AWS Shield

Protección administrada contra DDoS

AWS Shield es un servicio de protección contra ataques de denegación de servicio distribuidos (DDoS) que protege las aplicaciones ejecutadas en AWS. AWS Shield proporciona una mitigación en línea automática y una detección siempre activa que minimizan el tiempo de inactividad y la latencia de la aplicación, por lo que no es necesario disponer de AWS Support para beneficiarse de la protección contra DDoS. Existen dos capas de AWS Shield, Standard y Advanced.

Todos los clientes de AWS se benefician de la protección automática de AWS Shield Standard sin cargo adicional. AWS Shield Standard ofrece protección ante los ataques DDoS más comunes, que normalmente ocurren en la capa de red y transporte, y que están dirigidos a su aplicación o sitio web. Si utiliza AWS Shield Standard con Amazon CloudFront y Amazon Route 53, recibirá protección de disponibilidad integral contra todos los ataques conocidos a la infraestructura (capa 3 y 4).

Si desea un nivel de protección superior contra ataques dirigidos a sus aplicaciones que se ejecutan en recursos de Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront y Amazon Route 53, puede suscribirse a AWS Shield Advanced. Además de las protecciones comunes de la capa transporte y red que Standard incluye, AWS Shield Advanced proporciona detección y mitigación adicionales contra ataques DDoS sofisticados y a gran escala, visibilidad de los ataques casi en tiempo real e integración con AWS WAF, un firewall para aplicaciones web. AWS Shield Advanced también ofrece acceso ininterrumpido al equipo de respuesta ante DDoS (DRT) de AWS y protección contra picos relacionados con DDoS en el costo de Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront y Amazon Route 53.

AWS Shield Advanced está disponible a nivel mundial en todas las ubicaciones de borde de Amazon CloudFront y Amazon Route 53. Puede proteger sus aplicaciones web hospedadas en cualquier lugar del mundo mediante la implementación de Amazon CloudFront por delante de su aplicación. Sus servidores de origen pueden ser Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) o un servidor personalizado externo a AWS. También puede activar AWS Shield Advanced directamente en una IP elástica o en Elastic Load Balancing (ELB) en las siguientes regiones de AWS: Norte de Virginia, Oregón, Irlanda, Tokio y Norte de California.

Beneficios

Integración e implementación sin complicaciones

Con AWS Shield Standard, sus recursos de AWS están automáticamente protegidos de los ataques DDoS más comunes, que suelen ocurrir en la capa de red y transporte. Si desea obtener un nivel superior de defensa, basta con habilitar la protección AWS Shield Advanced para los recursos de IP elástica, Elastic Load Balancing (ELB), Amazon CloudFront o Amazon Route 53 que desee proteger con la consola de administración o las API.

Protección personalizable

Con AWS Shield Advanced, dispone de flexibilidad para escribir reglas personalizadas a fin de mitigar ataques sofisticados en la capa de la aplicación. Estas reglas personalizables se pueden implementar al instante, lo que le permite mitigar los ataques con rapidez. Puede configurar reglas de manera proactiva para bloquear automáticamente el tráfico sospechoso o responder a incidentes cuando ocurran. También tiene acceso las 24 horas al equipo de respuesta de DDoS (DRT) de AWS, que puede escribir reglas para ayudarlo a mitigar los ataques DDoS en la capa de la aplicación.

Rentable

Como cliente de AWS, obtiene automáticamente protección en la capa de red contra los ataques DDoS más comunes gracias a AWS Shield Standard. Esta protección no conlleva costos adicionales ni requiere recursos o tiempo adicionales para iniciarla. Con AWS Shield Advanced, se beneficia de la “protección de los costos de DDoS”, una característica que protege su factura de AWS de incrementos en el uso de EC2, Elastic Load Balancing (ELB), Amazon CloudFront y Amazon Route 53 como resultado de un ataque DDoS.

Casos de uso de protección

API y aplicaciones web

Cuando se utiliza Amazon CloudFront, AWS Shield Standard suministra automáticamente protección integral contra ataques de la capa de infraestructura, como ataques de inundaciones SYN o UDP u otros ataques de reflexión. Los sistemas de mitigación y detección con funcionamiento constante de AWS Shield Standard eliminan automáticamente el tráfico malintencionado en las capas 3 y 4 para proteger su aplicación. Más del 99% de los ataques dirigidos a la capa de infraestructura que AWS Shield Standard detecta se mitigan automáticamente en menos de 1 segundo en los casos de ataques en Amazon CloudFront.

Aprenda a usar Amazon CloudFront para proteger sus aplicaciones dinámicas de los ataques DDoS.

Conozca de qué manera Slack usa Amazon CloudFront para protegerse de los ataques DDoS.

