AWS Shield
La nube de AWS

AWS Shield es un servicio de protección contra ataques de denegación de servicio distribuidos (DDoS) que protege las aplicaciones web ejecutadas en AWS. AWS Shield proporciona una mitigación en línea automática y detección siempre activa que minimizan el tiempo de inactividad y la latencia de la aplicación, por lo que no es necesario disponer de AWS Support para beneficiarse de la protección DDoS. Existen dos capas de AWS Shield, Standard y Advanced.

Todos los clientes de AWS se benefician de la protección automática de AWS Shield Standard sin cargo adicional. AWS Shield Standard ofrece protección ante los ataques DDoS más comunes, que normalmente ocurren en la capa de red y transporte, y que están dirigidos a su aplicación o sitio web.

Si desea un nivel de protección superior contra ataques dirigidos a sus aplicaciones web ejecutadas en recursos de Elastic Load Balancing (ELB), Amazon CloudFront y Amazon Route 53, puede suscribirse a AWS Shield Advanced. Además de las protecciones comunes de la capa de red y transporte que incorpora Standard, AWS Shield Advanced proporciona detección y mitigación adicional contra ataques DDoS sofisticados y a gran escala, visibilidad de los ataques casi a tiempo real e integración con AWS WAF, un firewall para aplicaciones web. AWS Shield Advanced también le proporciona acceso al equipo de respuesta de DDoS de AWS (DRT) y protección contra picos en los cargos de ELB, CloudFront o Route 53 relacionados con ataques DDoS.

AWS Shield Advanced está disponible a nivel mundial en todas las ubicaciones de borde de Amazon CloudFront y Amazon Route 53. Puede proteger sus aplicaciones web hospedadas en cualquier lugar del mundo mediante la implementación de Amazon CloudFront por delante de su aplicación. Sus servidores de origen pueden ser Amazon S3, Amazon EC2, Elastic Load Balancing o un servidor personalizado externo a AWS. También puede habilitar AWS Shield Advanced directamente en Elastic Load Balancing en las siguientes regiones de AWS: Norte de Virginia, Oregón, Irlanda y Tokio.


100x100_benefit_ingergration

Con AWS Shield Standard, sus recursos de AWS están automáticamente protegidos de los ataques DDoS más comunes, que suelen ocurrir en la capa de red y transporte. Si desea obtener un nivel superior de defensa, basta con habilitar la protección AWS Shield Advanced para los recursos de Elastic Load Balancing (ELB), Amazon CloudFront o Amazon Route 53 que desee proteger con la consola de administración o las API.

100x100_benefit_customize

Con AWS Shield Advanced, dispone de flexibilidad para escribir reglas personalizadas a fin de mitigar ataques sofisticados en la capa de la aplicación. Estas reglas personalizables se pueden implementar al instante, lo que le permite mitigar los ataques con rapidez. Puede configurar reglas proactivas para bloquear automáticamente el tráfico sospechoso, o responder a incidentes cuando ocurran. También puede contactar con el equipo de respuesta de DDoS d AWS DDoS (DRT), que está disponible las 24 horas del día, los 7 días de la semana, y que puede escribir reglas para ayudarle a mitigar los ataques DDoS en la capa de la aplicación.

100x100_benefit_lowcost-affordable

Como cliente de AWS, obtiene automáticamente protección en la capa de red contra algunos de los ataques DDoS más comunes gracias a AWS Shield Standard. Esta protección no conlleva costos adicionales ni requiere recursos o tiempo adicionales para iniciarla. Con AWS Shield Advanced, se beneficia de la "protección de los costos DDoS", una característica que protege su factura de AWS de Elastic Load Balancing (ELB), Amazon CloudFront y Amazon Route 53 contra picos de uso como resultado de un ataque DDoS.

Detección rápida

AWS Shield Standard proporciona monitorización del flujo de red siempre activa que inspecciona el tráfico de entrada a AWS y utiliza una combinación de firmas del tráfico, algoritmos de anomalías y otras técnicas de análisis para detectar el tráfico malicioso en tiempo real.

