Preguntas frecuentes acerca de AWS Shield

Aspectos generales

AWS Shield es un servicio administrado que protege a aplicaciones web que se ejecutan en AWS contra ataques de denegación distribuida de servicio (DDoS). AWS Shield Standard se habilita automáticamente para todos los clientes de AWS sin costo adicional. AWS Shield Advanced es un servicio de pago opcional. AWS Shield Advanced ofrece protecciones adicionales ante los ataques más grandes y sofisticados para las aplicaciones que se ejecutan en Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Route 53.

AWS Shield Standard proporciona protección para todos los clientes de AWS ante ataques comunes que normalmente ocurren en la infraestructura (capas 3 y 4) como ataques flood SYN/UDP, ataques de reflexión y de otros tipos, para respaldar la alta disponibilidad de las aplicaciones en AWS.

AWS Shield Advanced ofrece una protección optimizada para las aplicaciones que se ejecutan en recursos protegidos de Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Route 53 contra ataques mayores y más sofisticados. La protección de AWS Shield Advanced ofrece monitorización de flujo siempre activa del tráfico de red y monitorización de aplicaciones activas para proporcionar notificaciones casi en tiempo real de supuestos incidentes de DDoS. AWS Shield Advanced también emplea técnicas avanzadas de enrutamiento y mitigación de ataques para aplacarlos automáticamente. Los clientes con nivel de soporte técnico Business o Enterprise también pueden comunicarse con el equipo de respuesta de Shield (SRT) en cualquier momento para administrar y mitigar los ataques de DDoS en la capa de la aplicación. La protección de los costos de DDoS para el escalado impide que la factura de AWS aumente debido a los picos de uso de Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Amazon Route 53 protegidos durante un ataque de DDoS.

AWS Shield Advanced incluye protección de costos contra DDoS, una característica que evita el incremento de los cargos como resultado de un ataque de DDoS que puede provocar picos de uso en recursos protegidos de Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator o Amazon Route 53. Si cualquiera de estos recursos protegidos de AWS Shield Advanced se escala como respuesta a un ataque DDoS, puede solicitar créditos a través del canal habitual de AWS Support.

Sí, AWS Shield se integra con Amazon CloudFront, que admite los orígenes personalizados ajenos a AWS.

Sí. Toda la detección y las mitigaciones de AWS Shield funcionan con IPv6 y IPv4 sin cambios apreciables en el rendimiento, la escalabilidad o la disponibilidad del servicio.

La política de uso aceptable de AWS describe los comportamientos permitidos y prohibidos en AWS, e incluye las descripciones de las violaciones de seguridad prohibidas y el abuso de las redes. No obstante, puesto que las pruebas de simulación DDoS, las pruebas de intrusión y otros eventos simulados en muchas ocasiones no pueden distinguirse de dichas actividades, hemos establecido algunas políticas para que los clientes soliciten permiso antes de realizar pruebas de DDoS, intrusión o análisis de vulnerabilidad. Visite nuestra página de pruebas de penetración y la política de pruebas de simulación DDoS para más detalles.

AWS Shield Standard se encuentra disponible en todos los servicios de AWS en todas las regiones de AWS y ubicaciones de borde de AWS de todo el mundo.

Consulte Productos y servicios regionales para obtener más información sobre la disponibilidad de AWS Shield Estándar por región.

AWS Shield Advanced está disponible a nivel mundial en todas las ubicaciones de borde de Amazon CloudFront, AWS Global Accelerator y Amazon Route 53 de todo el mundo. Puede proteger sus aplicaciones web alojadas en cualquier lugar del mundo mediante la implementación de Amazon CloudFront por delante de su aplicación. Sus servidores de origen pueden ser Amazon Simple Storage Service (S3), Amazon EC2, Elastic Load Balancing o un servidor personalizado externo a AWS. También puede habilitar directamente AWS Shield Avanzado en Elastic Load Balancing o Amazon EC2 en las siguientes regiones de AWS: Norte de Virginia, Ohio, Oregón, Norte de California, Montreal, São Paulo, Irlanda, Fráncfort, Londres, París, Estocolmo, Singapur, Tokio, Sídney, Seúl, Mumbai, Milán, Ciudad del Cabo, Hong Kong, Baréin, Malasia y EAU.

