Preguntas frecuentes sobre AWS Shield

 P: ¿Qué es AWS Shield?

AWS Shield es un servicio administrado que protege a aplicaciones web que se ejecutan en AWS contra ataques de denegación distribuida de servicio (DDoS). AWS Shield Standard se habilita automáticamente para todos los clientes de AWS sin costo adicional. AWS Shield Advanced es un servicio de pago opcional. AWS Shield Advanced ofrece protecciones adicionales ante los ataques más grandes y sofisticados para las aplicaciones que se ejecutan en Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Route 53.

P: ¿Qué es AWS Shield Standard?

AWS Shield Standard proporciona protección para todos los clientes de AWS ante ataques comunes que normalmente ocurren en la infraestructura (capas 3 y 4) como ataques flood SYN/UDP, ataques de reflexión y de otros tipos, para respaldar la alta disponibilidad de las aplicaciones en AWS.

P: ¿Qué es AWS Shield Advanced?

AWS Shield Advanced ofrece una protección optimizada para las aplicaciones que se ejecutan en recursos protegidos de Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Route 53 contra ataques mayores y más sofisticados. La protección de AWS Shield Advanced ofrece monitorización de flujo siempre activa del tráfico de red y monitorización de aplicaciones activas para proporcionar notificaciones casi en tiempo real de supuestos incidentes de DDoS. AWS Shield Advanced también emplea técnicas avanzadas de enrutamiento y mitigación de ataques para aplacarlos automáticamente. Los clientes con nivel de soporte técnico Business o Enterprise también pueden comunicarse con el equipo de respuesta de Shield (SRT) en cualquier momento para administrar y mitigar los ataques de DDoS en la capa de la aplicación. La protección de los costos de DDoS para el escalado impide que la factura de AWS aumente debido a los picos de uso de Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Amazon Route 53 protegidos durante un ataque de DDoS.

P: ¿Qué es la protección de costos contra DDoS para evitar incrementos?

AWS Shield Advanced incluye protección de costos contra DDoS, una característica que evita el incremento de los cargos como resultado de un ataque de DDoS que puede provocar picos de uso en recursos protegidos de Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator o Amazon Route 53. Si cualquiera de estos recursos protegidos de AWS Shield Advanced se escala como respuesta a un ataque DDoS, puede solicitar créditos a través del canal habitual de AWS Support.

P: ¿Puedo usar AWS Shield para proteger sitios web no alojados en AWS?

Sí, AWS Shield se integra con Amazon CloudFront, que admite los orígenes personalizados ajenos a AWS.

P: ¿Puedo utilizar IPv6 con todas las características de AWS Shield?

Sí. Toda la detección y las mitigaciones de AWS Shield funcionan con IPv6 y IPv4 sin cambios apreciables en el rendimiento, la escalabilidad o la disponibilidad del servicio.

P: ¿Cómo puedo probar AWS Shield?

La política de uso aceptable de AWS describe los comportamientos permitidos y prohibidos en AWS, e incluye las descripciones de las violaciones de seguridad prohibidas y el abuso de las redes. No obstante, puesto que las pruebas de simulación DDoS, las pruebas de intrusión y otros eventos simulados en muchas ocasiones no pueden distinguirse de dichas actividades, hemos establecido algunas políticas para que los clientes soliciten permiso antes de realizar pruebas de DDoS, intrusión o análisis de vulnerabilidad. Visite nuestra página de pruebas de penetración y la página sobre la política de pruebas de simulación DDoS para más detalles.

P: ¿En qué regiones de AWS se encuentra disponible AWS Shield Standard?

AWS Shield Standard se encuentra disponible en todos los servicios de AWS en todas las regiones de AWS y ubicaciones de borde de AWS de todo el mundo.

Consulte Productos y servicios regionales para obtener más información sobre la disponibilidad por región de AWS Shield Standard.

P: ¿En qué regiones de AWS se encuentra disponible AWS Shield Advanced?

AWS Shield Advanced está disponible a nivel mundial en todas las ubicaciones de borde de Amazon CloudFront, AWS Global Accelerator y Amazon Route 53 de todo el mundo. Puede proteger sus aplicaciones web alojadas en cualquier lugar del mundo mediante la implementación de Amazon CloudFront por delante de su aplicación. Sus servidores de origen pueden ser Amazon Simple Storage Service (S3), Amazon EC2, Elastic Load Balancing o un servidor personalizado externo a AWS. También puede habilitar directamente AWS Shield Avanzado en Elastic Load Balancing o Amazon EC2 en las siguientes regiones de AWS: Norte de Virginia, Ohio, Oregón, Norte de California, Montreal, São Paulo, Irlanda, Fráncfort, Londres, París, Estocolmo, Singapur, Tokio, Sídney, Seúl, Mumbai, Milán, Ciudad del Cabo, Hong Kong, Baréin, Malasia y EAU.

