Saltar al contenido principal

Características de AWS Shield

¿Por qué AWS Shield?

AWS Shield protege redes y aplicaciones al identificar problemas en las configuraciones de seguridad en la red y defender las aplicaciones frente a explotaciones web activas y eventos de denegación de servicio distribuida (DDoS). Para ello, AWS Shield ofrece dos funcionalidades clave: 

El director de seguridad de red de AWS Shield (en versión preliminar) realiza un análisis de los recursos para ayudar a visualizar la topología de red, identificar problemas de configuración y recibir recomendaciones de corrección prácticas.

Para la protección administrada contra DDoS, AWS Shield Avanzado ofrece mitigación automática y permanente de eventos DDoS sofisticados, con el fin de minimizar el tiempo de inactividad y la latencia de las aplicaciones. Puede personalizar la estrategia de protección contra DDoS con controles de seguridad específicos para las aplicaciones y con la orientación experta del equipo de respuesta de Shield durante incidentes activos de DDoS. 

AWS Shield Estándar

Abrir todo

    Todos los clientes de AWS se benefician de la protección automática de AWS Shield Estándar sin cargo adicional. AWS Shield Estándar ofrece protección ante los eventos de DDoS más comunes, que normalmente ocurren en la capa de red y transporte, y que están dirigidos a su aplicación o sitio web. Si utiliza AWS Shield Estándar con Amazon CloudFront y Amazon Route 53, recibirá protección de disponibilidad integral contra todos los eventos conocidos de la infraestructura (capa 3 y 4).

    AWS Shield Estándar proporciona supervisión del flujo de red de funcionamiento continuo que inspecciona el tráfico entrante en los servicios de AWS y aplica una combinación de firmas del tráfico, algoritmos de anomalías y otras técnicas de análisis para detectar el tráfico malintencionado en tiempo real. Shield Estándar establece límites estáticos para cada tipo de recurso de AWS, pero no proporciona ninguna protección personalizada para sus aplicaciones.

    AWS Shield Estándar cuenta con técnicas de mitigación automatizadas integradas, lo que aporta a los servicios subyacentes de AWS protección contra los eventos más comunes que suelen ocurrir en la infraestructura. Las mitigaciones automáticas se implementan en línea para proteger los servicios de AWS y no afectar la latencia. Shield Estándar utiliza técnicas como el filtrado de paquetes determinista y la configuración de tráfico basada en prioridades, para mitigar automáticamente ataques a la capa de red básica.

AWS Shield Avanzado

Abrir todo

    Si desea un nivel de protección superior contra ataques dirigidos a sus aplicaciones que se ejecutan en recursos de Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Amazon Route 53, puede suscribirse a AWS Shield Avanzado. Además de las protecciones de la capa de transporte y red que Estándar incluye, Shield Avanzado proporciona detección y mitigación adicionales contra ataques de DDoS sofisticados y a gran escala, visibilidad de los ataques casi en tiempo real e integración con AWS WAF, un firewall para aplicaciones web. Shield Avanzado también le proporciona acceso ininterrumpido al equipo de respuesta de AWS Shield (SRT) y protección contra incrementos en los cargos de EC2, ELB, CloudFront, Global Accelerator y Route 53 relacionados con ataques de DDoS.

    AWS Shield Avanzado proporciona detección personalizada basada en los patrones de tráfico de la dirección IP elástica, ELB, CloudFront, Global Accelerator y recursos de Route 53. Mediante técnicas de monitoreo específicas de recursos y región adicional, Shield Advanced detecta y le informa de ataques DDoS de menor escala. Shield Advanced crea una base de referencia del tráfico de su aplicación con la que detecta también ataques en la capa de la aplicación, como inundaciones HTTP o de consultas de DNS, e identifica las anomalías.

    AWS Shield Avanzado utiliza el estado de sus aplicaciones para mejorar la capacidad de respuesta y la precisión para la detección y la mitigación de los ataques. Puede definir una verificación de estado en Route 53 y asociarla con un recurso que esté protegido por Shield Advanced a través de la consola o API. Esto permite que Shield Advanced detecte ataques que afectan el estado de la aplicación con mayor velocidad y en límites de tráfico inferiores, lo que mejora la resiliencia ante DDoS de la aplicación y evita notificaciones falsas positivas. El estado de los recursos también estará disponible para el equipo de respuesta de Shield (SRT) para que puedan priorizar apropiadamente la respuesta a las aplicaciones en mal estado. Puede aplicar la detección basada en el estado a todos los tipos de recursos admitidos por Shield Avanzado: dirección IP elástica, ELB, CloudFront, Global Accelerator y Route 53.

