¿Cómo puedo defenderme contra los ataques DDoS con Shield Standard?

4 minutos de lectura

Quiero proteger mi aplicación de los ataques de denegación de servicio distribuido (DDoS) con AWS Shield Standard.

Descripción corta

AWS Shield Standard está activo de forma predeterminada en tu cuenta de AWS sin coste adicional. Los siguientes servicios tienen mitigaciones estándar de Shield «siempre activadas» contra los ataques comunes a la capa de red y transporte:

Amazon CloudFront para cargas de trabajo de llamadas a procedimientos remotos de HTTP y gRPC
Amazon Route 53 para DNS

Resolución

Para proteger tu aplicación de los ataques DDoS con Shield Standard, se recomienda seguir estas pautas para la arquitectura de tu aplicación:

Usa servicios diseñados para escalar.
Reduce la superficie del área de ataque.
Detecta y filtra el tráfico malintencionado.
Supervisa el comportamiento de las aplicaciones.
Crea un plan para los ataques DDoS.

Uso de servicios diseñados para escalar

Diseña para el tráfico a gran escala con las siguientes prácticas recomendadas:

Protege tu aplicación en la periferia de la red de AWS con CloudFront, Global Accelerator y Route 53.
Distribuye el tráfico con Elastic Load Balancing y, en el caso del Equilibrador de carga de aplicación, reserva una capacidad mínima con [Reservas de capacidad] (http://Reservas de capacidad para tu equilibrador de carga de aplicación).
Amplía horizontal o verticalmente bajo demanda con Application Auto Scaling, que se integra con varios servicios.

Reducción de la superficie del área de ataque

Reduce la superficie expuesta a ataques con las siguientes prácticas recomendadas:

Restringe el acceso a los orígenes de CloudFront. En un origen de Amazon S3, usa Control de acceso de origen (OAC). En un origen que sea una instancia de Equilibrador de carga elástico, Equilibrador de carga de red o EC2, usa los orígenes de VPC. Si actualmente usas una lista de prefijos administrada por CloudFront sin orígenes de VPC, implementa los orígenes de VPC.
Para asegurarte de que solo llegue a tu aplicación el tráfico previsto, usa las listas de control de acceso de la red (ACL de la red) y los grupos de seguridad.
Para reducir la probabilidad de que llegue tráfico malintencionado a tu aplicación, no asignes direcciones IP elásticas públicas a tus recursos de backend.

Para obtener más información, consulta Reducción de la superficie expuesta a ataques.

Detección y filtrado del tráfico malintencionado

Detecta y filtra el tráfico malintencionado con las siguientes prácticas recomendadas:

Usa las prácticas recomendadas de AWS WAF descritas en DDoS Resilience - Using AWS WAF to protect against DDoS Botnets (Resiliencia ante ataques DDoS: uso de AWS WAF para protegerse contra botnets de DDoS).
Nota: Para usar AWS WAF, debes usar Amazon CloudFront, Amazon API Gateway, Equilibrador de carga de aplicación, AWS AppSync o Amazon Cognito.
Usa el almacenamiento en caché de la CDN de CloudFront para reducir las solicitudes almacenables en caché hasta tu origen (consulta DDoS Resilience - the unbelievable importance of HTTP caching (Resiliencia ante ataques DDoS: la increíble importancia del almacenamiento en caché de HTTP).
Activa el almacenamiento en caché de API en API Gateway cuando corresponda y utilices límites de ampliación para cada método con tus API de REST de Amazon API Gateway.

Para obtener más información, consulta Técnicas de mitigación.

Supervisión del comportamiento de las aplicaciones

Supervisa el comportamiento de las aplicaciones con las siguientes prácticas recomendadas:

Crea paneles de Amazon CloudWatch para establecer un punto de referencia de las métricas clave de la aplicación, como los patrones de tráfico y el uso de recursos.
Mejora la visibilidad de tus registros de CloudWatch con la [solución de registro centralizado](http:// https//docs.aws.amazon.com/solutions/latest/centralized-logging-with-opensearch/solution-overview.html).
Configura las alarmas de CloudWatch para escalar automáticamente la aplicación en respuesta a un ataque DDoS.

Para obtener más información, consulta Supervisión del escalamiento automático de aplicaciones.

Creación de un plan para los ataques DDoS

Desarrolla un runbook con antelación para poder responder a los ataques DDoS de manera eficiente y oportuna. Para obtener orientación sobre cómo crear un manual de operaciones, consulta la Guía técnica de AWS Security Incident Response.

Para obtener más información sobre cómo proteger su aplicación contra los ataques DDoS, consulta Prácticas recomendadas de AWS para la resiliencia ante los ataques DDoS.

Información relacionada

Cómo ayudar a proteger las aplicaciones web dinámicas contra ataques DDoS mediante CloudFront y Route 53

Cómo proteger tu aplicación web contra los ataques DDoS mediante Route 53 y una red de entrega de contenido externa

Cómo proteger un servicio de DNS autogestionado contra ataques DDoS mediante AWS Global Accelerator y AWS Shield Avanzado

Prueba y ajuste de las protecciones de AWS WAF

Temas: Security, Identity, & Compliance
Etiquetas: AWS Shield
Idioma: Español

OFICIAL DE AWSActualizada hace 4 meses

Sin comentarios

Contenido relevante

Seguridad entre dos instancias de EC2
cesar_hernandez
preguntada hace 6 meses
Como solucionar el error: Supplied Policy document is breaching Cloudwatch Logs policy length limit.
Respuesta aceptada
Enrique
preguntada hace un año
Minecraft 1.21.124 (Mediafıre Bedrock) Descargar Análisis de latencia y entrega en S3
Goteasanatret
preguntada hace 3 meses
Descargar Film App APK Validación de latencia y permisos de lectura pública en S3
hartist825
preguntada hace 3 meses
Channel is Disconected AWS Agent Migration
SergioCerecer
preguntada hace 9 meses
¿Cómo compruebo si Shield Advanced protege mis recursos de los ataques DDoS?
OFICIAL DE AWSActualizada hace un año
¿Cómo protejo mi aplicación web de las amenazas web con CloudFront y AWS WAF?
OFICIAL DE AWSActualizada hace 8 meses
¿Cómo utilizo AWS WAF para mitigar los ataques DDoS?
OFICIAL DE AWSActualizada hace 8 meses
¿Cómo configuro AWS WAF para proteger mis recursos de ataques comunes?
OFICIAL DE AWSActualizada hace 9 meses