Características de AWS Shield

AWS Shield es un servicio de protección administrado contra ataques de denegación de servicio distribuidos (DDoS) que protege las aplicaciones ejecutadas en AWS. Proporciona una detección dinámica y mitigaciones en línea automáticas que minimizan el tiempo de inactividad y la latencia de la aplicación, por lo que no es necesario disponer de AWS Support para beneficiarse de la protección contra DDoS. Existen dos capas de AWS Shield: Standard y Advanced.

Todos los clientes de AWS se benefician de la protección automática de AWS Shield Standard sin cargo adicional. AWS Shield Standard ofrece protección ante los ataques DDoS más comunes, que normalmente ocurren en la capa de red y transporte, y que están dirigidos a su aplicación o sitio web. Si utiliza AWS Shield Standard con Amazon CloudFront y Amazon Route 53, recibirá protección de disponibilidad integral contra todos los ataques conocidos a la infraestructura (capa 3 y 4).

AWS Shield Standard proporciona monitoreo del flujo de red de funcionamiento continuo que inspecciona el tráfico entrante en los servicios de AWS y aplica una combinación de firmas del tráfico, algoritmos de anomalías y otras técnicas de análisis para detectar el tráfico malicioso en tiempo real. Shield Standard establece límites estáticos para cada tipo de recurso de AWS, pero no proporciona ninguna protección personalizada para sus aplicaciones.

AWS Shield Standard cuenta con técnicas de mitigación automatizadas integradas, lo que aporta a los servicios subyacentes de AWS protección contra los ataques más comunes que suelen ocurrir en la infraestructura. Las mitigaciones automáticas se implementan en línea para proteger los servicios de AWS y no afectar la latencia. Shield Standard utiliza técnicas como el filtrado de paquetes determinista y la configuración de tráfico basada en prioridades, para mitigar automáticamente ataques a la capa de red básica.

Si desea un nivel de protección superior contra ataques dirigidos a sus aplicaciones que se ejecutan en recursos de Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Amazon Route 53, puede suscribirse a AWS Shield Advanced. Además de las protecciones de la capa de transporte y red que Standard incluye, Shield Advanced proporciona detección y mitigación adicionales contra ataques DDoS sofisticados y a gran escala, visibilidad de los ataques casi en tiempo real e integración con AWS WAF, un firewall para aplicaciones web. AWS Shield Advanced también le proporciona acceso las 24 horas del día, los 7 días de la semana al equipo de respuesta de AWS (DRT) y protección contra incrementos en los cargos de EC2, ELB, CloudFront, Global Accelerator y Route 53 relacionados con ataques DDoS.

AWS Shield Advanced proporciona detección personalizada basada en los patrones de tráfico de la dirección IP elástica, Elastic Load Balancing (ELB), CloudFront, Global Accelerator y recursos de Route 53. Mediante técnicas de monitoreo específicas de recursos y región adicional, Shield Advanced detecta y le informa de ataques DDoS de menor escala. Shield Advanced crea una base de referencia del tráfico de sus recursos con la que detecta también ataques en la capa de la aplicación, como inundaciones HTTP o de consultas DNS, e identifica las anomalías.

AWS Shield Advanced utiliza el estado de sus aplicaciones para mejorar la respuesta y la precisión para la detección y la mitigación de los ataques. Puede definir una verificación de estado en Route 53 y asociarla con un recurso que esté protegido por Shield Advanced a través de la consola o API. Esto permite que Shield Advanced detecte ataques que afectan el estado de la aplicación con mayor velocidad y en límites de tráfico inferiores, lo que mejora la resiliencia ante DDoS de la aplicación y evita notificaciones falsas positivas. El estado de los recursos también estará disponible para el equipo de respuesta de Shield (SRT) para que puedan priorizar apropiadamente la respuesta a las aplicaciones en mal estado. Puede aplicar la detección basada en el estado a todos los tipos de recursos admitidos por Shield Advanced: dirección IP elástica, ELB, CloudFront, Global Accelerator y Route 53.

AWS Shield Advanced ofrece un nivel de mitigación automática más sofisticado para los ataques dirigidos a las aplicaciones que se ejecutan en recursos protegidos de Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), CloudFront, Global Accelerator y Route 53. Mediante técnicas avanzadas de enrutamiento, Shield Advanced implementa automáticamente capacidad de mitigación adicional para proteger la aplicación ante ataques DDoS. Para los clientes con soporte Business o Enterprise, el equipo de respuesta de Shield (SRT) también aplica mitigaciones manuales para ataques DDoS más complejos y sofisticados que pueden ser exclusivos de su aplicación. Para ataques en la capa de aplicaciones, puede utilizar AWS WAF sin costo adicional para los recursos protegidos por Shield Advanced y configurar reglas proactivas, como el bloqueo basado en valoración para bloquear automáticamente las solicitudes web de las direcciones IP de origen de los ataques o responder de inmediato a incidentes en cuanto ocurren. También puede contactar al SRT directamente para que implemente reglas personalizadas de AWS WAF por usted, en respuesta a un ataque de DDoS en una capa de la aplicación. El SRT diagnosticará el ataque y, con su permiso, puede aplicar mitigaciones en su nombre, lo que reduce la cantidad de tiempo que sus aplicaciones podrían verse afectadas por un ataque DDoS en curso.

