AWS Shield
La nube de AWS

AWS Shield es un servicio de protección contra ataques de denegación de servicio distribuidos (DDoS) que protege las aplicaciones ejecutadas en AWS. AWS Shield proporciona una mitigación en línea automática y detección siempre activa que minimizan el tiempo de inactividad y la latencia de la aplicación, por lo que no es necesario disponer de AWS Support para beneficiarse de la protección DDoS. Existen dos capas de AWS Shield, Standard y Advanced.

Todos los clientes de AWS se benefician de la protección automática de AWS Shield Standard sin cargo adicional. AWS Shield Standard ofrece protección ante los ataques DDoS más comunes, que normalmente ocurren en la capa de red y transporte, y que están dirigidos a su aplicación o sitio web. Cuando usa AWS Shield Standard con Amazon CloudFront y Amazon Route 53, recibe protección de disponibilidad integral contra todos los ataques a infraestructura (capa 3 y 4) conocidos.

Si desea un nivel de protección superior contra ataques dirigidos a sus aplicaciones ejecutadas en recursos de Amazon Elastic Compute Cloud (EC2),Elastic Load Balancing (ELB), Amazon CloudFront y Amazon Route 53, puede suscribirse a AWS Shield Advanced. Además de las protecciones de la capa de red y transporte que incluye la versión Standard, AWS Shield Advanced proporciona detección y mitigación adicional contra ataques DDoS sofisticados y a gran escala, visibilidad de los ataques casi en tiempo real e integración con AWS WAF, un firewall para aplicaciones web. AWS Shield Advanced también ofrece acceso las 24 horas al equipo de respuesta contra DDoS (DRT) de AWS y protección contra picos relacionados con ataques DDoS en el costo de Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront y Amazon Route 53.

AWS Shield Advanced está disponible a nivel mundial en todas las ubicaciones de borde de Amazon CloudFront y Amazon Route 53. Puede proteger sus aplicaciones web hospedadas en cualquier lugar del mundo mediante la implementación de Amazon CloudFront por delante de su aplicación. Sus servidores de origen pueden ser Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) o un servidor personalizado externo a AWS. También puede activar AWS Shield Advanced directamente en una IP elástica o en Elastic Load Balancing (ELB) en las siguientes regiones de AWS: Norte de Virginia, Oregón, Irlanda, Tokio y Norte de California.

100x100_benefit_ingergration

Con AWS Shield Standard, sus recursos de AWS están automáticamente protegidos de los ataques DDoS más comunes, que suelen ocurrir en la capa de red y transporte. Si desea obtener un nivel superior de defensa, basta con habilitar la protección AWS Shield Advanced para los recursos de IP elástica, Elastic Load Balancing (ELB), Amazon CloudFront o Amazon Route 53 que desee proteger con la consola de administración o las API.

100x100_benefit_customize

Con AWS Shield Advanced, dispone de flexibilidad para escribir reglas personalizadas a fin de mitigar ataques sofisticados en la capa de la aplicación. Estas reglas personalizables se pueden implementar al instante, lo que le permite mitigar los ataques con rapidez. Puede configurar reglas de manera proactiva para bloquear automáticamente el tráfico sospechoso o responder a incidentes cuando ocurran. También tiene acceso las 24 horas al equipo de respuesta de DDoS (DRT) de AWS, que puede escribir reglas para ayudarlo a mitigar los ataques DDoS en la capa de la aplicación.

100x100_benefit_lowcost-affordable

Como cliente de AWS, obtiene automáticamente protección en la capa de red contra los ataques DDoS más comunes gracias a AWS Shield Standard. Esta protección no conlleva costos adicionales ni requiere recursos o tiempo adicionales para iniciarla. Con AWS Shield Advanced, se beneficia de la "protección de los costos de DDoS", una característica que protege su factura de AWS de incrementos en el uso de Elastic Load Balancing (ELB), Amazon CloudFront y Amazon Route 53 como resultado de un ataque DDoS.

Detección rápida

AWS Shield Standard proporciona una monitorización del flujo de red de funcionamiento continuo que inspecciona el tráfico de entrada a AWS y utiliza una combinación de firmas del tráfico, algoritmos de anomalías y otras técnicas de análisis para detectar el tráfico malicioso en tiempo real

Mitigación de ataques en línea

AWS Shield Standard integra técnicas de mitigación automatizadas, lo que le aporta protección contra los ataques más comunes que suelen ocurrir en la infraestructura. Las mitigaciones automáticas se implementan en línea en las aplicaciones para no afectar la latencia. AWS Shield Standard utiliza varias técnicas, como el filtrado de paquetes deterministas y la configuración del tráfico basada en prioridades, para mitigar ataques automáticamente sin afectar a sus aplicaciones. También puede mitigar los ataques DDoS en la capa de la aplicación escribiendo reglas con AWS WAF. Con AWS WAF solo paga lo que utiliza.

