¿Cómo puedo defenderme de los ataques DDoS con Shield Estándar?

5 minutos de lectura

Quiero proteger mi aplicación de los ataques de denegación de servicio distribuido (DDoS) con AWS Shield Estándar. ¿Cómo puedo hacerlo?

Descripción corta

AWS Shield Estándar es un servicio administrado de protección contra amenazas que protege el perímetro de su aplicación. Shield Estándar ofrece protección automática contra amenazas sin cargo adicional. Puede utilizar Shield Estándar para proteger su aplicación en la periferia de la red de AWS mediante Amazon CloudFront, AWS Global Accelerator y Amazon Route 53. Estos servicios de AWS reciben protección contra todos los ataques conocidos a la red y a la capa de transporte. Para defenderse de los ataques DDoS de capa 7, puede utilizar AWS WAF.

Para proteger su aplicación de los ataques DDoS con Shield Estándar, se recomienda seguir estas pautas para la arquitectura de su aplicación:

reducir la superficie del área de ataque
prepararse para escalar y absorber el ataque
proteger los recursos expuestos
supervisar el comportamiento
crear un plan para los ataques

Resolución

Reducir la superficie del área de ataque

Para asegurarse de que solo el tráfico esperado llegue a su aplicación, utilice las listas de control de acceso a la red (ACL) y los grupos de seguridad.
Utilice la lista de prefijos administrados de AWS para CloudFront. Puede limitar el tráfico HTTP/HTTPS entrante a sus orígenes únicamente desde las direcciones IP que pertenecen a los servidores orientados al origen de CloudFront.
Implemente los recursos de backend que alojan su aplicación dentro de subredes privadas.
Para reducir la probabilidad de que el tráfico malicioso llegue directamente a su aplicación, evite asignar direcciones IP elásticas a sus recursos de backend.

Para obtener más información, consulte Reducción de la superficie expuesta a ataques.

Prepárese para escalar y absorber el ataque DDoS

Proteja su aplicación en la periferia de la red de AWS con CloudFront, Global Accelerator y Route 53.
Absorba y distribuya el tráfico excesivo con Elastic Load Balancing
Escale horizontalmente bajo demanda con AWS Auto Scaling.
Escale verticalmente con los tipos de instancias de Amazon Elastic Compute Cloud (Amazon EC2) óptimos para su aplicación.
Active las redes mejoradas en sus instancias de Amazon EC2.
Active el almacenamiento en caché de la API para mejorar la capacidad de respuesta.
Optimice el almacenamiento en caché en CloudFront.
Utilice CloudFront Origin Shield para reducir aún más las solicitudes de almacenamiento en caché del contenido en el origen.

Para obtener más información, consulte Mitigation techniques.

Proteger los recursos expuestos

Configure AWS WAF con una regla basada en tasas en el modo de bloqueo para defenderse de los ataques de inundación de solicitudes.
Nota: Necesitará tener configurados CloudFront, Amazon API Gateway, un equilibrador de carga de aplicación o AWS AppSync para utilizar AWS WAF.
Utilice las restricciones geográficas de CloudFront para evitar que los usuarios originarios de países que no desea accedan a su contenido.
Utilice los límites de ráfagas para cada método con las API de REST de Amazon API Gateway a fin de evitar que el punto de conexión de la API se vea abrumado por las solicitudes.
Utilice la identidad de acceso de origen (OAI) con sus buckets de Amazon Simple Storage Service (Amazon S3).
Configure la clave de API como el encabezado X-API-Key de cada solicitud entrante para proteger su Amazon API Gateway contra el acceso directo.

Supervisar el comportamiento

Cree paneles de Amazon CloudWatch para establecer una línea base de las métricas clave de su aplicación, como los patrones de tráfico y el uso de recursos.
Mejore la visibilidad de sus registros de CloudWatch con la solución de registro centralizado.
Configure las alarmas de CloudWatch para escalar automáticamente la aplicación en respuesta a un ataque DDoS.
Cree comprobaciones de estado de Route 53 para supervisar el estado de su aplicación y administrar la conmutación por error de tráfico para su aplicación en respuesta a un ataque DDoS.

Para obtener más información, consulte Monitoreo de Auto Scaling de aplicaciones AWS.

Cree un plan para los ataques DDoS

Desarrolle un runbook por adelantado para que pueda responder a los ataques DDoS de manera eficiente y oportuna. Para obtener recomendaciones sobre cómo crear un runbook, consulte la Guía de respuesta ante incidentes de seguridad de AWS. También puede revisar este runbook de ejemplo.
Utilice el script aws-lambda-shield-engagement para registrar rápidamente un ticket en AWS Support durante un ataque DDoS impactante.
Shield Estándar ofrece protección contra los ataques DDoS basados en la infraestructura que se producen en las capas 3 y 4 del modelo OSI. Para defenderse de los ataques DDoS de capa 7, puede utilizar AWS WAF.

Para obtener más información sobre cómo proteger su aplicación de los ataques DDoS, consulte las prácticas recomendadas de AWS para la resiliencia de DDoS.

Información relacionada

How to help protect dynamic web applications against DDoS attacks by using CloudFront and Route 53

How to protect your web application against DDoS attacks by using Route 53 and an external content delivery network

How to protect a self-managed DNS service against DDoS attacks using AWS Global Accelerator and AWS Shield Advanced

Prueba y ajuste de las protecciones de AWS WAF

¿Cómo se puede simular un ataque DDoS para probar Shield Advanced?

Temas

Seguridad, identidad y cumplimiento

Etiquetas

AWS Shield

Idioma

Español

OFICIAL DE AWSActualizada hace 9 meses

Contenido relevante

¿Cómo se instala un certificado SSL estándar Let's Encrypt en una instancia de Lightsail?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo mitigar los ataques DDoS con AWS WAF?
OFICIAL DE AWSActualizada hace 10 meses
¿Cómo puedo simular un ataque DDoS para probar Shield Avanzado?
OFICIAL DE AWSActualizada hace 9 meses
¿Cómo puede AWS WAF ayudar a prevenir los ataques de inicio de sesión mediante fuerza bruta?
OFICIAL DE AWSActualizada hace 10 meses