     

    AWS Shield Avanzado ofrece un nivel de mitigación automática más sofisticado para los eventos dirigidos a las aplicaciones que se ejecutan en recursos protegidos de EC2, ELB, CloudFront, Global Accelerator y Route 53. Mediante técnicas avanzadas de enrutamiento, Shield Avanzado implementa automáticamente capacidad de mitigación adicional para proteger la aplicación ante eventos de DDoS. Para los clientes con soporte Business o Enterprise, el equipo de respuesta de Shield (SRT) también aplica mitigaciones manuales para eventos de DDoS más complejos y sofisticados que pueden ser exclusivos de su aplicación. Para los eventos de la capa de aplicación, puede utilizar el grupo de reglas administradas de AWS de protección contra DDoS en la capa de aplicación (L7) de AWS WAF incluido en la suscripción a AWS Shield Avanzado. Este grupo de reglas está diseñado para detectar y mitigar automáticamente los eventos de DDoS en el nivel de aplicación en cuestión de segundos. Como parte de la suscripción, recibirá hasta cincuenta mil millones de solicitudes de AWS WAF en un mes natural por cuenta de pagador suscrito a los recursos protegidos mediante WAF. El tráfico detectado por este AMR como DDoS no cuenta para los cincuenta mil millones mientras no estén en modo de recuento. Las solicitudes que superen los cincuenta mil millones se facturarán según la página de precios de AWS Shield Avanzado. También puede contactar al SRT directamente para que implemente reglas personalizadas de AWS WAF por usted, en respuesta a un ataque de DDoS en una capa de la aplicación. El SRT diagnosticará el evento y, con su permiso, aplicará mitigaciones en su nombre, lo que reduce la cantidad de tiempo que sus aplicaciones podrían verse afectadas por un evento de DDoS en curso.

     

     

    AWS Shield Avanzado puede proteger automáticamente las aplicaciones web a través de la mitigación de los eventos de DDoS de la capa de aplicación (L7) sin que sea necesaria una intervención manual por su parte o por parte de AWS SRT. Las reglas de AWS WAF se crean en sus ACL web para mitigar automáticamente los eventos, o puede activarlas en modo de solo recuento. Esto le permite responder rápidamente a eventos de DDoS para evitar el tiempo de inactividad de una aplicación causada por eventos de DDoS en la capa de aplicación.

     

    AWS Shield Avanzado permite la interacción proactiva del SRT cuando se detecta un evento de DDoS. Cuando activa la interacción proactiva, el SRT le contactará directamente si una comprobación de estado de Route 53 asociada al recurso protegido muestra un estado anómalo durante un evento de DDoS. Esto le permite interactuar con los expertos con mayor rapidez cuando la disponibilidad de la aplicación se ve afectada por un ataque sospechoso. Puede recibir interacción proactiva para eventos de capa de transporte y de capa de red en direcciones IP elásticas y aceleradores de Global Accelerator y para los ataques de la capa de la aplicación en distribuciones de CloudFront y equilibradores de carga de aplicación.

    AWS Shield Avanzado permite agrupar recursos en grupos de protección, lo que representa una forma de autoservicio de personalizar el alcance de la detección y la mitigación para la aplicación al gestionar varios recursos como una sola unidad. La agrupación de recursos mejora la precisión de la detección, reduce los falsos positivos, facilita la protección automática de recursos recién creados y acelera el tiempo para mitigar ataques en contra de varios recursos. Por ejemplo, si una aplicación está compuesta por cuatro distribuciones de CloudFront, puede agruparlas en un grupo de protección para recibir detección y protección para el conjunto de recursos como un todo. Los informes también se pueden consumir en el nivel del grupo de protección, lo que proporciona una vista más holística del estado general de la aplicación.

     

    AWS Shield Avanzado le ofrece una visibilidad completa de los eventos de DDoS con notificación casi en tiempo real mediante Amazon CloudWatch y un diagnóstico detallado en la consola de AWS WAF y AWS Shield o las API. También puede ver un resumen de eventos previos desde la consola. Cuando utiliza la regla administrada de protección contra DDoS en la capa de aplicación (L7) para AWS WAF, obtiene visibilidad en la consola de AWS WAF de los eventos de DDoS protegidos por este grupo de reglas.

     

    AWS Shield Avanzado incorpora protección de costos en DDoS, una característica que evita los cargos de escalado generados por picos de uso relacionados con DDoS en recursos protegidos de EC2, ELB, CloudFront, Global Accelerator y Route 53. Si cualquiera de estos recursos protegidos se escala verticalmente como respuesta a un ataque de DDoS, puede solicitar créditos del servicio Shield Avanzado a través del canal habitual de AWS Support.

    A los clientes con planes de soporte Business o Enterprise, AWS Shield Avanzado les proporciona acceso ininterrumpido al SRT, con el que es posible contactarse antes, durante o después de un ataque de DDoS. El SRT lo ayudará a clasificar los incidentes, identificar las causas raíz y aplicar mitigaciones por usted. El SRT tiene una profunda experiencia en la respuesta rápida y mitigación de los ataques de DDoS a través de los clientes de AWS.

