Lógica de detección de amenazas de AWS Shield en la capa de infraestructura (capa 3 y capa 4) - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Lógica de detección de amenazas de AWS Shield en la capa de infraestructura (capa 3 y capa 4)

En esta página se explica cómo funciona la detección de eventos en las capas de infraestructura (red y transporte).

La lógica de detección utilizada para proteger recursos de AWS específicos contra los ataques DDoS en las capas de infraestructura (capa 3 y capa 4) depende del tipo de recurso y de si el recurso está protegido con AWS Shield Advanced.

Detección para Amazon CloudFront y Amazon Route 53

Cuando suministra su aplicación web con CloudFront y Route 53, todos los paquetes que llegan a la aplicación son inspeccionados por un sistema de mitigación de DDoS totalmente integrado que no introduce ninguna latencia observable. Los ataques DDoS contra las distribuciones de CloudFront y las zonas alojadas de Route 53 se mitigan en tiempo real. Estas protecciones se aplican independientemente de si utiliza o no AWS Shield Advanced.

Siga las prácticas recomendadas de uso de CloudFront y Route 53 como punto de entrada de su aplicación web siempre que sea posible para detectar y mitigar los eventos de DDoS de la forma más rápida.

Detección para AWS Global Accelerator y servicios regionales

La detección a nivel de recurso protege los aceleradores estándar y los recursos de AWS Global Accelerator que se lanzan en las regiones de AWS, como los equilibrados de carga clásicos, los equilibradores de carga de aplicación y las direcciones IP elásticas (EIP). Estos tipos de recursos se supervisan para detectar un aumento del tráfico que pueda indicar la presencia de un ataque DDoS que deba mitigarse. Cada minuto, se evalúa el tráfico de cada recurso de AWS. Si el tráfico en un recurso es elevado, se realizan comprobaciones adicionales para medir la capacidad del recurso.

Shield realiza las siguientes comprobaciones estándar:

  • Instancias de Amazon Elastic Compute Cloud (Amazon EC2), EIP asociados a instancias de Amazon EC2: Shield recupera la capacidad del recurso protegido. La capacidad depende del tipo de instancia del objetivo, del tamaño de la instancia y de otros factores, como si la instancia utiliza una red mejorada.

  • Equilibradores de carga clásicos y equilibradores de carga de aplicaciones: Shield recupera la capacidad del nodo del equilibrador de carga objetivo.

  • EIP asociados a equilibradores de carga de red: Shield recupera la capacidad del equilibrador de carga objetivo. La capacidad es independiente de la configuración del grupo del equilibrador de carga objetivo.

  • Aceleradores estándar de AWS Global Accelerator: Shield recupera la capacidad, que se basa en la configuración del punto de conexión.

Estas evaluaciones se realizan en varias dimensiones del tráfico de la red, como el puerto y el protocolo. Si se excede la capacidad del recurso objetivo, Shield aplica una mitigación de DDoS. Las mitigaciones implementadas por Shield reducirán el tráfico DDoS, pero es posible que no lo eliminen. Shield también puede realizar una mitigación si se excede una fracción de la capacidad del recurso en una dimensión de tráfico coherente con los vectores de ataque DDoS conocidos. Shield efectúa esta mitigación con un tiempo de vida limitado (TTL), que se prolonga mientras el ataque continúe.

nota

Las mitigaciones implementadas por Shield reducirán el tráfico DDoS, pero puede que no lo eliminen. Puede ampliar Shield con soluciones como AWS Network Firewall o un firewall en el host como iptables para evitar que su aplicación procese tráfico que no sea válido para su aplicación o que no haya sido generado por usuarios finales legítimos.

Las protecciones de Shield Advanced agregan lo siguiente a las actividades de detección de Shield existentes:

  • Umbrales de detección más bajos: Shield Advanced sitúa las mitigaciones a mitad de la capacidad calculada. Esto puede proporcionar una mitigación más rápida de los ataques que se intensifican lentamente y de los ataques que tienen una firma volumétrica más ambigua.

  • Protección contra ataques intermitentes: Shield Advanced asigna a las mitigaciones un tiempo de vida (TTL) que aumenta exponencialmente en función de la frecuencia y la duración de los ataques. Esto mantiene las mitigaciones durante más tiempo cuando se ataca un recurso con frecuencia y cuando un ataque se produce en ráfagas cortas.

  • Detección basada en estado: al asociar una comprobación de estado de Route 53 a un recurso protegido de Shield Advanced, el estado de la comprobación de estado se utiliza en la lógica de detección. Durante un evento detectado, si la comprobación de estado es buena, Shield Advanced requiere mayor confianza en que se trata de un ataque antes de aplicar una mitigación. Si, por el contrario, la comprobación de estado no es buena, Shield Advanced podría aplicar una medida de corrección incluso antes de que se haya establecido la confianza. Esta característica ayuda a evitar los falsos positivos y proporciona una reacción más rápida ante los ataques que afectan a la aplicación. Para obtener información sobre las comprobaciones de estado con Shield Advanced, consulte Detección basada en el estado mediante comprobaciones de estado con Shield Avanzado y Route 53.