¿Cómo puedo defenderme de los ataques DDoS con Shield Estándar?

Última actualización: 17-08-2022

Quiero proteger mi aplicación de los ataques de denegación de servicio distribuido (DDoS) con AWS Shield Estándar. ¿Cómo puedo hacerlo?

Descripción corta

AWS Shield Estándar es un servicio administrado de protección contra amenazas que protege el perímetro de su aplicación. Shield Estándar ofrece protección automática contra amenazas sin cargo adicional. Puede utilizar Shield Estándar para proteger su aplicación en la periferia de la red de AWS mediante Amazon CloudFront, AWS Global Accelerator y Amazon Route 53. Estos servicios de AWS reciben protección contra todos los ataques conocidos a la red y a la capa de transporte. Para defenderse de los ataques DDoS de capa 7, puede utilizar AWS WAF.

Para proteger su aplicación de los ataques DDoS con Shield Estándar, se recomienda seguir estas pautas para la arquitectura de su aplicación:

  • reducir la superficie del área de ataque
  • prepararse para escalar y absorber el ataque
  • proteger los recursos expuestos
  • supervisar el comportamiento
  • crear un plan para los ataques

Resolución

Reducir la superficie del área de ataque

Para obtener más información, consulte Reducción de la superficie expuesta a ataques.

Prepárese para escalar y absorber el ataque DDoS

Para obtener más información, consulte Mitigation techniques.

Proteger los recursos expuestos

  • Configure AWS WAF con una regla basada en tasas en el modo de bloqueo para defenderse de los ataques de inundación de solicitudes.
    Nota: Necesitará tener configurados CloudFront, Amazon API Gateway, un equilibrador de carga de aplicación o AWS AppSync para utilizar AWS WAF.
  • Utilice las restricciones geográficas de CloudFront para evitar que los usuarios originarios de países que no desea accedan a su contenido.
  • Utilice los límites de ráfagas para cada método con las API de REST de Amazon API Gateway a fin de evitar que el punto de conexión de la API se vea abrumado por las solicitudes.
  • Utilice la identidad de acceso de origen (OAI) con sus buckets de Amazon Simple Storage Service (Amazon S3).
  • Configure la clave de API como el encabezado X-API-Key de cada solicitud entrante para proteger su Amazon API Gateway contra el acceso directo.

Supervisar el comportamiento

Para obtener más información, consulte Monitoreo de Auto Scaling de aplicaciones AWS.

Cree un plan para los ataques DDoS

  • Desarrolle un runbook por adelantado para que pueda responder a los ataques DDoS de manera eficiente y oportuna. Para obtener recomendaciones sobre cómo crear un runbook, consulte la Guía de respuesta ante incidentes de seguridad de AWS. También puede revisar este runbook de ejemplo.
  • Utilice el script aws-lambda-shield-engagement para registrar rápidamente un ticket en AWS Support durante un ataque DDoS impactante.
  • Shield Estándar ofrece protección contra los ataques DDoS basados en la infraestructura que se producen en las capas 3 y 4 del modelo OSI. Para defenderse de los ataques DDoS de capa 7, puede utilizar AWS WAF.

Para obtener más información sobre cómo proteger su aplicación de los ataques DDoS, consulte las prácticas recomendadas de AWS para la resiliencia de DDoS.