Consulte los Productos y servicios regionales para obtener información actualizada sobre la disponibilidad de AWS Shield Avanzado por región.

Sí, AWS amplió su programa de conformidad con HIPAA para incluir AWS Shield como un servicio compatible con HIPAA. Si tiene un Acuerdo de Asociado de Negocios (BAA) con AWS, puede usar AWS Shield para proteger sus aplicaciones web que funcionan en AWS de ataques de Distributed Denial of Service (DDoS). Para obtener más información, consulte Conformidad con HIPAA.

Configuración de las protecciones

AWS Shield Standard proporciona protección automática para aplicaciones web que se ejecutan en AWS ante los ataques que normalmente ocurren en la capa de la infraestructura como UDP floods y ataques de agotamiento de estado como TCP SYN floods. Los clientes también pueden usar AWS WAF para protegerse ante ataques en la capa de la aplicación como HTTP POST o GET floods. Consulte la Guía para desarrolladores de AWS WAF y AWS Shield Avanzado para obtener más información sobre cómo implementar protecciones en la capa de la aplicación.

No hay límite para el número de recursos sujetos a la protección de AWS Shield Standard. Para disfrutar de todos los beneficios de las protecciones de AWS Shield Estándar, siga las prácticas recomendadas de resistencia ante DDoS en AWS.

Puede habilitar hasta 1000 recursos de AWS de cada tipo de recurso compatible (equilibradores de carga de aplicaciones/clásicos, distribuciones de Amazon CloudFront, zonas de alojamiento de Amazon Route 53, IP elásticas, aceleradores de AWS Global Accelerator) para que reciban la protección avanzada de AWS Shield. Si desea habilitar más de 1000, puede solicitar un aumento del límite creando un caso de AWS Support.

Sí. AWS Shield Advanced se puede activar mediante las API. También puede agregar o eliminar recursos de AWS de la protección de AWS Shield Advanced mediante las API.

Normalmente, el 99% de los ataques en la capa de la infraestructura detectados por AWS Shield se mitigan en menos de 1 segundo para ataques en Amazon CloudFront y Amazon Route 53, y en menos de 5 minutos para ataques en Elastic Load Balancing. El 1% restante de los ataques en la infraestructura se suelen mitigar en menos de 20 minutos. Los ataques en la capa de la aplicación se mitigan escribiendo reglas en AWS WAF, que se inspeccionan y mitigan en línea con el tráfico entrante.

Sí. Algunos de nuestros clientes optan por utilizar puntos de enlace de AWS frente a sus instancias de backend. La mayoría de las veces, estos puntos de enlace son nuestros servicios con distribución global CloudFront y Route 53. Estos son los servicios que también sugerimos como práctica recomendada para la resiliencia ante ataques DDoS. Los clientes pueden proteger estas distribuciones de CloudFront y zonas alojadas de Route 53 con Shield Advanced. Tenga en cuenta que debe bloquear los recursos de backend para que acepten únicamente el tráfico proveniente de estos puntos de enlace de AWS.

Respuesta ante ataques

AWS Shield Standard protege automáticamente sus aplicaciones web que se ejecutan en AWS ante los ataques DDoS que se producen con mayor frecuencia. Puede disfrutar de todos los beneficios de AWS Shield Standard siguiendo las prácticas recomendadas de resistencia a DDoS en AWS.

AWS Shield Advanced administra la mitigación de ataques DDoS en las capas 3 y 4. Esto implica que las aplicaciones designadas están protegidas ante ataques como inundaciones UDP o TCP SYN. Además, para los ataques en la capa de la aplicación (capa 7), AWS Shield Advanced puede detectar ataques como inundaciones HTTP y DNS. Puede utilizar AWS WAF para aplicar sus propias mitigaciones o, si tiene soporte técnico de nivel Business o Enterprise, puede comunicarse con el equipo de respuesta de AWS Shield (SRT) de AWS en cualquier momento, que puede escribir reglas por usted para mitigar ataques DDoS en la capa 7.

