Decidir si desea suscribirse a protecciones adicionales AWS Shield Advanced y aplicarlas - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Decidir si desea suscribirse a protecciones adicionales AWS Shield Advanced y aplicarlas

Revise los escenarios de esta sección para ayudarte a decidir a qué cuentas suscribirse AWS Shield Advanced y dónde aplicar protecciones adicionales. Con Shield Advanced paga una cuota de suscripción mensual por todas las cuentas creadas en una cuenta de facturación unificada, más las tarifas de uso basadas en los GB de datos transferidos. Para obtener información sobre los precios de Shield Advanced, consulte Precios de AWS Shield Advanced.

Para proteger una aplicación y sus recursos con Shield Advanced, debe suscribir las cuentas que administran la aplicación a Shield Advanced y, a continuación, añadir protecciones a los recursos de la aplicación. Para obtener información sobre la suscripción de cuentas y la protección de los recursos, consulte Configuración de AWS Shield Advanced.

Suscripciones de Shield Advanced y costos de AWS WAF

Su suscripción a Shield Advanced cubre los costos de uso de las capacidades estándar de AWS WAF para aquellos recursos que proteja con Shield Advanced. Las cuotas estándar de AWS WAF que cubre la protección de Shield Advanced son el costo por ACL web, el costo por regla y el precio base por millón de solicitudes de inspección de solicitudes web, hasta 1500 WCU y hasta el tamaño de cuerpo predeterminado.

Al habilitar la mitigación automática de DDoS en la capa de aplicaciones de Shield Advanced, se agrega un grupo de reglas a la ACL web que utiliza 150 unidades de capacidad de ACL web (WCU). Estas WCU se tienen en cuenta para el uso de la WCU en su ACL web. Para obtener más información, consulte Automatización de la mitigación de DDoS en la capa de aplicación con Shield Advanced , Protección de la capa de aplicaciones con el grupo de reglas de Shield Advanced y Comprensión de las unidades de capacidad de ACL web (WCU) de AWS WAF.

Su suscripción a Shield Advanced no cubre el uso de AWS WAF para recursos que no proteja con Shield Advanced. Tampoco cubre ningún costo adicional no estándar de AWS WAF por recursos protegidos. Algunos ejemplos de costos no estándares de AWS WAF son los del control de bots, la acción de la regla CAPTCHA, las ACL web que utilizan más de 1500 WCU y la inspección del cuerpo de la solicitud por encima del tamaño predeterminado. La lista completa se proporciona en la página de precios de AWS WAF.

Para obtener la información completa y ejemplos de precios, consulte Precios de Shield y Precios de AWS WAF.

Facturación de suscripciones de Shield Advanced

Si es un distribuidor de canales de AWS, póngase en contacto con su equipo de cuentas para obtener información y orientación. Esta información de facturación es para clientes que no son distribuidores de canal de AWS.

Para todos los demás, se aplican las siguientes pautas de suscripción y facturación:

  • En el caso de las cuentas que son miembros de una organización de AWS Organizations, AWS factura las suscripciones de Shield Advanced a la cuenta de pagador de la organización, independientemente de si la propia cuenta de pagador está suscrita.

  • Al suscribir varias cuentas que pertenezcan a la misma familia de cuentas de facturación de AWS Organizations consolidada, un único precio de suscripción cubre todas las cuentas suscritas de la familia. La organización debe ser propietaria de todas las Cuentas de AWS y de todos sus recursos.

  • Si suscribe varias cuentas para varias organizaciones, puede seguir pagando una única cuota de suscripción para todas las organizaciones, cuentas y recursos, siempre que sea el propietario de todos ellos. Póngase en contacto con su administrador de cuentas o con el servicio de asistencia de AWS y solicite una exención de las tarifas de suscripción de AWS Shield Advanced para todas las organizaciones excepto una.

Para obtener información detallada sobre precios, consulte Precios de AWS Shield.

Identificación de las aplicaciones que se deben proteger

Considere la posibilidad de implementar las protecciones Shield Advanced para las aplicaciones en las que necesite alguno de los siguientes requisitos:

  • Disponibilidad garantizada para los usuarios de la aplicación.

  • Acceso rápido a expertos en mitigación de DDoS si la aplicación se ve afectada por un ataque DDoS.

  • Toma de conciencia por parte de AWS de que la aplicación podría verse afectada por un ataque DDoS y notifique a sus equipos de seguridad u operaciones los ataques de AWS y su intensificación.

  • Los costos de la nube son predecibles, incluso cuando un ataque DDoS afecta al uso de los servicios de AWS.

Si una aplicación o sus recursos requieren alguno de los requisitos anteriores, considere la posibilidad de crear suscripciones para las cuentas relacionadas.

Identificación de los recursos que se deben proteger

Para cada cuenta suscrita, considere la posibilidad de añadir una protección Shield Advanced a cada recurso que tenga alguna de las siguientes características:

  • El recurso está destinado a usuarios externos de Internet.

  • El recurso está expuesto a Internet y también forma parte de una aplicación crítica. Tenga en cuenta todos los recursos expuestos, independientemente de si tiene la intención de que los usuarios de Internet accedan a ellos.

  • El recurso está protegido por una ACL web de AWS WAF.

Para obtener más información acerca de cómo crear y administrar protecciones para recursos, consulte Protecciones de recursos en AWS Shield Advanced.

Además, siga las recomendaciones de esta guía para garantizar que la arquitectura de su aplicación sea resistente a los ataques DDoS y que haya configurado correctamente las características de Shield Advanced para lograr una protección óptima.