La detección y la mitigación en línea de funcionamiento continuo minimizan el tiempo de inactividad de la aplicación, por lo que no es necesario entrar en contacto con AWS Support para beneficiarse de la protección contra DDoS


Detección mejorada

Con AWS Shield Advanced, dispondrá de acceso las 24 horas al equipo de respuesta contra DDoS (DRT) de AWS, con el que puede contactarse antes, durante o después de un ataque DDoS. El DRT le ayudará a evaluar los incidentes, identificar las causas raíz y aplicar mitigaciones por usted. También puede contactar con el DRT para el análisis posterior al ataque.

Mitigación avanzada de ataques

AWS Shield Advanced suministra mitigaciones automáticas de mayor sofisticación. Mediante técnicas avanzadas de enrutamiento, AWS Shield Advanced proporciona automáticamente capacidad de mitigación adicional para protegerlo de ataques DDoS de mayor escala. El equipo de respuesta de DDoS (DRT) de AWS también aplica mitigaciones manuales para ataques DDoS más complejos y sofisticados. En el caso de los ataques en la capa de la aplicación, puede usar AWS WAF para responder a incidentes. Con AWS WAF, puede configurar reglas proactivas, como la lista negra basada en tasas, para bloquear automáticamente el tráfico sospechoso o responder inmediatamente a incidentes cuando sucedan. El uso de AWS WAF en la capa de la aplicación no conlleva cargos adicionales. También puede contactar al DRT directamente para que implemente reglas de AWS WAF por usted, en respuesta a un ataque de DDoS en una capa de la aplicación. El DRT diagnosticará el ataque y, con su permiso, aplicará mitigaciones por usted.

Visibilidad y notificación del ataque

AWS Shield Advanced le ofrece una visibilidad completa de los ataques DDoS con notificación casi en tiempo real mediante Amazon CloudWatch y un diagnóstico detallado en la consola de administración de "AWS WAF y AWS Shield". En colaboración con el equipo de respuesta de DDoS (DRT), puede acceder al análisis e investigación posterior al evento. También puede ver un resumen de ataques anteriores desde la consola de administración de “AWS WAF y AWS Shield”.

Soporte especializado

AWS Shield Advanced proporciona detección mejorada mediante la inspección de los flujos de red y la monitorización del tráfico en la capa de la aplicación dirigido a sus recursos de dirección IP elástica, Elastic Load Balancing (ELB), Amazon CloudFront o Amazon Route 53. Mediante técnicas adicionales, como la monitorización específica a recursos, AWS Shield Advanced proporciona una detección minuciosa de los ataques DDoS. AWS Shield Advanced detecta ataques DDoS en la capa de la aplicación, como congestiones HTTP o de consultas DNS al crear una referencia del tráfico de su recurso e identificar las anomalías.

Protección de costos en ataques DDoS

AWS Shield Advanced incorpora la "protección de los costos de DDoS", una característica que evita el escalado de los cargos como resultado de un ataque DDoS que puede provocar incrementos de uso en Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront o Amazon Route 53. Si cualquiera de estos servicios se escala como respuesta a un ataque DDoS, AWS proporcionará créditos de servicio de AWS Shield equivalentes a los cargos provocados por los incrementos de uso. Para obtener más información sobre cómo solicitar créditos de servicio, consulte la documentación avanzada de AWS Shield y AWS WAF.

DNS

Uso de Amazon Route 53

AWS Shield Standard protege automáticamente sus zonas hospedadas de Amazon Route 53 de ataques DDoS en la capa de infraestructura sin costo adicional. Se incluyen los ataques como los de reflexión o inundaciones SYN que atacan con frecuencia su DNS. AWS Shield Standard utiliza de manera automática varias técnicas, como validaciones de encabezados y tráfico basado en prioridades, para mitigar automáticamente dichos ataques DDoS.

Además, AWS Shield Advanced ofrece protección adicional para casos extremos cuando se requiere la intervención manual mediante el acceso las 24 horas al equipo de respuesta de DDoS de AWS. AWS Shield Advanced también ofrece visibilidad de los ataques perpetrados en la infraestructura de Route 53.