Sí, debe tener un plan de soporte Business o Enterprise para remitir el problema al equipo de respuesta de AWS Shield (SRT) o entrar en contacto con este. Para obtener más detalles sobre los planes de AWS Support, consulte el sitio web de AWS Support.

Puede comunicarse con el equipo de respuesta de AWS Shield (SRT) a través del canal habitual de AWS Support o puede comunicarse con AWS Support.

Los tiempos de respuesta del SRT dependen del plan de AWS Support al que esté suscrito. Haremos todo lo posible por responder a su solicitud inicial en los plazos correspondientes. Para obtener más detalles sobre los planes de AWS Support, consulte el sitio web de AWS Support.

Visibilidad e informes

Sí. Con AWS Shield Advanced recibirá una notificación de ataques de DDoS a través de las métricas de CloudWatch.

Normalmente AWS Shield Advanced proporciona la notificación de un ataque a los pocos minutos de la detección.

Sí. Con AWS Shield Advanced podrá ver el historial de todos los incidentes en los últimos 13 meses.

Sí, los clientes de AWS Shield Advanced obtienen acceso al panel del entorno de amenazas globales, que ofrece una vista anonimizada y muestreada de todos los ataques DDoS encontrados en AWS en las últimas dos semanas.

AWS WAF incluye dos formas diferentes de ver cómo se protege el sitio web: las métricas de un minuto están disponibles en CloudWatch y las solicitudes web con muestras están disponibles en la API de AWS WAF o en la consola de administración de AWS. Además, puede habilitar registros completos que se entregan a través de Amazon Kinesis Firehose al destino que elija. De ese modo, puede ver las solicitudes bloqueadas, permitidas o contadas y qué regla se aplicó para una solicitud determinada (es decir, esta solicitud web se bloqueó debido a una condición de la dirección IP, etc.). Para obtener más información, consulte la Guía para desarrolladores de AWS WAF y AWS Shield Avanzado.

Consulte la sección Pruebas de intrusión en AWS. Sin embargo, no se incluye una “prueba de carga de DDoS”, que no está autorizada en AWS. Si desea realizar una prueba de DDoS en directo, puede solicitar su aprobación mediante el envío de un ticket a través de AWS Support. La aprobación está sujeta al acuerdo en relación con las condiciones de la prueba entre AWS, el cliente y el proveedor que realizará la prueba de DDoS. Tenga en cuenta que trabajamos únicamente con proveedores de pruebas de DDoS aprobados y que el proceso completo demora de 3 a 4 semanas.

Facturación

AWS Shield Standard está integrado en los servicios de AWS que ya utiliza para sus aplicaciones web. El uso de AWS Shield Standard no implica costos adicionales.

Con AWS Shield Advanced, paga una tarifa mensual de 3000 USD al mes por organización. Además, también paga las tarifas de uso de transferencia de datos de AWS Shield para recursos de AWS habilitados para la protección avanzada. Los cargos de AWS Shield Advanced se agregan a las tarifas estándar de Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator y Amazon Route 53. Consulte la página de precios de AWS Shield para conocer más detalles.

Sí, AWS Shield Advanced le permite la flexibilidad de elegir los recursos que desea proteger. Solo se le cobrará por la transferencia de datos de AWS Shield Advanced en estos recursos protegidos.

Si su organización tiene varias cuentas de AWS, puede suscribir varias cuentas de AWS a AWS Shield Advanced habilitándolas de forma individual en cada cuenta con la consola de administración de AWS o la API. Pagará una sola cuota mensual siempre y cuando las cuentas de AWS se encuentren dentro de una misma factura consolidada y usted sea el propietario de todas las cuentas y recursos de AWS de esas cuentas.