Blog de Amazon Web Services (AWS)
Profundizando en Shield Advance: Funcionamiento y buenas prácticas
Introducción
DDoS (Distributed Denial of Service en inglés) son ataques que buscan la denegación de servicio, estos utilizan un gran volumen de solicitudes de forma distribuida con el objetivo de interrumpir una aplicación o un servicio. Aunque lo anterior es el principal dolor, otra estrategia detrás de un ataque de este estilo es servir de distracción, lo que permite utilizar otro vector de ataque sin que nadie lo sepa, permitiendo a su vez ejecutar otro ataque, como, por ejemplo, Ransomware. Es importante hablar de esto, ya que se observa que la cantidad de ataques y su volumen aumentan día a día, por lo que crear una protección contra ellos es de vital importancia, no solo para proteger su infraestructura, sino también sus datos, sus clientes y la confiabilidad de su empresa.
De que se hablará en este blog
En este blog se mostrará como se puede crear una protección inicial contra DDoS, después se dará énfasis en el servicio de AWS Shield Advanced, este provee protección avanzada contra DDoD en AWS. También se explorará cómo funciona el modelo de precio y que buenas prácticas se aplican para el uso de este servicio.
Protección básica para DDoS
El primer paso para protegerse contra los ataques DDoS es comprender la línea base de solicitudes de la aplicación. Con esta información, se puede crear una regla, que imponga un límite en la frecuencia de solicitudes respecto a un tiempo determinado, en una Web ACL. Esta WebACL pertenece a él servicio AWS WAF (Web Application Firewall). Por ejemplo, si alguna IP realiza más solicitudes que el límite que estableció a priori en esta regla, por ejemplo, en un período de 5 minutos, WAF bloqueará las solicitudes hasta el final de ese período. Como se puede ver, al implementar esta regla, la mayoría de los ataques de DDoS ya estarían bloqueados, de forma que se logra mejorar la postura de seguridad de la solución con dos o tres clics solo usando inicialmente AWS WAF. Para dar los siguientes pasos y mejorar sus estrategia defensiva, le recomendamos que lea las prácticas recomendadas de AWS para la resiliencia frente a los ataques DDoS, que amplían su protección más allá del firewall.
Comparando Shield Standard con Shield Advanced
Comparación entre las dos versiones:
1/ S. Standard: Protege la infraestructura de su solución desplegada en AWS contra ataques de DDoS como, por ejemplo, algunos puntos de conexión de servicios administrados. Puede mantenerse activo y sin ningún costo asociado a su uso.
2/ S. Advanced: Ayuda a proteger la aplicación contra un ataque DDoS con funcionalidades avanzadas, estas son:
Funcionalidades de Shield Advanced:
- Reglas de WAF administradas por AWS – Calcula la línea base de su solicitud y lleva a cabo una protección automática de puntos de conexión.
- SRT (Shield Response Team) – Equipo de especialistas en DDoS y Shield, que le ayudarán a mejorar las reglas de su firewall y a mitigar los ataques. Para contar con su soporte, es necesario tener contratado el servicio de soporte empresarial.
- WebACLs de WAF sin costo – Las WebACL están registradas en Shield Advanced, por lo que analizar las solicitudes entrantes o el uso de reglas personalizadas no tiene costo adicional. Pero, ¡Atención! Para reglas de control de bots y reglas ofrecidas por socios de AWS, WAF el costo si se sigue reflejando en consola.
- Mejor visibilidad de los ataques – Visibilidad casi en tiempo real de los ataques con los registros (logs) y tableros de CloudWatch en la consola de Shield y de Firewall Manager.
- Protección de costos – Los costos generados por el escalado automático de los recursos como consecuencia de un ataque DDoS, se reembolsan como créditos en la cuenta afectada tras un análisis realizado por el equipo de soporte. Nota: No se aplican reembolsos, si se activa el servicio Shield Advance justo en medio de uno de estos ataques.
- Integración con AWS Firewall Manager – Permite la administración centralizada de todas las WebACL respecto a las cuentas de una organización.
- Integración con AWS Organizations – La protección y el soporte de Shield Advanced se extiende a todas las cuentas de la misma organización, incluso las que se encuentran en categorías inferiores.
Precios de AWS Shield
Shield Standard
Se ofrece sin costo adicional para clientes de AWS.
Shield Advanced
Shield Advanced tiene 3 precios relacionados:
- Suscripción – 1 año de Suscripción con renovación automática. Esta renovación se informa con 30 días de anticipación a los contactos registrados en la cuenta.
- Cuota mensual – $3000,00 US por mes (Valor de referencia en 09/2023)
- Data Transfer Out (DTO) – Cantidad de datos procesados por los recursos protegidos por Shield advanced.
Cabe destacar que, si se asocia este servicio a la cuenta administradora, la protección de Shield Advance se extiende a las cuentas miembros de dicha Organización
Los precios del DTO varían en cada región de AWS y según el tipo de recurso protegido, pero hay una ventaja, el costo unitario por GB procesado disminuye a medida que aumenta el volumen de uso, independientemente de la región. Para obtener más información sobre los precios actuales, consulte la página de precios de Shield.
Normalmente, cuando se activan sistemas contra la protección contra DDoS, se hacen en punto de enlace que se encuentra en la nube pública. Por lo que se recomienda usar un servicio de CDN (Content Delivery Network) como Amazon CloudFront, que además de agregar una capa de seguridad en la puerta de entrada a la infraestructura de una solución, también sirve como caché de contenido. Esto sirve para reducir la superficie de ataque y costos derivados a las repuestas de tipo caché, lo que es crítico para reducir el escalado de la infraestructura que se hace para satisfacer la demanda ilegítima de un ataque DDoS. Hay que resaltar que el coste unitario por GB de DTO usando Amazon CloudFront es normalmente la mitad que el costo de usar Elastic Load Balancing (ELB).
