AWS Shield
La nube de AWS

AWS Shield es un servicio de protección contra ataques de denegación de servicio distribuidos (DDoS) que protege las aplicaciones web ejecutadas en AWS. AWS Shield proporciona una mitigación en línea automática y detección siempre activa que minimizan el tiempo de inactividad y la latencia de la aplicación, por lo que no es necesario disponer de AWS Support para beneficiarse de la protección DDoS. Existen dos capas de AWS Shield, Standard y Advanced.

Todos los clientes de AWS se benefician de la protección automática de AWS Shield Standard sin cargo adicional. AWS Shield Standard ofrece protección ante los ataques DDoS más comunes, que normalmente ocurren en la capa de red y transporte, y que están dirigidos a su aplicación o sitio web. Cuando usa AWS Shield Standard con Amazon CloudFront y Amazon Route 53, recibe protección de disponibilidad integral contra todos los ataques a infraestructura (capa 3 y 4) conocidos.

Si desea un nivel de protección superior contra ataques dirigidos a sus aplicaciones web ejecutadas en recursos de Amazon Elastic Compute Cloud (EC2),Elastic Load Balancing (ELB), Amazon CloudFront y Amazon Route 53, puede suscribirse a AWS Shield Advanced. Además de las protecciones de la capa de red y transporte que incluye la versión Standard, AWS Shield Advanced proporciona detección y mitigación adicional contra ataques DDoS sofisticados y a gran escala, visibilidad de los ataques casi en tiempo real e integración con AWS WAF, un firewall para aplicaciones web. AWS Shield Advanced también le proporciona acceso al equipo de respuesta de DDoS de AWS (DRT) y protección contra incrementos en los cargos de EC2, ELB, CloudFront o Route 53 relacionados con ataques DDoS.

AWS Shield Advanced está disponible a nivel mundial en todas las ubicaciones de borde de Amazon CloudFront y Amazon Route 53. Puede proteger sus aplicaciones web hospedadas en cualquier lugar del mundo mediante la implementación de Amazon CloudFront por delante de su aplicación. Sus servidores de origen pueden ser Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) o un servidor personalizado externo a AWS. También puede activar AWS Shield Advanced directamente en una IP elástica o en Elastic Load Balancing (ELB) en las siguientes regiones de AWS: Norte de Virginia, Oregón, Irlanda, Tokio y Norte de California.


100x100_benefit_ingergration

Con AWS Shield Standard, sus recursos de AWS están automáticamente protegidos de los ataques DDoS más comunes, que suelen ocurrir en la capa de red y transporte. Si desea obtener un nivel superior de defensa, basta con habilitar la protección AWS Shield Advanced para los recursos de IP elástica, Elastic Load Balancing (ELB), Amazon CloudFront o Amazon Route 53 que desee proteger con la consola de administración o las API.

100x100_benefit_customize

Con AWS Shield Advanced, dispone de flexibilidad para escribir reglas personalizadas a fin de mitigar ataques sofisticados en la capa de la aplicación. Estas reglas personalizables se pueden implementar al instante, lo que le permite mitigar los ataques con rapidez. Puede configurar reglas proactivas para bloquear automáticamente el tráfico sospechoso, o responder a incidentes cuando ocurran. También puede contactar con el equipo de respuesta de DDoS d AWS DDoS (DRT), que está disponible las 24 horas del día, los 7 días de la semana, y que puede escribir reglas para ayudarle a mitigar los ataques DDoS en la capa de la aplicación.

100x100_benefit_lowcost-affordable

Como cliente de AWS, obtiene automáticamente protección en la capa de red contra algunos de los ataques DDoS más comunes gracias a AWS Shield Standard. Esta protección no conlleva costos adicionales ni requiere recursos o tiempo adicionales para iniciarla. Con AWS Shield Advanced, se beneficia de la "protección de los costos de DDoS", una característica que protege su factura de AWS de incrementos en el uso de Elastic Load Balancing (ELB), Amazon CloudFront y Amazon Route 53 como resultado de un ataque DDoS.

Detección rápida

AWS Shield Standard proporciona monitorización del flujo de red siempre activa que inspecciona el tráfico de entrada a AWS y utiliza una combinación de firmas del tráfico, algoritmos de anomalías y otras técnicas de análisis para detectar el tráfico malicioso en tiempo real.

