Lógica de detección de las amenazas en la capa de infraestructura - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Lógica de detección de las amenazas en la capa de infraestructura

La lógica de detección utilizada para proteger AWS los recursos objetivo contra los ataques DDoS en las capas de infraestructura (capa 3 y capa 4) depende del tipo de recurso y de si el recurso está protegido con AWS Shield Advancedél.

Detección para Amazon CloudFront y Amazon Route 53

Cuando suministra su aplicación web con CloudFront Route 53, todos los paquetes que llegan a la aplicación son inspeccionados por un sistema de mitigación de DDoS totalmente integrado, que no introduce ninguna latencia observable. Los ataques DDoS contra CloudFront las distribuciones y las zonas alojadas en Route 53 se mitigan en tiempo real. Estas protecciones se aplican independientemente de si utiliza o no AWS Shield Advanced.

Siga la práctica recomendada de utilizar CloudFront Route 53 como punto de entrada de su aplicación web siempre que sea posible para detectar y mitigar los eventos de DDoS con la mayor rapidez.

Detección para AWS Global Accelerator servicios regionales

La detección a nivel de recursos protege los aceleradores y recursos AWS Global Accelerator estándar que se lanzan en AWS las regiones, como los balanceadores de carga clásicos, los balanceadores de carga de aplicaciones y las direcciones IP elásticas (EIP). Estos tipos de recursos se supervisan para detectar un aumento del tráfico que pueda indicar la presencia de un ataque DDoS que deba mitigarse. Cada minuto, se evalúa el tráfico de cada recurso de AWS . Si el tráfico en un recurso es elevado, se realizan comprobaciones adicionales para medir la capacidad del recurso.

Shield realiza las siguientes comprobaciones estándar:

  • Instancias de Amazon Elastic Compute Cloud (Amazon EC2), EIP asociados a instancias de Amazon EC2: Shield recupera la capacidad del recurso protegido. La capacidad depende del tipo de instancia del objetivo, del tamaño de la instancia y de otros factores, como si la instancia utiliza una red mejorada.

  • Equilibradores de carga clásicos y equilibradores de carga de aplicaciones: Shield recupera la capacidad del nodo del equilibrador de carga objetivo.

  • EIP asociados a equilibradores de carga de red: Shield recupera la capacidad del equilibrador de carga objetivo. La capacidad es independiente de la configuración del grupo del equilibrador de carga objetivo.

  • AWS Global Accelerator aceleradores estándar: Shield recupera la capacidad, que se basa en la configuración del punto final.

Estas evaluaciones se realizan en varias dimensiones del tráfico de la red, como el puerto y el protocolo. Si se excede la capacidad del recurso objetivo, Shield aplica una mitigación de DDoS. Las mitigaciones implementadas por Shield reducirán el tráfico DDoS, pero es posible que no lo eliminen. Shield también puede realizar una mitigación si se excede una fracción de la capacidad del recurso en una dimensión de tráfico coherente con los vectores de ataque DDoS conocidos. Shield efectúa esta mitigación con un tiempo de vida limitado (TTL), que se prolonga mientras el ataque continúe.

nota

Las mitigaciones implementadas por Shield reducirán el tráfico DDoS, pero puede que no lo eliminen. Puede aumentar Shield con soluciones como AWS Network Firewall o un firewall en el host iptables para evitar que su aplicación procese el tráfico que no es válido para su aplicación o que no fue generado por usuarios finales legítimos.

Las protecciones de Shield Advanced agregan lo siguiente a las actividades de detección de Shield existentes:

  • Umbrales de detección más bajos: Shield Advanced sitúa las mitigaciones a mitad de la capacidad calculada. Esto puede proporcionar una mitigación más rápida de los ataques que se intensifican lentamente y de los ataques que tienen una firma volumétrica más ambigua.

  • Protección contra ataques intermitentes: Shield Advanced asigna a las mitigaciones un tiempo de vida (TTL) que aumenta exponencialmente en función de la frecuencia y la duración de los ataques. Esto mantiene las mitigaciones durante más tiempo cuando se ataca un recurso con frecuencia y cuando un ataque se produce en ráfagas cortas.

  • Detección basada en estado: al asociar una comprobación de estado de Route 53 a un recurso protegido de Shield Advanced, el estado de la comprobación de estado se utiliza en la lógica de detección. Durante un evento detectado, si la comprobación de estado es buena, Shield Advanced requiere mayor confianza en que se trata de un ataque antes de aplicar una mitigación. Si, por el contrario, la comprobación de estado no es buena, Shield Advanced podría aplicar una medida de corrección incluso antes de que se haya establecido la confianza. Esta característica ayuda a evitar los falsos positivos y proporciona una reacción más rápida ante los ataques que afectan a la aplicación. Para obtener información sobre las comprobaciones de estado con Shield Advanced, consulte Detección basada en la salud mediante controles de salud.