セキュリティ

AWS Shield

Servicio de defensa gestionado que protege recursos AWS como CloudFront, ALB y Route 53 contra ataques DDoS en capas L3/L4 y L7

Unos 4 min de lectura

Descripción general

AWS Shield es un servicio gestionado que protege las aplicaciones que se ejecutan en AWS contra ataques DDoS (denegación de servicio distribuido). Tiene dos niveles: Shield Standard, que se aplica automáticamente a todas las cuentas de AWS, y Shield Advanced, de pago, que proporciona capacidades avanzadas de detección y mitigación. Shield Advanced ofrece soporte 24/7 del Shield Response Team (SRT), visualización de ataques en tiempo real y protección contra aumentos de costos causados por DDoS.

Alcance de protección de Shield Standard y Shield Advanced

Shield Standard se aplica automáticamente a todas las cuentas de AWS sin costo adicional, mitigando ataques DDoS comunes en capa 3 (red) y capa 4 (transporte). Detecta y bloquea patrones de ataque a nivel de infraestructura como SYN flood, reflexión UDP y amplificación DNS en la red global de AWS. Shield Advanced se ofrece con una tarifa fija mensual de 3,000 USD más cargos por volumen de transferencia de datos. Se registran explícitamente como recursos protegidos CloudFront, Route 53, ELB (ALB/NLB/CLB), Elastic IP y Global Accelerator. Shield Advanced también aborda ataques en capa 7 (aplicación), detectando patrones sofisticados como HTTP flood y ataques Slowloris. Aprende los patrones de tráfico base de cada recurso protegido y proporciona defensa adaptativa que detecta automáticamente aumentos anómalos de tráfico. La integración con Organizations permite cubrir todas las cuentas de la organización con una sola suscripción de Shield Advanced.

Shield Response Team y compromiso proactivo

Los suscriptores de Shield Advanced pueden escalar directamente al Shield Response Team (SRT) de AWS. El SRT es un equipo especializado en análisis y mitigación de ataques DDoS que puede aplicar reglas de mitigación personalizadas en WAF o implementar filtrado de tráfico a nivel de red durante un ataque. Para acceder al SRT se requiere un plan de soporte Business o superior. El compromiso proactivo (Proactive Engagement) es una función donde el SRT contacta automáticamente cuando Shield Advanced detecta un ataque. Se activa asociando health checks de Route 53 a los recursos protegidos. Cuando un health check detecta una anomalía y Shield detecta un evento DDoS, el SRT contacta al usuario para proponer medidas de mitigación. Esta función permite recibir asistencia de expertos antes de que el equipo de operaciones detecte el ataque. Los detalles de los eventos de ataque se pueden consultar en el resumen de eventos de la consola de Shield, donde se registran el vector de ataque, el volumen de tráfico pico y la línea de tiempo de acciones de mitigación.

Protección de costos y función de protección contra costos DDoS

La protección de costos DDoS de Shield Advanced es un mecanismo donde AWS devuelve como crédito los aumentos de uso de recursos causados por ataques DDoS. Cuando la transferencia de datos de CloudFront o el número de solicitudes de ELB aumentan anormalmente debido a un ataque, los costos que superan la línea base normal se convierten en objeto de protección. La solicitud de crédito se realiza desde la consola de Shield o mediante un caso de soporte, y AWS verifica la relación causal entre el evento de ataque y el aumento de costos antes de realizar la devolución. Para que la protección de costos funcione efectivamente, es requisito registrar todos los recursos protegidos en Shield Advanced sin omisiones. Los ataques a recursos no registrados no están cubiertos por la protección de costos. La tarifa mensual de 3,000 USD de Shield Advanced requiere un compromiso de 1 año sin cancelación anticipada. Para justificar este costo fijo, se requiere evaluar cuantitativamente el impacto empresarial de los recursos protegidos y compararlo con las pérdidas por tiempo de inactividad causado por ataques DDoS. Se recomienda el uso conjunto con WAF, y los suscriptores de Shield Advanced obtienen el beneficio de que las tarifas de WAF asociadas a recursos protegidos son gratuitas.

共有するXB!

Términos relacionados

AWS WAFAmazon CloudFrontAmazon Route 53Elastic Load BalancingAWS Firewall Manager

Servicios relacionados

AWS WAFAmazon CloudFrontAmazon Route 53Elastic Load Balancing

Artículos relacionados

Diseño DNS con Amazon Route 53 - Políticas de enrutamiento y health checks en la prácticaLogre un control avanzado del tráfico con registros alias y siete políticas de enrutamiento. Este artículo cubre el diseño de failover multi-región con health checks.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.El diseño de Availability Zones de AWS - La diferencia en confiabilidad que genera la separación física y el aislamiento de fallosExplicamos la filosofía de diseño de las AZ de AWS como grupos de centros de datos físicamente independientes, comparándolas con las zonas de disponibilidad de Azure y GCP, y analizamos la diferencia en madurez del aislamiento de fallos a partir de incidentes reales.Backbone de red global de AWS - La calidad de comunicación respaldada por cables submarinos dedicados y más de 600 PoPComparamos la ventaja de la red global de AWS con sus cables submarinos propios, red de fibra dedicada y más de 600 ubicaciones de borde, frente al tier premium de GCP y el diseño de red de Azure.La profundidad de los servicios de red de AWS - Diseño de redes empresariales con VPC, Transit Gateway y PrivateLinkComparamos los servicios de red de AWS centrados en VPC, Transit Gateway, PrivateLink, Direct Connect y Network Firewall con Azure VNet/ExpressRoute y GCP VPC/Cloud Interconnect, explicando la ventaja en flexibilidad para el diseño de redes empresariales.

Términos y artículos similares

Protección contra DDoS - Diseño y operación de defensa multicapa con AWS ShieldExplicamos la defensa contra DDoS con AWS Shield Standard y Shield Advanced. Presentamos de forma práctica la integración con CloudFront, Route 53 y ALB, la combinación con WAF y la función de protección de costos.Protección DDoS con AWS Shield - Elección entre Standard y AdvancedExplicamos las diferencias entre la protección gratuita L3/L4 de Standard y la protección avanzada L7 de Advanced con asistencia del SRT, la protección de costos y la integración con WAF.AWS ShieldServicio gestionado que protege aplicaciones contra ataques DDoSAWS WAFFirewall de aplicaciones web que protege aplicaciones contra exploits web comunes