AWS Shield Advanced puede proteger automáticamente las aplicaciones web a través de la mitigación de los eventos DDoS de la capa de aplicación (Capa 7) sin que sea necesaria una intervención manual por su parte o por parte de AWS SRT. Shield Advanced puede crear reglas WAF en su WebACL para mitigar automáticamente un ataque o usted puede activarlas en modo solo recuento. Esto le permite responder rápidamente a eventos DDoS para evitar la inactividad de una aplicación causada por un ataque DDoS en la capa de la aplicación.

AWS Shield Advanced permite la interacción proactiva del equipo de respuesta de Shield SRT cuando se detecta un evento DDoS. Cuando activa la interacción proactiva, el SRT le contactará directamente si una comprobación de estado de Route 53 asociada al recurso protegido muestra un estado anómalo durante un evento de DDoS. Esto le permite interactuar con los expertos con mayor rapidez cuando la disponibilidad de la aplicación se ve afectada por un ataque sospechoso. Puede recibir interacción proactiva para eventos de capa de transporte y de capa de red en direcciones IP elásticas y aceleradores de Global Accelerator y para los ataques de la capa de la aplicación en distribuciones de CloudFront y balanceadores de carga de aplicaciones.

AWS Shield Advanced permite agrupar recursos en grupos de protección, lo que representa una forma de autoservicio de personalizar el alcance de la detección y la mitigación para la aplicación al gestionar varios recursos como una sola unidad. La agrupación de recursos mejora la precisión de la detección, reduce los falsos positivos, facilita la protección automática de recursos recién creados y acelera el tiempo para mitigar ataques en contra de varios recursos. Por ejemplo, si una aplicación está compuesta por cuatro distribuciones de CloudFront, puede agruparlas en un grupo de protección para recibir detección y protección para el conjunto de recursos como un todo. Los informes también se pueden consumir en el nivel del grupo de protección, lo que proporciona una vista más holística del estado general de la aplicación.

AWS Shield Advanced le ofrece una visibilidad completa de los ataques DDoS con notificación casi en tiempo real mediante Amazon CloudWatch y un diagnóstico detallado en la consola de AWS WAF y AWS Shield o las API. También puede ver un resumen de ataques previos desde la consola.

AWS Shield Advanced incorpora protección de costos en DDoS, una característica que evita los cargos de escalado generados por picos de uso relacionados con DDoS en recursos de Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), CloudFront, Global Accelerator y Route 53. Si cualquiera de estos recursos protegidos se escala como respuesta a un ataque DDoS, puede solicitar créditos del servicio Shield Advanced a través del canal habitual de AWS Support.

A los clientes con planes de soporte Business o Enterprise, AWS Shield Advanced les proporciona acceso ininterrumpido al equipo de respuesta de AWS ShieldSRT, con el que es posible contactarse antes, durante o después de un ataque DDoS. El SRT le ayudará a clasificar los incidentes, identificar las causas raíz y aplicar mitigaciones por usted. El SRT tiene una profunda experiencia en la respuesta rápida y mitigación de los ataques de DDoS a través de los clientes de AWS.

AWS Shield Advanced está disponible a nivel mundial en todas las ubicaciones de borde de CloudFront, Global Accelerator y Route 53. Puede proteger sus aplicaciones web hospedadas en cualquier lugar del mundo mediante la implementación de CloudFront por delante de su aplicación. Sus servidores de origen pueden ser Amazon Simple Storage Service (S3), EC2, ELB o un servidor personalizado externo a AWS. También puede activar protecciones directamente en instancias de Elastic Load Balancing (ELB) o IP elástica en todas las regiones de AWS donde Shield Advanced está disponible.

Los clientes de AWS Shield Advanced pueden utilizar AWS Firewall Manager para aplicar las protecciones de AWS WAF y Shield Advanced en toda la organización. El costo de Firewall Manager está incluido en la cuota de suscripción de Shield Advanced. A través de Firewall Manager puede configurar de forma automática políticas que abarquen varias cuentas y recursos. Firewall Manager audita automáticamente cuentas para encontrar recursos nuevos o sin protección, y garantiza que las protecciones de AWS WAF y Shield Advanced se aplican de forma universal. Esto permite a los desarrolladores moverse rápidamente e implementar nuevas aplicaciones con la seguridad de que las protecciones apropiadas se aplicarán automáticamente. Para obtener más información acerca de este servicio de administración de la seguridad, consulte AWS Firewall Manager.