Si desea obtener un mayor nivel de protección contra ataques DDoS de mayor envergadura y sofisticación, también puede recurrir a AWS Shield Advanced en Amazon CloudFront. Con Shield Advanced, los clientes reciben acceso ininterrumpido al equipo de respuesta para DDoS (DRT) de AWS, que implementa de manera proactiva las mitigaciones necesarias para cualquier ataque sofisticado dirigido a las capas de infraestructura (3 o 4) mediante el uso de técnicas adicionales, como la ingeniería de tráfico. Además, AWS Shield Advanced también le protege contra ataques en la capa de aplicaciones, como los ataques tipo "flood" HTTP. Los sistemas de detección integrados con funcionamiento ininterrumpido de AWS Shield Advanced ayudan a estabilizar el tráfico de aplicaciones de estado de referencia de los clientes y controlan cualquier anomalía. AWS Shield Advanced incluye AWS WAF sin costo adicional, lo que le permite personalizar cualquier mitigación en la capa de aplicaciones.

Slack: aceleración segura de las API

Ponente:
Alex Graham, ingeniero de operaciones sénior, Slack Technologies, Inc.

200x100_Slack_Logo

DNS

AWS Shield Standard protege automáticamente sus zonas hospedadas de Amazon Route 53 de ataques DDoS en la capa de infraestructura sin costo adicional. Se incluyen los ataques como los de reflexión o inundaciones SYN que atacan con frecuencia su DNS. AWS Shield Standard utiliza de manera automática varias técnicas, como validaciones de encabezados y tráfico basado en prioridades, para mitigar automáticamente dichos ataques DDoS.

Además, AWS Shield Advanced ofrece protección adicional para casos extremos cuando se requiere la intervención manual mediante el acceso las 24 horas al equipo de respuesta de DDoS de AWS. AWS Shield Advanced también ofrece visibilidad de los ataques perpetrados en la infraestructura de Route 53.

Obtenga más información sobre Cómo reducir los riesgos de DDoS mediante el uso de Amazon Route 53 y AWS Shield.

Otras aplicaciones (como las aplicaciones basadas en UDP)

Para otras aplicaciones personalizadas, que no se basan en TCP (como UDP, SIP, etc.), no puede usar servicios como Amazon CloudFront o Elastic Load Balancing. En dichos casos, a menudo deberá ejecutar sus aplicaciones directamente en instancias de Amazon EC2 con conexión a Internet. AWS Shield Standard también protege su instancia de Amazon EC2 de ataques DDoS comunes dirigidos a la capa de infraestructura (3 y 4), como ataques de reflexión UDP, como reflexión DNS, reflexión NTP, reflexión SSDP, etc. AWS Shield Standard implementa varias técnicas, como la prioridad basada en la definición de tráfico, que se activan automáticamente cuando se detecta la marca bien definida de un ataque DDoS.

También puede obtener una protección avanzada contra ataques de DDoS de gran tamaño y sofisticados para estas aplicaciones mediante la activación de AWS Shield Advanced en la dirección IP elástica. La detección de DDoS optimizada de AWS Shield Advanced detecta automáticamente el tipo de recurso de AWS y el tamaño de la instancia EC2 y, a continuación, implementa las mitigaciones predefinidas correspondientes. Con AWS Shield Advanced, los clientes también pueden crear sus propios perfiles de mitigación personalizados. Para ello, deben entrar en contacto con el equipo de respuesta para DDoS (DRT) de AWS disponible las 24 horas. AWS Shield Advanced también garantiza que, durante un ataque DDoS, todas las listas de control de acceso (ACL) a redes de Amazon VPC se refuercen automáticamente en el límite de la red de AWS, lo que le concede acceso a ancho de banda y capacidad de limpieza adicionales para mitigar ataques DDoS volumétricos de gran tamaño. Con AWS Shield Advanced, puede obtener un nivel de protección adicional contra ataques DDoS como los ataques de inundaciones SYN u otros vectores como los ataques de inundaciones UDP.

Obtenga más información sobre cómo asociar una dirección IP elástica a una instancia de Amazon EC2.

Introducción a AWS

icon1

Regístrese para obtener una cuenta de AWS

Obtenga acceso automáticamente a la capa gratuita de AWS.
icon2

Aprenda con tutoriales de 10 minutos

Explore y aprenda con tutoriales sencillos.
icon3

Comience a crear con AWS

Comience a crear soluciones con las guías paso a paso, que lo ayudarán a lanzar un proyecto en AWS.

Más información sobre AWS Shield

Visite la página de características
¿Todo listo para crear?
Introducción a AWS Shield
¿Tiene más preguntas?
Contacte con nosotros