Seguridad

Protección contra DDoS - Diseño y operación de defensa multicapa con AWS Shield

Explicamos la defensa contra DDoS con AWS Shield Standard y Shield Advanced. Presentamos de forma práctica la integración con CloudFront, Route 53 y ALB, la combinación con WAF y la función de protección de costos.

約 6 分で読めます

La amenaza de los ataques DDoS y la defensa multicapa de AWS

Los ataques DDoS (Distributed Denial of Service) son técnicas de ataque que envían grandes volúmenes de tráfico para hacer que un servicio quede inaccesible. Los ataques se clasifican en L3/L4 (SYN flood, reflexión UDP, amplificación DNS) y L7 (HTTP flood, Slowloris). AWS Shield es un servicio administrado especializado en la defensa contra ataques DDoS, que ofrece dos niveles: Standard y Advanced. Shield Standard se aplica automáticamente y de forma gratuita a todas las cuentas de AWS, detectando y mitigando automáticamente los ataques DDoS comunes de L3/L4. La red global de AWS tiene un ancho de banda de varios Tbps, absorbiendo ataques volumétricos a gran escala en el borde. Shield Advanced es un servicio de pago de 3,000 USD mensuales (compromiso de 1 año) que proporciona defensa avanzada contra ataques L7, visualización de ataques en tiempo real y soporte de respuesta a incidentes 24/7 por parte del Shield Response Team (SRT).

Defensa automática de Shield Standard

Shield Standard se aplica a todos los recursos de AWS sin configuración adicional. Monitorea constantemente los ataques L3/L4 contra CloudFront, Route 53, ALB, NLB y Elastic IP (EC2), ejecutando automáticamente medidas de mitigación cuando detecta patrones de tráfico anómalos. CloudFront y Route 53 operan en la red de borde global de AWS (más de 400 PoP), por lo que el tráfico de ataque se procesa en el borde antes de llegar al servidor de origen. Esto permite absorber ataques a gran escala sin cargar la infraestructura de origen. La defensa de Shield Standard es completamente transparente, sin impacto en el tráfico legítimo. Para ataques SYN flood se aplica automáticamente un proxy SYN, y para ataques de reflexión UDP se aplica automáticamente el scrubbing de tráfico. Solo con Shield Standard se puede defender contra la mayoría de los ataques DDoS observados en Internet.

Funciones avanzadas de defensa de Shield Advanced

Shield Advanced proporciona las siguientes funciones además de la defensa de Shield Standard. La detección y mitigación de DDoS en L7 (capa de aplicación) detecta ataques disfrazados de solicitudes legítimas, como HTTP floods o solicitudes masivas a APIs. Mediante la integración con WAF, se pueden aplicar automáticamente reglas basadas en tasa y reglas personalizadas según los patrones de ataque. El SRT (Shield Response Team) es un equipo de expertos en seguridad de AWS que proporciona soporte de respuesta 24/7 durante los ataques. El SRT tiene autoridad para operar directamente las reglas WAF del usuario para mitigar ataques, mejorando significativamente la velocidad de respuesta en emergencias. La visualización de ataques permite verificar en tiempo real la situación del ataque (vectores de ataque, volumen de tráfico, estado de mitigación) mediante métricas y dashboards de CloudWatch. La protección de costos es una función importante de Shield Advanced que permite recibir reembolsos por los costos de escalado de recursos de AWS causados por ataques DDoS (EC2 Auto Scaling, transferencia de datos de CloudFront, consultas de Route 53, ALB). Mitiga el riesgo de aumentos repentinos de costos por ataques. Para profundizar en el conocimiento práctico de la defensa contra DDoS, los libros especializados (Amazon) son útiles.

Combinación con WAF y mejores prácticas

Combinando Shield Advanced y WAF se logra una defensa multicapa que cubre todas las capas de L3 a L7. La suscripción a Shield Advanced incluye los cargos de uso de WAF asociados a los recursos protegidos (sin cargos adicionales de WAF). Las reglas basadas en tasa limitan el número de solicitudes desde una IP específica, y las reglas de coincidencia geográfica pueden bloquear el acceso desde países específicos. Al habilitar la función de mitigación automática L7 de Shield Advanced, las reglas WAF se crean y aplican automáticamente cuando se detecta un ataque. Como mejor práctica, se recomienda colocar CloudFront como punto de entrada de todo el tráfico y bloquear el acceso directo al origen mediante grupos de seguridad. Combinando los health checks de Route 53 con Shield Advanced, se mejora la precisión de la detección de ataques. Shield Advanced, mediante la integración con Organizations, permite que una sola suscripción contratada en la cuenta de gestión se aplique a todas las cuentas de la organización.

Precios de Shield

Shield Standard se habilita automáticamente y de forma gratuita en todas las cuentas de AWS. Shield Advanced tiene un cargo fijo mensual de 3,000 dólares más cargos adicionales por el volumen de transferencia de datos de los recursos protegidos. Se requiere un compromiso de 1 año. Al habilitarlo con Organizations, el cargo mensual de 3,000 dólares se cobra una sola vez para toda la organización. La protección de costos de Advanced compensa los aumentos de costos de escalado causados por ataques DDoS, por lo que la relación inversión-retorno es alta para servicios con alto riesgo de ataque.

Resumen - Directrices de uso de Shield

AWS Shield es un servicio que automatiza la defensa contra ataques DDoS. Shield Standard se aplica gratuitamente a todas las cuentas y mitiga automáticamente la mayoría de los ataques L3/L4. Para cargas de trabajo de misión crítica, considere Shield Advanced. Con una inversión mensual de 3,000 USD, obtiene defensa L7, soporte SRT, protección de costos y visualización de ataques. Colocar CloudFront como primera línea de defensa en el borde y combinar WAF con Shield Advanced en una defensa multicapa es la mejor práctica para la protección contra DDoS en AWS.

Servicios relacionados

AWS ShieldServicio gestionado que protege aplicaciones contra ataques DDoSAWS WAFFirewall de aplicaciones web que protege aplicaciones contra exploits web comunesAmazon CloudFrontUn servicio CDN que distribuye contenido a alta velocidad desde ubicaciones de borde en todo el mundo

Artículos relacionados

Protección DDoS con AWS Shield - Elección entre Standard y AdvancedExplicamos las diferencias entre la protección gratuita L3/L4 de Standard y la protección avanzada L7 de Advanced con asistencia del SRT, la protección de costos y la integración con WAF.Bot Control y prevención de fraude en AWS WAF - Implementación de protección contra bots y prevención de apropiación de cuentasDetecta scrapers y herramientas de automatización con Bot Control, y previene credential stuffing con ATP. También presentamos el diseño de experiencia de usuario con challenges y CAPTCHA.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS ShieldServicio de defensa gestionado que protege recursos AWS como CloudFront, ALB y Route 53 contra ataques DDoS en capas L3/L4 y L7Protección DDoS con AWS Shield - Elección entre Standard y AdvancedExplicamos las diferencias entre la protección gratuita L3/L4 de Standard y la protección avanzada L7 de Advanced con asistencia del SRT, la protección de costos y la integración con WAF.AWS WAFFirewall de aplicaciones web que protege aplicaciones contra exploits web comunes mediante reglas personalizables que filtran tráfico HTTP/HTTPS malicioso