    AWS Shield Avanzado está disponible a nivel mundial en todas las ubicaciones periféricas de CloudFront, Global Accelerator y Route 53. Puede proteger sus aplicaciones web hospedadas en cualquier lugar del mundo mediante la implementación de CloudFront por delante de su aplicación. Sus servidores de origen pueden ser Amazon Simple Storage Service (S3), EC2, ELB o un servidor personalizado externo a AWS. También puede activar protecciones directamente en instancias de ELB o IP elástica en todas las regiones de AWS donde Shield Avanzado está disponible.

    Los clientes de AWS Shield Avanzado pueden utilizar AWS Firewall Manager para aplicar las protecciones de AWS WAF y Shield Avanzado en toda la organización. El costo de Firewall Manager está incluido en la cuota de suscripción de Shield Advanced. A través de Firewall Manager puede configurar de forma automática políticas que abarquen varias cuentas y recursos. Firewall Manager audita automáticamente cuentas para encontrar recursos nuevos o sin protección, y garantiza que las protecciones de AWS WAF y Shield Advanced se aplican de forma universal. Esto permite a los desarrolladores moverse rápidamente e implementar nuevas aplicaciones con la seguridad de que las protecciones apropiadas se aplicarán automáticamente. Para obtener más información acerca de este servicio de administración de la seguridad, consulte AWS Firewall Manager.

Director de seguridad de red de AWS Shield (versión preliminar)

Abrir todo

    Obtenga una visión completa de su entorno de AWS a través de una topología de red que muestra las conexiones de recursos, las configuraciones de seguridad y los posibles problemas de seguridad de un vistazo. Esta vista agrupa los recursos por etiquetas y patrones de conectividad, lo que lo ayuda a comprender las relaciones entre los recursos y su exposición a Internet. Esto le permite identificar rápidamente los problemas de seguridad críticos, desde el acceso demasiado permisivo hasta la protección de las aplicaciones contra amenazas como la inyección de código SQL.

    Los recursos reciben un nivel de gravedad en función de sus resultados de seguridad de red más graves para ayudarlo a comprender qué recursos de su entorno están configurados correctamente de acuerdo con el contexto de la red y las prácticas recomendadas e inteligencia de amenazas de AWS. Los resultados se priorizan según el nivel de gravedad en un panel para ayudarlo a determinar fácilmente qué problemas de configuración requieren su atención inmediata.

    Corrija rápidamente los errores de configuración de seguridad de la red mediante los servicios y conjuntos de reglas recomendados para mitigar cada resultado. Las recomendaciones se proporcionan como instrucciones paso a paso.

    Analice los problemas de seguridad de la red en lenguaje natural con el director de seguridad de red de AWS Shield en Amazon Q Developer. Con Amazon Q, puede preguntar sobre los resultados de seguridad de la red, explorar los problemas y recibir recomendaciones de solución desde la Consola de administración de AWS y las aplicaciones de chat.

Protección contra DDoS en la capa de aplicación (L7)

Abrir todo

    La protección contra DDoS en la capa de aplicación (L7) es un grupo de reglas administradas de AWS que está diseñado para defender automáticamente las aplicaciones contra los eventos de denegación de servicio distribuida (DDoS) en cuestión de segundos. Esta característica supervisa los datos de tráfico para establecer una base de referencia a los pocos minutos de la activación y, luego, aprovecha los modelos de machine learning para detectar anomalías en los patrones de tráfico normales. Cuando el tráfico supera la base de referencia establecida o se desvía, el sistema aplica automáticamente reglas diseñadas para ayudar a bloquear las solicitudes malintencionadas. Esta característica está diseñada para garantizar que sus aplicaciones en Amazon CloudFront, el equilibrador de carga de aplicación y API Gateway permanezcan disponibles frente a los eventos de DDoS emergentes.

    La protección contra DDoS en la capa de aplicación (L7) le permite proteger sus aplicaciones sin la complejidad de configurar y administrar las reglas manualmente. Esta característica tiene opciones personalizables para adaptarse a las necesidades de sus aplicaciones, como la configuración de los ajustes de confidencialidad de las reglas y la inspección de rutas de URI de aplicaciones específicas.

    Obtenga más información sobre la protección contra DDoS en la capa de aplicación (L7).

    Diseñado para mitigar los eventos de DDoS emergentes de la capa de aplicación en cuestión de segundos

    Las reglas administradas de AWS para AWS WAF ya están configuradas para que ahorre tiempo

    Personalice su defensa contra DDoS de capa 7 para que se adapte a su aplicación con controles de sensibilidad.