Consideraciones
Cosas que hay que tener en cuenta al considerar Shield Advanced:
Requisitos previos para la cobertura de costos –
Para poder solicitar la cobertura de los costos de un ataque, se deben haber cumplido dos requisitos antes de que se produzca el ataque:
- El punto final atacado debe estar protegido y registrado en Shield Advanced.
- Debe haber una regla de límite de velocidad activa, de acuerdo a la línea base de solicitud de la aplicación a proteger. Esta debe estar configurada como un bloque o también como una regla administrada contra los ataques DDoS de AWS. La regla de AWS tarda aproximadamente 48 horas en comprender el patrón de solicitudes de la aplicación para que pueda considerarse activa.
WAF “sin costo” – Esto aplica sobre las webACL registradas en Shield Advanced y los de las reglas personalizadas. Las reglas de bots de AWS y de los socios del mercado siguen cobrándose con normalidad. Para registrar una WebACL en Shield Advanced, debe adjuntarse a algún recurso. Si no se adjunta, el cargo mensual normal de la WebACL se cobrará por regla creada, tal y como se describe en la sección de precios de AWS WAF.
AWS Firewall Manager es independiente de WebACL – Muchos clientes suelen utilizar AWS Firewall Manager (FWM) para administrar los firewalls y Shield Advanced de forma centralizada y automatizada en sus cuentas. Una desventaja recurrente era que FWM no creará automáticamente WebACL en cuentas que no tuvieran los recursos necesarios, lo que hacía que se cobrará el coste completo de las mismas, tal como se menciona en el tema «sin costos» de WAF, incluso teniendo Shield Advance, ya que no estaban registrados a este. Esto hizo que en agosto de 2023 se lanzara la funcionalidad de creación de WebACL, reduciendo así los costos relacionados a WAF, sin perder la posibilidad de una estandarización de seguridad en las cuentas que se quieren centralizar. Por lo que, si usted ha realizado la centralización con FWM antes de agosto de 2023, se recomienda que compruebe y active esta funcionalidad, para que reduzca sus costes. En la siguiente imagen se muestra en dónde puede hacer esta habilitación:
Administración de WebACL que no están asociadas
Carga doble de DTO – Lo ideal sería detener todos los ataques en la periferia, no solo los ataques DDoS, por lo que recomendamos habilitar la protección Shield Advanced únicamente en los recursos públicos de la infraestructura. A menudo se utiliza CloudFront como capa de protección para los balanceadores de carga ELB, usualmente también se asigna una WebACL de WAF en cada uno de ellos, creando así «capas» de firewall. Por lo que, si se tiene activada la protección Shield Advanced, se crea una «carga doble» de DTO, como se muestra a continuación. La práctica de colocar un WebACL en cada uno de los sistemas se utiliza en algunas estrategias de firewall por niveles, y para ciertos casos de uso, pero esto implica el coste adicional del DTO entre ALB y CloudFront. En este caso, solo es posible registrar la WebACL de CloudFront, pero la WebACL de ELB se cobrará al precio normal y no se verá afectada por la exención ofrecida por Shield Advanced.
Buenas prácticas de Shield contra DDoS
Utilizar CloudFront – CloudFront almacena en caché contenido estático, lo que reduce el daño que causa el DDoS por solicitudes repetidas, incluso cuando el ataque aún no está identificado ni bloqueado. Por esto, debe incluir una WebACL ahí, ya que hace parte del borde de su infraestructura.
Usar una regla de límite de velocidad basada en la línea base de la aplicación – Es importante tener en cuenta la línea base de uso de su aplicación y con esto crear una regla para bloquear las IP en caso de que la superen. Adicionalmente, si se tiene activado Shield Advanced, se puede usar la regla automática de DDoS que se proporciona sin tener que calcular previamente la línea base de uso.
Priorizar una regla basada en recuento – Una forma de validar si la regla no tiene falsos positivos y para entender mejor la línea base de uso, se recomienda habilitar la regla primero en el modo de recuento, en lugar de en modo de bloqueo.
Ponerse en contacto con el equipo de DRT – Si se tiene Shield Advanced, es importante ponerse en contacto con el equipo de DRT, quienes ayudan a evaluar y perfeccionar las reglas contra DDoS.
FWM aplicado a AWS Organizations – Para tener una postura de seguridad eficiente, es importante centralizar la administración del firewall. Firewall Manager, junto con Organizations, le permite controlar de forma centralizada sus WebACL, sus grupos de seguridad y Shield.
Conclusión
AWS Shield es una herramienta de utilidad para las empresas que pueden estar expuestas a ataques DDoS, y se puede utilizar para optimizar los costos de WAF, pero debe configurarse y usarse correctamente para poder aprovechar al máximo su potencial.
Este artículo se tradujo del Blog Post de AWS en Inglés.
Acerca de lo autor
Felipe Bortoletto es arquitecto de soluciones en AWS. Trabaja en Amazon desde 2017 y, en 2019, participó en el programa Tech U, que proporcionó los conocimientos y la práctica necesarios para ascender a arquitecto de soluciones. Actualmente trabaja en el mercado financiero y se especializa en seguridad.
Roberto Fernandes da Silva es arquitecto de soluciones en AWS con más de 14 años en el mercado de la tecnología. En la actualidad, se centra en apoyar a los clientes empresariales en su transición a la nube, así como en las herramientas administradas.
Traductora y revisora
Pilar Pinto es arquitecta de soluciones en AWS para el sector de pequeñas y medianas empresas en Cloud Solution Center, miembro del staff de Women at Amazon Colombia. Su foco es la seguridad y como se puede aplicar a nivel transversal.