesarios para acceder a tu cuenta de AWS y poder reaccionar rápidamente durante algún evento.
Sobre el autor
Omner Barajas es Arquitecto de Soluciones Especialista en Seguridad en AWS México.
Sobre los revisores
Daniel García es Arquitecto de Soluciones Especialista en Seguridad en AWS Brasil.
Darío Goldfarb es Arquitecto de Soluciones Especialista en Seguridad en AWS LATAM.