AWS Shield - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Shield

La protección contra los ataques de denegación de servicio distribuido (DDoS) es de vital importancia para las aplicaciones con acceso a Internet. Al crear su aplicación AWS, puede hacer uso de las protecciones que se AWS proporcionan sin costo adicional. Además, puede utilizar el servicio de protección AWS Shield Advanced gestionada contra amenazas para mejorar su nivel de seguridad con funciones adicionales de detección, mitigación y respuesta a los ataques DDoS.

AWS se compromete a proporcionarle las herramientas, las mejores prácticas y los servicios que le ayudarán a garantizar una alta disponibilidad, seguridad y resiliencia en su defensa contra los actores maliciosos de Internet. Esta guía se facilita para ayudar a los responsables de la toma de decisiones de TI y a los ingenieros de seguridad a entender cómo utilizar Shield y Shield Advanced para proteger mejor sus aplicaciones de los ataques DDoS y otras amenazas externas.

Cuando crea su aplicación AWS, recibe protección automática AWS contra los vectores de ataque DDoS volumétricos más comunes, como los ataques de reflexión UDP y las inundaciones de TCP SYN. Puede aprovechar estas protecciones para garantizar la disponibilidad de las aplicaciones en las que se ejecuta diseñando y AWS configurando su arquitectura para que sea resistente a los ataques DDoS.

Esta guía proporciona recomendaciones que pueden ayudarle a diseñar, crear y configurar las arquitecturas de sus aplicaciones para que sean resistentes a los ataques DDoS. Las aplicaciones que sigan las prácticas recomendadas en esta guía pueden beneficiarse de una mayor continuidad de la disponibilidad cuando sean objeto de ataques DDoS de mayor envergadura y de una gama más amplia de vectores de ataque DDoS. Además, esta guía le muestra cómo usar Shield Advanced para implementar un nivel de protección DDoS optimizado para sus aplicaciones esenciales. Estas incluyen las aplicaciones para las que ha garantizado un cierto nivel de disponibilidad para sus clientes y aquellas que requieren soporte operativo AWS durante los eventos de DDoS.

La seguridad es una responsabilidad compartida entre usted AWS y usted. El modelo de responsabilidad compartida la describe como seguridad de la nube y seguridad en la nube:

  • Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los programas de conformidad de AWS. Para obtener más información sobre los programas de conformidad que se aplican a Shield Advanced, consulte Servicios de AWS en el ámbito del programa de conformidad.

  • Seguridad en la nube: su responsabilidad viene determinada por el AWS servicio que utilice. Usted también es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.

Un diagrama muestra un rectángulo dividido horizontalmente. La mitad superior se titula Cliente: responsabilidad por la seguridad “en” la nube y la mitad inferior, AWS: responsabilidad por la seguridad “de” la nube. La mitad superior de clientes consta de cuatro niveles. El primero es Datos de clientes. El segundo es Gestión de plataforma, aplicaciones, identidad y acceso. El tercero es Configuración del sistema operativo, la red y el firewall. El cuarto y último nivel del área de clientes se divide en tres secciones contiguas. La de la izquierda es Datos del cliente, cifrado e integridad de los datos y autenticación. La del medio es Cifrado del servidor (sistema de archivos y/o datos). La de la derecha es Protección del tráfico de red (cifrado, integridad, identidad). Con esto se concluye el contenido de la mitad superior de clientes de la figura. La AWS mitad inferior de la figura contiene un nivel denominado Software en la parte superior y, debajo, un nivel denominado Hardware/infraestructura AWS global. El nivel de software se divide en cuatro subsecciones contiguas: Computación, Almacenamiento, Base de datos, Redes. El nivel de hardware se divide en tres subsecciones que están una al lado de la otra y son Regiones, Zonas de disponibilidad y Ubicaciones periféricas.