Consulte los productos y servicios regionales para obtener información actualizada sobre la disponibilidad de AWS Shield Avanzado por región.

P: ¿AWS Shield es compatible con HIPAA?

Sí, AWS amplió su programa de conformidad con HIPAA para incluir AWS Shield como un servicio compatible con HIPAA. Si tiene un Acuerdo de Asociado de Negocios (BAA) con AWS, puede usar AWS Shield para proteger sus aplicaciones web que funcionan en AWS de ataques de Distributed Denial of Service (DDoS). Para obtener más información, consulte Conformidad con HIPAA.

P: ¿De qué tipos de ataques puede protegerme AWS Shield Standard?

AWS Shield Standard proporciona protección automática para aplicaciones web que se ejecutan en AWS ante los ataques que normalmente ocurren en la capa de la infraestructura como UDP floods y ataques de agotamiento de estado como TCP SYN floods. Los clientes también pueden usar AWS WAF para protegerse ante ataques en la capa de la aplicación como HTTP POST o GET floods. Consulte la guía para desarrolladores de AWS WAF y AWS Shield Advanced para obtener más información sobre cómo implementar protecciones en la capa de la aplicación.

P: ¿Cuántos recursos puedo habilitar para la protección de AWS Shield Standard?

No hay límite para el número de recursos sujetos a la protección de AWS Shield Standard. Para disfrutar de todos los beneficios de las protecciones de AWS Shield Standard, siga las prácticas recomendadas de resistencia ante DDoS en AWS.

P: ¿Cuántos recursos puedo habilitar para la protección de AWS Shield Advanced?

Puede habilitar hasta 1000 recursos de AWS de cada tipo de recurso compatible (equilibradores de carga de aplicaciones/clásicos, distribuciones de Amazon CloudFront, zonas de alojamiento de Amazon Route 53, IP elásticas, aceleradores de AWS Global Accelerator) para que reciban la protección avanzada de AWS Shield. Si desea habilitar más de 1000, puede solicitar un aumento de límite mediante la creación de un caso de AWS Support.

P: ¿Puedo activar la protección de AWS Shield Advanced a través de una API?

Sí. AWS Shield Advanced se puede activar mediante las API. También puede agregar o eliminar recursos de AWS de la protección de AWS Shield Advanced mediante las API.

P: ¿Con qué rapidez se mitigan los ataques?

Normalmente, el 99% de los ataques en la capa de la infraestructura detectados por AWS Shield se mitigan en menos de 1 segundo para ataques en Amazon CloudFront y Amazon Route 53, y en menos de 5 minutos para ataques en Elastic Load Balancing. El 1% restante de los ataques en la infraestructura se suelen mitigar en menos de 20 minutos. Los ataques en la capa de la aplicación se mitigan mediante la escritura de reglas en AWS WAF, que se inspeccionan y mitigan en línea con el tráfico entrante.

P: ¿Puedo proteger recursos fuera de AWS?

Sí. Algunos de nuestros clientes optan por utilizar puntos de enlace de AWS frente a sus instancias de backend. La mayoría de las veces, estos puntos de enlace son nuestros servicios con distribución global CloudFront y Route 53. Estos son los servicios que también sugerimos como práctica recomendada para la resiliencia ante ataques DDoS. Los clientes pueden proteger estas distribuciones de CloudFront y zonas alojadas de Route 53 con Shield Advanced. Tenga en cuenta que debe bloquear los recursos de backend para que acepten únicamente el tráfico proveniente de estos puntos de enlace de AWS.

 P: ¿Qué herramientas me proporciona AWS Shield Standard para mitigar ataques DDoS?

AWS Shield Standard protege automáticamente sus aplicaciones web que se ejecutan en AWS ante los ataques DDoS que se producen con mayor frecuencia. Puede disfrutar de todos los beneficios de AWS Shield Standard siguiendo las prácticas recomendadas de resistencia a DDoS en AWS.

P: ¿Qué herramientas me proporciona AWS Shield Advanced para mitigar ataques DDoS?

AWS Shield Advanced administra la mitigación de ataques DDoS en las capas 3 y 4. Esto implica que las aplicaciones designadas están protegidas ante ataques como inundaciones UDP o TCP SYN. Además, para los ataques en la capa de la aplicación (capa 7), AWS Shield Advanced puede detectar ataques como inundaciones HTTP y DNS. Puede utilizar AWS WAF para aplicar sus propias mitigaciones o, si tiene soporte técnico de nivel Business o Enterprise, puede comunicarse con el equipo de respuesta de AWS Shield (SRT) de AWS en cualquier momento, que puede escribir reglas por usted para mitigar ataques DDoS en la capa 7.

