Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo funcionan AWS Shield y Shield Advanced
En esta página se explica la diferencia entre AWS Shield Standard y AWS Shield Advanced. Además, se describen las clases de ataques que Shield detecta.
AWS Shield Standard y AWS Shield Advanced proporcionan protección contra los ataques de denegación de servicio distribuido (DDoS) a los recursos de AWS de las capas de red y transporte (capas 3 y 4) y de la capa de aplicaciones (capa 7). Un ataque DDoS es un ataque en el que varios sistemas comprometidos intentan inundar un objetivo con tráfico. Un ataque DDoS puede impedir que los usuarios finales legítimos accedan a los servicios de destino y puede provocar que el objetivo falle debido a un volumen de tráfico abrumador.
AWS Shield proporciona protección contra una amplia gama de vectores de ataque DDoS y vectores de ataque de día cero conocidos. La detección y mitigación de Shield están diseñadas para brindar cobertura contra las amenazas, incluso si el servicio no las conoce explícitamente en el momento de la detección.
Shield Standard se proporciona automáticamente y sin costo adicional cuando se utiliza AWS. Para obtener mayores niveles de protección contra ataques, puede suscribirse a AWS Shield Advanced.
Entre las clases de ataques que Shield detecta se incluyen las siguientes:
-
Ataques volumétricos de red (capa 3): se trata de una subcategoría de los vectores de ataque a la capa de infraestructura. Estos vectores intentan saturar la capacidad de la red o el recurso objetivo para denegar el servicio a los usuarios legítimos.
-
Ataques de protocolo de red (capa 4): se trata de una subcategoría de los vectores de ataque a la capa de infraestructura. Estos vectores abusan de un protocolo para denegar el servicio al recurso objetivo. Un ejemplo común de ataque a un protocolo de red es una inundación de TCP SYN, que puede agotar el estado de la conexión en recursos como servidores, equilibradores de carga o firewalls. Un ataque de protocolo de red también puede ser volumétrico. Por ejemplo, una inundación TCP SYN mayor puede tener como objetivo saturar la capacidad de una red y, al mismo tiempo, agotar el estado del recurso objetivo o de los recursos intermedios.
-
Ataques a la capa de aplicación (capa 7): esta categoría de vector de ataque intenta denegar el servicio a los usuarios legítimos inundando una aplicación con consultas que son válidas para el objetivo, como las inundaciones de solicitudes web.
Contenido
- Información general de AWS Shield Standard
- Información general de AWS Shield Advanced
- Ejemplos de ataques DDoS
- Cómo detecta AWS Shield los eventos
- Cómo AWS Shield mitiga los eventos
- Lista de las características de mitigación de DDoS de AWS Shield
- Lógica de mitigación AWS Shield para CloudFront y Route 53
- Lógica de mitigación de AWS Shield para las regiones AWS
- Lógica de mitigación de AWS Shield para aceleradores estándar de AWS Global Accelerator
- Lógica de mitigación para IP elásticas de AWS Shield Advanced
- Lógica de mitigación para aplicaciones web de AWS Shield Advanced