Obtenga más información en Cómo reducir los riesgos de ataques DDoS mediante el uso de Amazon Route 53 and AWS Shield.


API y aplicaciones web
Uso de Amazon CloudFront o Application Load Balancer

Cuando se utiliza Amazon CloudFront, AWS Shield Standard suministra automáticamente protección integral contra ataques de capa de infraestructura, como ataques SYN flood, UDP flood u otros ataques de reflexión. Los sistemas de mitigación y detección con funcionamiento constante de AWS Shield Standard eliminan automáticamente el tráfico malintencionado en las capas 3 y 4 para proteger su aplicación. Más del 99% de los ataques dirigidos a la capa de infraestructura que detecta AWS Shield Standard se mitigan automáticamente en menos de 1 segundo en los casos de ataques en Amazon CloudFront.

Aprenda a usar Amazon CloudFront para proteger sus aplicaciones dinámicas de los ataques DDoS.

Conozca de qué manera Slack usa Amazon CloudFront para protegerse de los ataques DDoS.

Ponente:
Alex Graham, ingeniero de operaciones sénior, Slack Technologies, Inc.

Alex Graham, Sr. Operations Manager, Slack

Si desea obtener un mayor nivel de protección contra ataques DDoS de mayor envergadura y sofisticación, también puede recurrir a AWS Shield Advanced en Amazon CloudFront. Con Shield Advanced, los clientes reciben acceso ininterrumpido al equipo de respuesta para DDoS (DRT) de AWS, que implementa de manera proactiva las mitigaciones necesarias para cualquier ataque sofisticado dirigido a las capas de infraestructura (3 o 4) mediante el uso de técnicas adicionales, como la ingeniería de tráfico. Además, AWS Shield Advanced también lo protege contra ataques en la capa de aplicaciones, como los ataques tipo "flood" HTTP. Los sistemas de detección integrados con funcionamiento ininterrumpido de AWS Shield Advanced ayudan a estabilizar el tráfico de aplicaciones de estado de referencia de los clientes y controlan cualquier anomalía. AWS Shield Advanced incluye AWS WAF sin costo adicional, lo que le permite personalizar cualquier mitigación en la capa de aplicaciones.


Otras aplicaciones (como las aplicaciones basadas en UDP)
Uso de dirección IP elástica

Para otras aplicaciones personalizadas, que no se basan en TCP (como UDP, SIP, etc.), no puede usar servicios como Amazon CloudFront o Elastic Load Balancing. En dichos casos, a menudo deberá ejecutar sus aplicaciones directamente en instancias de Amazon EC2 con conexión a Internet. AWS Shield Standard también protege su instancia de Amazon EC2 de ataques DDoS comunes dirigidos a la capa de infraestructura (3 y 4), como ataques de reflexión UDP, como reflexión DNS, reflexión NTP, reflexión SSDP, etc. AWS Shield Standard implementa varias técnicas, como la prioridad basada en la definición de tráfico, que se activan automáticamente cuando se detecta la marca bien definida de un ataque DDoS.

También puede obtener una protección avanzada contra ataques de DDoS de gran tamaño y sofisticados para estas aplicaciones mediante la activación de AWS Shield Advanced en la dirección IP elástica. La detección de DDoS optimizada de AWS Shield Advanced detecta automáticamente el tipo de recurso de AWS y el tamaño de la instancia EC2 y, a continuación, implementa las mitigaciones predefinidas correspondientes. Con AWS Shield Advanced, los clientes también pueden crear sus propios perfiles de mitigación personalizados. Para ello, deben entrar en contacto con el equipo de respuesta para DDoS (DRT) de AWS disponible las 24 horas. AWS Shield Advanced también garantiza que, durante un ataque DDoS, todas las listas de control de acceso (ACL) a redes de Amazon VPC se refuercen automáticamente en el límite de la red de AWS, lo que le concede acceso a ancho de banda y capacidad de limpieza adicionales para mitigar ataques DDoS volumétricos de gran tamaño. Con AWS Shield Advanced, puede obtener un nivel de protección adicional contra ataques DDoS, como los ataques SYN flood, u otros vectores, como ataques UDP flood.

Obtenga más información sobre cómo adjuntar una IP elástica a una instancia de Amazon EC2

Sus aplicaciones web ejecutadas en AWS ya cuentan con la protección de AWS Shield Standard. Para activar AWS Shield Advanced, vaya a la consola de administración de “AWS WAF y AWS Shield” y seleccione los recursos para los que desea habilitar la protección avanzada.

Comience con AWS Shield