¿Cómo puedo defenderme contra los ataques DDoS con Shield Standard?

Descripción breve

AWS Shield Standard es un servicio gestionado de protección contra amenazas que protege el perímetro de su aplicación. Shield Standard ofrece protección automática contra amenazas sin coste adicional. Puede usar Shield Standard para proteger su aplicación en la periferia de la red de AWS mediante Amazon CloudFront, AWS Global Accelerator y Amazon Route 53. Estos servicios de AWS reciben protección contra todos los ataques conocidos a la red y a la capa de transporte. Para defenderse de los ataques DDoS de capa 7, puede utilizar AWS WAF.

Para proteger su aplicación de los ataques DDoS con Shield Standard, se recomienda seguir estas pautas para la arquitectura de su aplicación:

• Reduzca la superficie del área de ataque
• Prepárese para escalar y absorber el ataque
• Proteja los recursos expuestos
• Supervise el comportamiento de las aplicaciones
• Cree un plan para los ataques

Resolución

Reduzca la superficie del área de ataque

• Para asegurarse de que solo llegue a su aplicación el tráfico previsto, utilice las listas de control de acceso de la red (ACL de la red) y los grupos de seguridad.
• Utilice la lista de prefijos gestionados por AWS para CloudFront. Puede limitar el tráfico HTTP o HTTPS entrante a sus orígenes únicamente desde las direcciones IP que pertenecen a los servidores orientados al origen de CloudFront.
• Despliegue los recursos del backend que alojan su aplicación dentro de subredes privadas.
• Para reducir la probabilidad de que el tráfico malintencionado llegue directamente a su aplicación, evite asignar direcciones IP elásticas a sus recursos de backend.

Para obtener más información, consulte Reducción de la superficie expuesta a ataques.

Prepararse para escalar y absorber el ataque DDoS

• Proteja su aplicación en la periferia de la red de AWS con CloudFront, Global Accelerator y Route 53.
• Absorba y distribuya el exceso de tráfico con Elastic Load Balancing.
• Escale horizontalmente bajo demanda con AWS Auto Scaling.
• Escale verticalmente mediante el uso de los tipos de instancias de Amazon Elastic Compute Cloud (Amazon EC2) óptimos para su aplicación.
• Active las redes mejoradas en sus instancias de Amazon EC2.
• Active el almacenamiento en caché de la API para mejorar la capacidad de respuesta.
• Optimice el almacenamiento en caché en CloudFront.
• Utilice CloudFront Origin Shield para reducir aún más las solicitudes de almacenamiento en caché del contenido en el origen.

Para obtener más información, consulte Técnicas de mitigación.

Proteja los recursos expuestos

• Configure AWS WAF con una regla basada en tasas en modo de bloque para protegerse de los ataques de saturación de solicitudes.
  Nota: Debe tener configurados CloudFront, Amazon API Gateway, el equilibrador de carga de aplicación o AWS AppSync para usar AWS WAF.
• Utilice las restricciones geográficas de CloudFront para evitar que accedan a su contenido usuarios de países a los que no quiere dar acceso.
• Utilice límites de ampliación para cada método con sus API de REST de Amazon API Gateway para evitar que el punto de conexión de la API se vea desbordado por las solicitudes.
• Utilice la identidad de acceso de origen (OAI) con sus buckets de Amazon Simple Storage Service (Amazon S3).
• Configure la clave de la API como el encabezado de X-API-Key de cada solicitud entrante para proteger la Amazon API Gateway contra el acceso directo.

Supervise el comportamiento de las aplicaciones

• Cree paneles de Amazon CloudWatch para establecer un punto de referencia de las métricas clave de la aplicación, como los patrones de tráfico y el uso de recursos.
• Mejore la visibilidad de los registros de CloudWatch con el servicio de Registro centralizado.
• Configure las alarmas de CloudWatch para escalar automáticamente la aplicación en respuesta a un ataque DDoS.
• Cree comprobaciones de estado de Route 53 para supervisar el estado de su aplicación y gestionar la conmutación por error del tráfico de la aplicación en respuesta a un ataque de DDoS.

Para obtener más información, consulte Supervisión de Auto Scaling de aplicaciones.

Crear un plan para los ataques DDoS

• Desarrolle un runbook con antelación para poder responder a los ataques DDoS de manera eficiente y oportuna. Para obtener instrucciones sobre cómo crear un runbook, consulte Guía de respuesta a incidentes de seguridad de AWS. También puede revisar este runbook de ejemplo.
• Utilice el script aws-lambda-shield-engagement para registrar rápidamente un ticket en AWS Support durante un ataque DDoS que tenga impacto.
• Shield Standard ofrece protección contra los ataques DDoS basados en la infraestructura que se producen en las capas 3 y 4 del modelo OSI. Para defenderse de los ataques DDoS de capa 7, puede utilizar AWS WAF.

Para obtener más información sobre cómo proteger su aplicación contra los ataques DDoS, consulte Prácticas recomendadas de AWS para la resiliencia ante los ataques DDoS.

Información relacionada

Cómo ayudar a proteger las aplicaciones web dinámicas contra ataques DDoS mediante CloudFront y Route 53

Cómo proteger su aplicación web contra los ataques DDoS mediante Route 53 y una red de entrega de contenido externa

Cómo proteger un servicio de DNS autogestionado contra ataques DDoS mediante AWS Global Accelerator y AWS Shield Avanzado

Probar y ajustar las protecciones de AWS WAF

¿Cómo puedo simular un ataque DDoS para probar Shield Avanzado?