AWS Shield Standard


Protección frente ataques DDoS de umbral estático para los servicios de AWS subyacentes

AWS Shield Standard proporciona monitoreo del flujo de red de funcionamiento continuo que inspecciona el tráfico entrante en los servicios de AWS y aplica una combinación de firmas del tráfico, algoritmos de anomalías y otras técnicas de análisis para detectar el tráfico malicioso en tiempo real. Shield Standard establece umbrales estáticos para cada tipo de recurso de AWS, pero no proporciona ninguna protección personalizada para las aplicaciones de los clientes de AWS.

Mitigación de ataques en línea

AWS Shield Standard cuenta con técnicas de mitigación automatizadas integradas, lo que aporta a los servicios subyacentes de AWS protección contra los ataques más comunes que suelen ocurrir en la infraestructura. Las mitigaciones automáticas se implementan en línea para proteger los servicios de AWS y no afectar la latencia. AWS Shield Standard utiliza técnicas como el filtrado de paquetes determinista y la configuración de tráfico basada en prioridades, para mitigar ataques a la capa de red básica.

AWS Shield Advanced


Detección personalizada basada en los patrones de tráfico de la aplicación

AWS Shield Advanced proporciona detección personalizada basada en los patrones de tráfico de la dirección IP elástica, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator o Amazon Route 53. Mediante técnicas de monitoreo específicas de recursos y región adicional, AWS Shield Advanced detecta y le informa de ataques DDoS de menor escala. AWS Shield Advanced crea una base de referencia del tráfico de sus recursos con la que detecta también ataques en la capa de la aplicación, como inundaciones HTTP o de consultas DNS, e identifica las anomalías.

Detección basada en el estado

AWS Shield Advanced usa el estado de sus aplicaciones para mejorar la respuesta y la precisión para la detección y la mitigación de los ataques. Puede definir una verificación de estado en Amazon Route 53 y luego asociarla con un recurso que esté protegido por Shield Advanced a través de la consola de API. Esto permite que Shield Advanced detecte ataques que afectan el estado de la aplicación con mayor velocidad y en umbrales de tráfico inferiores, lo que mejora la resiliencia DDoS de su aplicación y evita notificaciones falsas positivas. El estado de los recursos también estará disponible para el equipo de respuesta de DDoS para que puedan priorizar apropiadamente la respuesta al estado de las aplicaciones primero. Puede aplicar la detección basada en el estado a todos los tipos de recursos admitidos por Shield Advanced: Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator o Amazon Route 53.

Mitigación avanzada de ataques

AWS Shield Advanced ofrece un nivel de mitigación automática más sofisticado para los ataques dirigidos a las aplicaciones que se ejecutan en recursos protegidos de Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Amazon Route 53. Mediante técnicas avanzadas de direccionamiento, AWS Shield Advanced implementa automáticamente capacidad de mitigación adicional para proteger la aplicación de ataques DDoS. Para los clientes con soporte Business o Enterprise, el equipo de respuesta de DDoS (DRT) de AWS también aplica mitigaciones manuales para ataques DDoS más complejos y sofisticados que pueden ser exclusivos de su aplicación. Para ataques en la capa de aplicaciones, puede utilizar AWS WAF sin costo adicional para los recursos protegidos de AWS Shield Advanced y configurar reglas proactivas, como el bloqueo basado en valoración para bloquear automáticamente las solicitudes web de las direcciones IP de origen de los ataques o responder de inmediato a incidentes en cuanto ocurren. También puede contactar al DRT directamente para que implemente reglas personalizadas de AWS WAF por usted, en respuesta a un ataque de DDoS en una capa de la aplicación. El DRT diagnosticará el ataque y, con su permiso, puede aplicar mitigaciones en su nombre, lo que reduce la cantidad de tiempo que sus aplicaciones podrían verse afectadas por un ataque DDoS en curso.

Respuesta proactiva a eventos

AWS Shield Advanced permite la interacción proactiva del equipo de respuesta ante DDoS (DRT) cuando se detecta un evento DDoS. Cuando habilita la interacción proactiva, el DRT le contactará directamente si una comprobación de estado de Amazon Route 53 asociada a su recurso protegido muestra un estado anómalo durante un evento de DDoS. Esto le permite interactuar con los expertos con mayor rapidez cuando la disponibilidad de su aplicación se ve afectada por un ataque sospechoso. Puede recibir interacción proactiva para eventos de capa de transporte y de capa de red en direcciones IP elásticas y aceleradores de Global Accelerator y para los ataques de la capa de la aplicación en distribuciones de CloudFront y balanceadores de carga de aplicaciones.

Visibilidad y notificación de ataques

AWS Shield Advanced le ofrece una visibilidad completa de los ataques DDoS con notificación casi en tiempo real mediante Amazon CloudWatch y un diagnóstico detallado en la consola de administración o las API de “AWS WAF y AWS Shield”. También puede ver un resumen de los ataques anteriores en la consola de administración de “AWS WAF y AWS Shield”.

Protección de costos en ataques DDoS

AWS Shield Advanced incorpora protección de costos en DDoS, una característica que evita los cargos de escalado generados por picos de uso relacionados con DDoS en recursos de Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator o Amazon Route 53. Si cualquiera de estos recursos protegidos se escala como respuesta a un ataque DDoS, puede solicitar créditos del servicio AWS Shield Advanced a través del canal habitual de AWS Support.

Soporte especializado

A los clientes con planes de soporte Business o Enterprise, AWS Shield Advanced les da acceso las 24 horas al equipo de respuesta contra DDoS (DRT) de AWS, con el que puede contactarse antes, durante o después de un ataque DDoS. El DRT le ayudará a evaluar los incidentes, identificar las causas raíz y aplicar mitigaciones por usted. El DRT tiene una profunda experiencia en la respuesta rápida y mitigación de los ataques de DDoS a través de los clientes de AWS.

Disponibilidad global

AWS Shield Advanced está disponible a nivel mundial en todas las ubicaciones de borde de Amazon CloudFront, AWS Global Accelerator y Amazon Route 53 de todo el mundo. Puede proteger sus aplicaciones web hospedadas en cualquier lugar del mundo mediante la implementación de Amazon CloudFront por delante de su aplicación. Sus servidores de origen pueden ser Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) o un servidor personalizado externo a AWS. También puede activar protecciones directamente en instancias de Elastic Load Balancing (ELB) o IP elástica en todas las regiones donde AWS Shield Advanced está disponible.

Administración de protección centralizada

Los clientes de AWS Shield Advanced pueden utilizar AWS Firewall Manager para aplicar las protecciones de AWS WAF y AWS Shield Advanced en toda la organización. El costo de Firewall Manager está incluido en la cuota de suscripción de Shield Advanced. A través de AWS Firewall Manager puede configurar de forma automática políticas que abarquen varias cuentas y recursos. Firewall Manager audita automáticamente cuentas para encontrar recursos nuevos o sin protección, y garantiza que las protecciones de AWS WAF y AWS Shield Advanced se aplican de forma universal. Esto permite a los desarrolladores moverse rápidamente e implementar nuevas aplicaciones con la seguridad de que las protecciones apropiadas se aplicarán automáticamente. Para obtener más información acerca de AWS Firewall Manager, visite el sitio web del producto.

Más información sobre los precios de AWS Shield

Visite la página de precios
¿Todo listo para crear?
Introducción a AWS Shield
¿Tiene más preguntas?
Contacte con nosotros