P: ¿Debo contar con un plan de soporte especial para poder entrar en contacto con el equipo de respuesta de AWS Shield?

Sí, debe tener un plan de soporte Business o Enterprise para remitir el problema al equipo de respuesta de AWS Shield (SRT) o entrar en contacto con este. Para obtener más detalles sobre los planes de AWS Support, consulte el sitio web de AWS Support.

P: ¿Cómo puedo ponerme en contacto con el equipo de respuesta de AWS Shield?

Puede comunicarse con el equipo de respuesta de AWS Shield (SRT) a través del canal habitual de AWS Support. De otro modo, contacte con AWS Support.

P: ¿Con qué rapidez puedo comunicarme con el equipo de respuesta de AWS Shield (SRT)?

Los tiempos de respuesta del SRT dependen del plan de AWS Support al que esté suscrito. Haremos todo lo posible por responder a su solicitud inicial en los plazos correspondientes. Consulte el sitio web de AWS Support para obtener más detalles sobre los planes de AWS Support.

 P: ¿AWS Shield envía una notificación cuando se producen ataques?

Sí. Con AWS Shield Advanced recibirá una notificación de ataques DDoS a través de las métricas de CloudWatch.

P: ¿Con qué rapidez recibiré las notificaciones de un ataque?

Normalmente AWS Shield Advanced proporciona la notificación de un ataque a los pocos minutos de la detección.

P: ¿Puedo ver un historial de todos los ataques DDoS en mis recursos de AWS?

Sí. Con AWS Shield Advanced podrá ver el historial de todos los incidentes en los últimos 13 meses.

P: ¿Puedo ver ataques en todo AWS?

Sí, los clientes de AWS Shield Advanced obtienen acceso al panel del entorno de amenazas globales, que ofrece una vista anonimizada y muestreada de todos los ataques DDoS encontrados en AWS en las últimas dos semanas.

P: ¿Cómo puedo comprobar si mis reglas de AWS WAF funcionan?

AWS WAF incluye dos formas diferentes de ver cómo se protege el sitio web: las métricas de un minuto están disponibles en CloudWatch y las solicitudes web con muestras están disponibles en la API de AWS WAF o en la consola de administración de AWS. Además, puede habilitar registros completos que se entregan a través de Amazon Kinesis Firehose al destino que elija. De ese modo, puede ver las solicitudes bloqueadas, permitidas o contadas y qué regla se aplicó para una solicitud determinada (es decir, esta solicitud web se bloqueó debido a una condición de la dirección IP, etc.). Para obtener más información, consulte la guía para desarrolladores de AWS WAF y AWS Shield Advanced.

P: Necesito hacer una prueba de intrusión para evaluar el servicio y mi aplicación. ¿Cuál es el procedimiento aprobado?

Consulte la sección sobre pruebas de penetración en AWS. Sin embargo, no se incluye una “prueba de carga de DDoS”, que no está autorizada en AWS. Si desea realizar una prueba de DDoS en directo, puede solicitar su aprobación mediante el envío de un ticket a través de AWS Support. La aprobación está sujeta al acuerdo en relación con las condiciones de la prueba entre AWS, el cliente y el proveedor que realizará la prueba de DDoS. Tenga en cuenta que trabajamos únicamente con proveedores de pruebas de DDoS aprobados y que el proceso completo demora de 3 a 4 semanas.

 

 P: ¿Cómo se me cobra el uso de AWS Shield Standard?

AWS Shield Standard está integrado en los servicios de AWS que ya utiliza para sus aplicaciones web. El uso de AWS Shield Standard no implica costos adicionales.

P: ¿Cómo se me cobra el uso de AWS Shield Advanced?

Con AWS Shield Advanced, paga una tarifa mensual de 3000 USD al mes por organización. Además, también paga las tarifas de uso de transferencia de datos de AWS Shield para recursos de AWS habilitados para la protección avanzada. Los cargos de AWS Shield Advanced se agregan a las tarifas estándar de Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Amazon Route 53. Consulte la página de precios de AWS Shield para conocer más detalles.

P: ¿Puedo optar por proteger solo algunos de mis recursos con AWS Shield Advanced?

Sí, AWS Shield Advanced le permite la flexibilidad de elegir los recursos que desea proteger. Solo se le cobrará por la transferencia de datos de AWS Shield Advanced en estos recursos protegidos.

P: ¿Cómo puedo habilitar AWS Shield Advanced en varias cuentas de AWS?

Si su organización tiene varias cuentas de AWS, puede suscribir varias cuentas de AWS a AWS Shield Advanced habilitándolas de forma individual en cada cuenta con la consola de administración de AWS o la API. Pagará una sola tarifa mensual siempre y cuando las cuentas de AWS se encuentren dentro de una misma facturación unificada y usted sea el propietario de todas las cuentas y recursos de AWS de esas cuentas.