Cómo funcionan AWS Shield and Shield Advanced

AWS Shield Standard y AWS Shield Advanced proporcionan protección contra los ataques de denegación de servicio distribuido (DDoS) a AWS los recursos de las capas de red y transporte (capas 3 y 4) y de la capa de aplicaciones (capa 7). Un ataque DDoS es un ataque en el que varios sistemas comprometidos intentan inundar un objetivo con tráfico. Un ataque DDoS puede impedir que los usuarios finales legítimos accedan a los servicios de destino y puede provocar que el objetivo falle debido a un volumen de tráfico abrumador.

AWS Shield proporciona protección contra una amplia gama de vectores de ataque DDoS y vectores de ataque de día cero conocidos. La detección y mitigación de Shield están diseñadas para brindar cobertura contra las amenazas, incluso si el servicio no las conoce explícitamente en el momento de la detección. Shield Standard se proporciona automáticamente y sin costo adicional cuando se utiliza AWS.

Entre las clases de ataques que Shield detecta se incluyen las siguientes:

• Ataques volumétricos de red (capa 3): se trata de una subcategoría de los vectores de ataque a la capa de infraestructura. Estos vectores intentan saturar la capacidad de la red o el recurso objetivo para denegar el servicio a los usuarios legítimos.

• Ataques de protocolo de red (capa 4): se trata de una subcategoría de los vectores de ataque a la capa de infraestructura. Estos vectores abusan de un protocolo para denegar el servicio al recurso objetivo. Un ejemplo común de ataque a un protocolo de red es una inundación de TCP SYN, que puede agotar el estado de la conexión en recursos como servidores, equilibradores de carga o firewalls. Un ataque de protocolo de red también puede ser volumétrico. Por ejemplo, una inundación TCP SYN mayor puede tener como objetivo saturar la capacidad de una red y, al mismo tiempo, agotar el estado del recurso objetivo o de los recursos intermedios.

• Ataques a la capa de aplicación (capa 7): esta categoría de vector de ataque intenta denegar el servicio a los usuarios legítimos inundando una aplicación con consultas que son válidas para el objetivo, como las inundaciones de solicitudes web.

Contenido

• AWS Shield Standard visión general
• AWS Shield Advanced visión general
  • AWS Shield Advanced recursos protegidos
  • AWS Shield Advanced capacidades y opciones
  • Decidir si desea suscribirse a protecciones adicionales AWS Shield Advanced y aplicarlas
• Ejemplos de ataques DDoS
• Cómo AWS Shield detecta los eventos
  • Lógica de detección de las amenazas en la capa de infraestructura
  • Lógica de detección de amenazas en la capa de aplicación
  • Lógica de detección para varios recursos en una aplicación
• Cómo AWS Shield mitiga los eventos
  • Características de mitigación
  • AWS Shield lógica de mitigación para CloudFront y Route 53
  • AWS Shield lógica de mitigación para AWS las regiones
  • AWS Shield lógica de mitigación para aceleradores AWS Global Accelerator estándar
  • AWS Shield Advanced lógica de mitigación para IP elásticas
  • AWS Shield Advanced lógica de mitigación para aplicaciones web