Mitigación de ataques en línea  

AWS Shield Standard integra técnicas de mitigación automatizadas, lo que le aporta protección contra los ataques más comunes, que suelen ocurrir en la infraestructura (capa 3 y 4). Las mitigaciones se aplican en línea en las aplicaciones, de modo que la latencia no sufre. La detección siempre activa y la mitigación en línea minimizan el tiempo de inactividad de la aplicación, por lo que no es necesario disponer de AWS Support para beneficiarse de la protección DDoS. AWS Shield Standard utiliza varias técnicas, como el filtrado de paquetes deterministas y la configuración del tráfico basada en prioridades, para mitigar ataques automáticamente sin afectar a sus aplicaciones. También puede mitigar los ataques DDoS en la capa de la aplicación escribiendo reglas con AWS WAF. Con AWS WAF solo paga lo que utiliza.


Detección mejorada

AWS Shield Advanced proporciona detección mejorada, inspeccionando los flujos de red y monitorizando el tráfico en la capa de la aplicación dirigido a sus recursos de Elastic Load Balancing (ELB), Amazon CloudFront o Amazon Route 53. Mediante técnicas adicionales, como la monitorización específica a recursos, AWS Shield Advanced proporciona una detección minuciosa de los ataques DDoS. AWS Shield Advanced detecta ataques DDoS en la capa de la aplicación, como congestiones HTTP o de consultas DNS al crear una referencia del tráfico de su recurso e identificar las anomalías.

Mitigación de ataques avanzados

Además de los beneficios de AWS Shield Standard, AWS Shield Advanced le proporciona mitigaciones automáticas más sofisticadas. El equipo de respuesta de DDoS de AWS (DRT) también aplica mitigaciones manuales para ataques DDoS más complejos y sofisticados. Mediante técnicas avanzadas de enrutamiento, AWS Shield Advanced proporciona automáticamente capacidad de mitigación adicional para proteger contra ataques DDoS a gran escala. En el caso de los ataques en la capa de la aplicación, puede usar AWS WAF para responder a incidentes. Con AWS WAF, puede configurar reglas proactivas, como la lista negra basada en tasas, para bloquear automáticamente el tráfico sospechoso o responder inmediatamente a incidentes cuando sucedan. El uso de AWS WAF en la capa de la aplicación no conlleva cargos adicionales. También puede contactar con el DRT cuando se produzca un incidente o disponga de autorización previa. El DRT diagnosticará el ataque y, con su permiso, aplicará mitigaciones por usted.

Visibilidad y notificación del ataque

AWS Shield Advanced le ofrece visibilidad completa de los ataques DDoS con notificaciones casi en tiempo real mediante Amazon CloudWatch. En colaboración con el equipo de respuesta de DDoS (DRT), puede acceder al análisis e investigación posterior al evento. También puede ver un resumen de ataques anteriores desde la consola de administración de “AWS WAF y AWS Shield”.

Soporte especializado

Con AWS Shield Advanced, dispondrá de acceso al equipo de respuesta de DDoS (DRT), que se encuentra disponible las 24 horas del día, los 7 días de la semana, y con el que puede contactar antes, durante o después de un ataque DDoS. El DRT le ayudará a evaluar los incidentes, identificar las causas raíz y aplicar mitigaciones por usted. También puede contactar con el DRT para el análisis posterior al ataque.

Protección del costo de DDoS

AWS Shield Advanced incorpora la "protección de los costos DDoS", una característica que evita el escalado de los cargos como resultado de un ataque DDoS que puede provocar picos de uso en Elastic Load Balancing (ELB), Amazon CloudFront y Amazon Route 53. Si cualquiera de estos eventos se escalan como respuesta a un ataque DDoS, AWS proporcionará créditos de servicio equivalentes a los cargos debidos a los picos de uso. Para obtener más información sobre cómo solicitar créditos de servicio, consulte la documentación avanzada de AWS Shield y AWS WAF.

Sus aplicaciones web ejecutadas en AWS ya cuentan con la protección de AWS Shield Standard. Para activar AWS Shield Advanced, vaya a la consola de administración de “AWS WAF y AWS Shield” y seleccione los recursos para los que desea habilitar la protección avanzada.

Comience con AWS Shield