Protección frente a ataques DDoS

Los ataques de denegación de servicio distribuido (DDoS) son intentos malintencionados de interrumpir el tráfico normal de un servidor, servicio o red objetivo al abrumarlo con una avalancha de tráfico de Internet. Si no se mitigan de forma eficaz, los ataques DDoS pueden provocar fallos en la disponibilidad o reducir los tiempos de respuesta de las aplicaciones web. En tales situaciones, si la aplicación se escala para absorber el ataque, genera costos de escalado innecesarios. Afortunadamente, las aplicaciones creadas en AWS se benefician de protecciones frente a DDoS nativas y pueden diseñarse para que tengan una gran capacidad de recuperación frente a ataques DDoS mediante los servicios y controles de seguridad de AWS.

Los asuntos relacionados con la seguridad son una responsabilidad compartida entre AWS y el cliente. AWS es responsable de proteger la infraestructura que sustenta los servicios en la nube de AWS. Para proteger su infraestructura, AWS emplea protecciones nativas contra los ataques DDoS a la infraestructura (en las capas 3 y 4) sin costo adicional. Estas protecciones se proporcionan a través de Shield Estándar y se basan en los siguientes componentes:

• Los sistemas de supervisión analizan diferentes fuentes, como NetFlow de dispositivos de red y registros de servicios, para detectar ataques DDoS.
• Los sistemas de depuración limpian el tráfico de ataques DDoS mediante inspección de paquetes, firewalls y conformación de tráfico. Para servicios como CloudFront y Route 53, los sistemas de depuración se implementan en sus puntos de presencia (POP), lo que permite la detección y la mitigación en menos de un segundo. Por el contrario, en el caso de los servicios regionales como ALB o EC2, los sistemas de depuración mitigan los ataques tras la detección, normalmente en cuestión de minutos.
• El equipo de respuesta de Shield impulsa la resolución rápida de los ataques DDoS que los sistemas de supervisión y depuración no detectan ni mitigan automáticamente.

En el modelo de responsabilidad compartida, su responsabilidad en cuanto a la protección contra DDoS depende de los servicios en la nube de AWS que utilice, lo que determina la cantidad de trabajo de configuración que debe llevar a cabo. Por ejemplo, la exposición de archivos de S3 en lugar de una instancia de EC2 reduce los controles de seguridad que debe emplear contra los ataques DDoS. Independientemente de los servicios utilizados, AWS ofrece capacidades para proteger, supervisar y responder a los ataques DDoS dentro del ámbito de su responsabilidad.

Es su responsabilidad diseñar arquitecturas resistentes a DDoS con los servicios de AWS. Entre las prácticas recomendadas, se incluyen las siguientes:

• Utilice CloudFront para aplicaciones web y Global Accelerator para otros casos de uso a fin de beneficiarse de cientos de Tbps de capacidad de mitigación en toda la red periférica distribuida de AWS. Tanto CloudFront como Global Accelerator emplean técnicas avanzadas de mitigación de DDoS, como SYN Proxy, que ofrece protección contra las inundaciones de SYN mediante el envío de cookies SYN para desafiar las nuevas conexiones antes de que se les permita continuar en sentido ascendente. CloudFront proporciona la protección más rápida (menos de un milisegundo) y la más completa contra todos los ataques DDoS de capa 3 y 4 conocidos, así como contra los ataques DDoS dirigidos al protocolo HTTP, como los ataques de reinicio rápido de HTTP/2 y Slowloris.
• Reducción de la superficie expuesta a ataques de los orígenes mediante técnicas de ocultación de orígenes.
• Preparación de la aplicación para escalar, por ejemplo, mediante el escalado automático con orígenes basados en EC2.
• Bloqueo de inundaciones HTTP con AWS WAF
• Supervise el comportamiento de las aplicaciones para detectar actividades anormales, analice las amenazas y responda mediante runbooks preestablecidos con la posibilidad de solicitar asistencia de AWS.

Para bloquear eficazmente las inundaciones HTTP (ataques DDoS en la capa 7), AWS WAF proporciona una combinación de varias reglas.