Mitigación de ataques en línea  

AWS Shield Standard integra técnicas de mitigación automatizadas, lo que le aporta protección contra los ataques más comunes que suelen ocurrir en la infraestructura. Las mitigaciones automáticas se implementan en línea en las aplicaciones para no afectar la latencia. La detección siempre activa y la mitigación en línea minimizan el tiempo de inactividad de la aplicación, por lo que no es necesario entrar en contacto con AWS Support para beneficiarse de la protección contra DDoS. AWS Shield Standard utiliza varias técnicas, como el filtrado de paquetes deterministas y la configuración del tráfico basada en prioridades, para mitigar ataques automáticamente sin afectar a sus aplicaciones. También puede mitigar los ataques DDoS en la capa de la aplicación escribiendo reglas con AWS WAF. Con AWS WAF solo paga lo que utiliza.


Detección mejorada

AWS Shield Advanced proporciona detección mejorada mediante la inspección de los flujos de red y la monitorización del tráfico en la capa de la aplicación dirigido a sus recursos de dirección IP elástica, Elastic Load Balancing (ELB), Amazon CloudFront o Amazon Route 53. Mediante técnicas adicionales, como la monitorización específica a recursos, AWS Shield Advanced proporciona una detección minuciosa de los ataques DDoS. AWS Shield Advanced detecta ataques DDoS en la capa de la aplicación, como congestiones HTTP o de consultas DNS al crear una referencia del tráfico de su recurso e identificar las anomalías.

Mitigación de ataques avanzados

Además de los beneficios de AWS Shield Standard, AWS Shield Advanced le proporciona mitigaciones automáticas más sofisticadas. El equipo de respuesta de DDoS de AWS (DRT) también aplica mitigaciones manuales para ataques DDoS más complejos y sofisticados. Mediante técnicas avanzadas de enrutamiento, AWS Shield Advanced proporciona automáticamente capacidad de mitigación adicional para protegerlo de ataques DDoS de mayor escala. En el caso de los ataques en la capa de la aplicación, puede usar AWS WAF para responder a incidentes. Con AWS WAF, puede configurar reglas proactivas, como la lista negra basada en tasas, para bloquear automáticamente el tráfico sospechoso o responder inmediatamente a incidentes cuando sucedan. El uso de AWS WAF en la capa de la aplicación no conlleva cargos adicionales. También puede contactar al DRT directamente para que implemente reglas de AWS WAF por usted, en respuesta a un ataque de DDoS en una capa de la aplicación. El DRT diagnosticará el ataque y, con su permiso, aplicará mitigaciones por usted.

Visibilidad y notificación del ataque

AWS Shield Advanced le ofrece visibilidad completa de los ataques DDoS con notificaciones casi en tiempo real mediante Amazon CloudWatch. En colaboración con el equipo de respuesta contra DDoS (DRT) de AWS, puede acceder al análisis y la investigación posteriores al evento. También puede ver un resumen de ataques anteriores desde la consola de administración de “AWS WAF y AWS Shield”.

Soporte especializado

Con AWS Shield Advanced, dispondrá de acceso al equipo de respuesta contra DDoS (DRT) de AWS, que se encuentra disponible las 24 horas del día, los 7 días de la semana, y con el que puede contactarse antes, durante o después de un ataque DDoS. El DRT le ayudará a evaluar los incidentes, identificar las causas raíz y aplicar mitigaciones por usted. También puede contactar con el DRT para el análisis posterior al ataque.

Protección del costo de DDoS

AWS Shield Advanced incorpora la "protección de los costos de DDoS", una característica que evita el escalado de los cargos como resultado de un ataque DDoS que puede provocar incrementos de uso en Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront o Amazon Route 53. Si cualquiera de estos servicios se escala como respuesta a un ataque DDoS, AWS proporcionará créditos de servicio equivalentes a los cargos provocados por los incrementos de uso. Para obtener más información sobre cómo solicitar créditos de servicio, consulte la documentación avanzada de AWS Shield y AWS WAF.

Sus aplicaciones web ejecutadas en AWS ya cuentan con la protección de AWS Shield Standard. Para activar AWS Shield Advanced, vaya a la consola de administración de “AWS WAF y AWS Shield” y seleccione los recursos para los que desea habilitar la protección avanzada.

Comience con AWS Shield