Lógica de mitigación de AWS Shield para las regiones AWS - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Lógica de mitigación de AWS Shield para las regiones AWS

En esta página se explica cómo funciona la lógica de mitigación de eventos de Shield en las regiones de AWS.

Los recursos que se lanzan en las regiones AWS están protegidos por sistemas de mitigación de DDoS de AWS Shield colocados mediante la detección a nivel de recursos de Shield. Los recursos regionales incluyen las IP elásticas (EIP), los equilibradores de carga clásicos y los equilibradores de carga de aplicaciones.

Antes de implementar una mitigación, Shield identifica el recurso objetivo y su capacidad. Shield utiliza la capacidad para determinar el tráfico total máximo que sus mitigaciones deberían permitir que se reenvíe al recurso. Las listas de control de acceso (ACL) y otros modeladores incluidos en la mitigación pueden reducir los volúmenes permitidos para parte del tráfico, por ejemplo, el tráfico que coincide con vectores de ataque DDoS conocidos o que no se espera que llegue en gran volumen. Esto limita aun más la cantidad de tráfico que permiten las mitigaciones para ataques de reflexión UDP o para tráfico TCP que tiene indicadores TCP SYN o FIN.

Shield determina la capacidad y coloca las mitigaciones de forma diferente para cada tipo de recurso.

  • En el caso de una instancia Amazon EC2 o una EIP adjunta a una instancia de Amazon EC2, Shield calcula la capacidad en función del tipo de instancia y otros atributos de la instancia, como si la instancia tuviese habilitada la red mejorada.

  • En el caso de un equilibrador de carga de aplicación o un equilibrador de carga clásico, Shield calcula la capacidad de forma individual para cada nodo objetivo del equilibrador de carga. Las mitigaciones de ataques DDoS para estos recursos se proporcionan mediante una combinación de mitigaciones de DDoS de Shield y el escalado automático mediante el equilibrador de carga. Cuando el equipo de respuesta de Shield (SRT) emprende un ataque contra un recurso de equilibrador de carga de aplicación o un equilibrador de carga clásico, es posible que acelere el escalado como medida de protección adicional.

  • Shield calcula la capacidad para algunos recursos de AWS en función de la capacidad disponible de la infraestructura de AWS subyacente. Estos tipos de recursos incluyen equilibradores de carga de red (NLB) y recursos que enrutan el tráfico a través de equilibradores de carga de puerta de enlace o AWS Network Firewall.

nota

Proteja sus equilibradores de carga de red adjuntando EIP protegidos por Shield Advanced. Puede trabajar con SRT para crear mitigaciones personalizadas basadas en el tráfico esperado y la capacidad de la aplicación subyacente.

Cuando Shield aplica una mitigación, los límites de tasa iniciales que Shield define en la lógica de mitigación se aplican por igual a todos los sistemas de mitigación de DDoS de Shield. Por ejemplo, si Shield establece una mitigación con un límite de 100.000 paquetes por segundo (pps), inicialmente permitirá 100.000 pps en cada ubicación. Luego, Shield agrega continuamente métricas de mitigación para determinar la proporción real de tráfico y usa la proporción para adaptar el límite de tasa para cada ubicación. Esto evita los falsos positivos y garantiza que las mitigaciones no sean demasiado permisivas.