Cómo AWS Shield mitiga los eventos

En esta página se explica cómo funciona la mitigación de eventos de AWS Shield.

La lógica de mitigación que protege su aplicación puede variar en función de la arquitectura de su aplicación. Cuando protege una aplicación web con Amazon CloudFront y Amazon Route 53, se beneficia de las mitigaciones que son específicas de los casos de uso de la web y el DNS y que protegen todo el tráfico de los servicios. Cuando el punto de entrada de su aplicación es un recurso que se ejecuta en una región AWS, la lógica de mitigación varía en función del servicio, el tipo de recurso y el uso que haga de AWS Shield Advanced.

Los sistemas de mitigación de DDoS de AWS están desarrollados por ingenieros de Shield y están estrechamente integrados a los servicios de AWS. Los ingenieros tienen en cuenta aspectos de su arquitectura, como la capacidad y el estado de los recursos específicos. Los ingenieros de Shield supervisan continuamente la eficacia y el rendimiento de los sistemas de mitigación de DDoS y son capaces de responder rápidamente cuando se descubren o anticipan nuevas amenazas.

Puede diseñar su aplicación para que escale en respuesta a un tráfico o una carga elevados, a fin de garantizar que no se vea afectada por oleadas de solicitudes más pequeñas. Si utiliza Shield Advanced para proteger sus recursos, recibirá cobertura contra los aumentos inesperados en su factura de la nube que puedan producirse como resultado de un ataque DDoS.

Mitigaciones de la infraestructura

Para los ataques a la capa de infraestructura, los sistemas de mitigación DDoS de AWS Shield están presentes en el límite de la red de AWS y en las ubicaciones periféricas de AWS. La colocación de varios niveles de controles de seguridad en toda la infraestructura de AWS proporciona una defensa exhaustiva de sus aplicaciones en la nube.

Shield mantiene sistemas de mitigación de DDoS en todos los puntos de entrada desde Internet. Cuando Shield detecta un ataque DDoS, para cada punto de entrada, redirige el tráfico a través de los sistemas de mitigación de DDoS en la misma ubicación. Esto no introduce ninguna latencia adicional observable y proporciona una capacidad de mitigación de más de 100 TeraBits por segundo (Tbps) en todas las regiones de AWS y todas las ubicaciones periféricas. Shield protege la disponibilidad de sus recursos sin redirigir el tráfico a centros de depuración externos o remotos, lo que podría aumentar la latencia.

Mitigaciones en la capa de la aplicación

Shield Advanced proporciona mitigaciones en la capa de aplicaciones web para las distribuciones de Amazon CloudFront y los equilibradores de carga de aplicación en los que ha activado las protecciones de Shield Advanced. Cuando habilita la protección, asocia una ACL web de AWS WAF con el recurso, para activar la detección de la capa de aplicaciones web. Además, tiene la opción de activar la mitigación automática de la capa de aplicaciones, lo que indica a Shield Advanced que administre las protecciones por usted durante un ataque DDoS.

Shield solo ofrece mitigaciones personalizadas para ataques en la capa de aplicación en recursos en los que se haya activado Shield Advanced y la mitigación automática de la capa de aplicación. Con la mitigación automática, Shield Advanced impone límites de tasas de AWS WAF a las solicitudes de fuentes de DDoS conocidas, y agrega y administra automáticamente protecciones de AWS WAF personalizadas en respuesta a los ataques DDoS detectados. Para obtener información detallada sobre las mitigaciones de este tipo, consulte Cómo administra Shield Advanced la mitigación automática.

Una regla basada en tasas en su ACL web, ya sea agregada por usted o por la característica de mitigación automática de la capa de aplicación de Shield Advanced, puede mitigar un ataque antes de que alcance un nivel detectable. Para obtener más información acerca de la detección, consulte Lógica de detección de amenazas de Shield Advanced en la capa de aplicación (capa 7).