AWS Shield Advanced protecciones por tipo de recurso - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Shield Advanced protecciones por tipo de recurso

Shield Advanced protege AWS los recursos en las capas de red y transporte (capas 3 y 4) y en la capa de aplicación (capa 7). Puede proteger algunos recursos directamente y otros asociándolos a recursos protegidos. Shield Advanced es compatible con IPv4 y no con IPv6.

En esta sección, se proporciona información sobre las protecciones de Shield Advanced para cada tipo de recurso.

nota

Shield Advanced protege solo los recursos que haya especificado en Shield Advanced o mediante una política avanzada de Shield Advanced de AWS Firewall Manager . No protege automáticamente sus recursos.

Puede usar Shield Advanced para una supervisión y protección avanzadas con los siguientes tipos de recursos:

  • CloudFront Distribuciones de Amazon. Para CloudFront un despliegue continuo, Shield Advanced protege cualquier distribución provisional que esté asociada a una distribución principal protegida.

  • Zonas alojadas de Amazon Route 53.

  • AWS Global Accelerator aceleradores estándar.

  • Direcciones IP elásticas de Amazon EC2. Shield Advanced protege los recursos asociados a las direcciones IP elásticas protegidas.

  • Instancias de Amazon EC2, mediante la asociación a direcciones IP elásticas de Amazon EC2.

  • Los siguientes equilibradores de carga Elastic Load Balancing (ELB):

    • Equilibradores de carga de aplicación.

    • Equilibradores de carga clásicos.

    • Equilibradores de carga de red, mediante asociaciones a direcciones IP elásticas de Amazon EC2.

No puede usar Shield Advanced para proteger ningún otro tipo de recurso. Por ejemplo, no puede proteger los aceleradores de enrutamiento personalizados de AWS Global Accelerator ni los equilibradores de carga de puerta de enlace.

Puede supervisar y proteger hasta un máximo de 1000 recursos de cada uno de estos tipos de recursos por cuenta de Cuenta de AWS. Por ejemplo, en una sola cuenta, podría proteger 1000 direcciones IP elásticas de Amazon EC2, 1000 CloudFront distribuciones y 1000 balanceadores de carga de aplicaciones. Puede solicitar un aumento del número de recursos que puede proteger con Shield Advanced a través de la consola Service Quotas en https://console.aws.amazon.com/servicequotas/.

Protección de las instancias Amazon EC2 y los equilibradores de carga de red con Shield Advanced

Puede proteger las instancias Amazon EC2 y los equilibradores de carga de red adjuntando primero estos recursos a las direcciones IP elásticas y, a continuación, protegiendo las direcciones IP elásticas en Shield Advanced.

Al proteger las direcciones IP elásticas, Shield Advanced identifica y protege los recursos a los que están conectadas. Shield Advanced identifica automáticamente el tipo de recurso que está adjunto a una dirección IP elástica y aplica las detecciones y mitigaciones adecuadas para ese recurso. Esto incluye la configuración de ACL de red que son específicas de la dirección IP elástica. Para obtener más información sobre el uso de direcciones IP elásticas con sus recursos de AWS , consulte la siguiente guía: Documentación de Amazon Elastic Compute Cloud o Documentación del Equilibrador de carga elástico.

Durante un ataque, Shield Advanced despliega automáticamente las ACL de la red en el borde de la AWS red. Cuando las ACL de red están en el borde de la red, Shield Advanced puede proporcionar protección contra eventos de DDoS más grandes. Normalmente, las ACL de red se aplican cerca de sus instancias de Amazon EC2 dentro de su Amazon VPC. La ACL de red puede mitigar ataques tan grandes como el volumen que puedan gestionar la instancia y Amazon VPC. Por ejemplo, si la interfaz de red conectada a su instancia Amazon EC2 puede procesar hasta 10 Gbps, los volúmenes superiores a 10 Gbps se ralentizarán y posiblemente bloquearán el tráfico hacia esa instancia. Durante un ataque, Shield Advanced promueve la ACL de red a la frontera de AWS , lo que permite procesar varios terabytes de tráfico. Su ACL de red puede proporcionar protección a sus recursos más allá de la capacidad normal de su red. Para obtener más información acerca de las ACL de red, consulte ACL de red.

Algunas herramientas de escalado AWS Elastic Beanstalk, por ejemplo, no permiten adjuntar automáticamente una dirección IP elástica a un Network Load Balancer. En esos casos, debe adjuntar manualmente la dirección IP elástica.