• Reglas para reducir la superficie expuesta a ataques de la aplicación al denegar cualquier patrón de solicitud inesperado. Por ejemplo, puede escribir reglas para denegar solicitudes con URL que no se ajusten a los esquemas de URL de la API, solicitudes con verbos HTTP no compatibles con la API o simplemente valores de encabezado de host que no formen parte de los nombres de dominio. Estas reglas bloquean inmediatamente el tráfico no deseado.
• Reglas basadas en la reputación de IP que bloquean el tráfico de direcciones IP con mala reputación. Puede usar las reglas administradas por Amazon basadas en la información de inteligencia sobre amenazas recopilada por AWS, las reglas administradas para AWS WAF por proveedores de AWS Marketplace, como Imperva, o puede crear su propia lista de reputación de IP y actualizar AWS WAF automáticamente. Las reglas basadas en la reputación de IP tienden a bloquear inmediatamente una parte importante de las inundaciones de HTTP.
• Reglas de limitación de velocidad que agregan solicitudes según una dimensión configurada (por ejemplo, IP) y luego bloquean el tráfico si el volumen agregado de solicitudes supera los umbrales configurados (por ejemplo, 100 solicitudes) dentro de un periodo determinado (por ejemplo, 1 minuto). Los límites de velocidad bloquean el tráfico infractor en decenas de segundos hasta que su volumen desciende por debajo de los umbrales configurados. Si quiere ampliar la duración del bloqueo de los límites de velocidad, implemente la solución personalizada que se describe en este blog. Entre los ejemplos de reglas de limitación de velocidad se incluyen una regla general basada en la IP con un umbral alto (por ejemplo, 2000), una regla basada en la IP específica de un URI (por ejemplo, /login) con un umbral inferior (por ejemplo, 100), una regla basada en el país para los países en los que no se hacen negocios significativos, una basada en cookies para bloquear las sesiones autenticadas infractoras, etc.
• Reglas con acción de desafío de JavaScript, para bloquear inmediatamente el tráfico no deseado generado por las herramientas que no ejecutan JavaScript y resolver los desafíos como lo hacen los navegadores legítimos.
• Reglas de Control de bots para protegerse contra las inundaciones de HTTP orquestadas por bots evasivos. Las técnicas de administración de bots que utilizan Control de bots de AWS WAF incluyen las detecciones de comportamiento, la detección de actividades coordinadas basada en ML, la detección de la automatización del navegador y los desafíos de CAPTCHA. La detección y la mitigación se producen en decenas de segundos.
• Reglas basadas en firmas de ataques creadas automáticamente por la mitigación automática de ataques DDoS en la capa de aplicaciones de Shield Avanzado (L7AM). Cuando se activa esta capacidad de Shield Avanzado, se crea un grupo de reglas administradas vacío en la WebACL de AWS WAF y se supervisa el tráfico de aplicaciones durante al menos 72 horas para crear una línea base del tráfico normal. Cuando hay una desviación significativa del perfil de tráfico con respecto a la línea base establecida, Shield Avanzado señala una detección de DDoS y comienza a analizar el tráfico en busca de una firma de ataque. Si se encuentra una firma, primero se prueba en el tráfico anterior para reducir el riesgo de falsos positivos y, a continuación, si es seguro usarla, se coloca la regla WAF correspondiente en el grupo de reglas creado anteriormente. Transcurrido un tiempo, cuando se detiene el ataque, la regla se elimina automáticamente del grupo de reglas. Cuando se lleva a cabo correctamente, este proceso tarda varios minutos.

Además, puede implementar reglas de WAF dinámicas que se adapten al nivel de amenaza percibido, lo que permite respuestas más agresivas (por ejemplo, acciones CAPTCHA o de desafío) durante los ataques DDoS de alta gravedad. Obtenga más información sobre cómo implementar este patrón con esta solución.

Shield Avanzado es un servicio adicional de AWS que mejora su seguridad contra ataques DDoS. Proporciona una mitigación automática en la capa 7 mediante AWS WAF para aplicaciones web y mejores protecciones para las aplicaciones que no son web, como la aplicación de las reglas de la Lista de control de acceso de red (NACL) en la red fronteriza con mayor capacidad de ancho de banda. Con Shield Avanzado, los ataques que no se mitigan automáticamente se pueden enviar al equipo de respuesta de Shield para una mitigación manual.

Para aprovechar todas las capacidades de Shield Avanzado, se recomienda lo siguiente:

1. Después de suscribirse a Shield Avanzado, agregue las protecciones de Shield Avanzado a sus recursos de AWS con acceso a Internet. Las protecciones se deben implementar 72 horas antes de un ataque para garantizar que el tráfico de la aplicación se base en puntos de referencia y se apliquen mitigaciones.
2. Para los recursos de CloudFront y ALB, asocie una ACL web de AWS WAF con las prácticas recomendadas descritas en la sección anterior (por ejemplo, limitación de tasas, reputación de IP, etc.). Habilite la protección de la capa 7 para estos recursos. De forma opcional, configure el registro de AWS WAF.
3. Configure el compromiso proactivo para recibir contacto directo del equipo de respuesta de AWS Shield (SRT). El compromiso proactivo puede habilitarse antes de crear comprobaciones de estado de Amazon Route 53. Las comprobaciones de estado asociadas a la aplicación mejoran la sensibilidad de detección de Shield Avanzado. Por ejemplo, cuando las comprobaciones de estado detectan un aumento de errores 5xx que devuelve la aplicación, Shield Avanzado reduce los umbrales de detección. Vea este breve video para obtener información sobre cómo configurar las comprobaciones de estado.
   
4. Configure las alarmas de CloudWatch para Shield y WAF para recibir notificaciones cuando sufra un ataque.

Para auditar la configuración de Shield Advanced, ejecute el runbook DDoSResiliencyAssessment en AWS Systems Manager. Recopila, analiza y evalúa los siguientes recursos: Amazon Route 53, equilibradores de carga de Amazon, distribuciones de Amazon CloudFront, AWS Global Accelerator y AWS Elastic IP para sus ajustes de configuración de acuerdo con las prácticas recomendadas para AWS Shield Advanced Protection.

Las pruebas de simulación de DDoS se permiten en AWS y están sujetas a los términos y condiciones detallados en esta página. AWS ofrece dos opciones para ejecutar pruebas de simulación de DDoS: un ataque DDoS simulado en el tráfico de producción con un socio de AWS autorizado y previamente aprobado, como NCC Group plc, RedWolf y Red Button, o un ataque DDoS simulado sintético con el equipo de respuesta de Shield, también denominado firedrill.

• Encuentre socios de entrega de AWS WAF
• Documento técnico: AWS Best Practices for DDoS Resiliency
• Blog: Understanding DDoS simulation testing in AWS
• Blog: The three most important AWS WAF rate-based rules
• Blog: Discover the benefits of AWS WAF advanced rate-based rules