Mitigación avanzada de DDoS (Capa 7)
NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.
AWS ofrece de manera gratuita un servicio de protección ante ataques de denegación de servicio llamado AWS Shield Standard, que está activado en todas las cuentas (incluso las que usan sólo Free tier). El servicio protege ataques volumétricos de capa 3-4 como syn floods y udp reflection.
Opcionalmente, los clientes pueden elegir activar AWS Shield Advanced para una mayor protección de sus cargas en la nube.
AWS Shield Standard vs AWS Shield Advanced
AWS Shield Advanced complementa el servicio del estándar agregándole múltiples capacidades:
Mejoras con AWS Shield Advanced
- Ganan protección ante ataques en la capa aplicativa (capa 7) como HTTP Floods, DNS Query Floods, y en la capa de presentación (6) como TLS Abuse.
- Acceso a un equipo de respuesta a incidentes que los ayuda a filtrar el tráfico malicioso y agregar las protecciones correspondientes, incluso haciendo análisis manual del tráfico. El equipo también provee apoyo preventivo analizando sus arquitecturas para evaluar la resiliencia ante ataques de denegación de servicio y proponerles mejoras.
- Si su infraestructura (balanceadores, ec2, etc) escala como resultado de un ataque de denegación de servicios, AWS Shield Advanced les permite recuperar ese costo.
- Provee métricas que pueden analizar con Amazon CloudWatch, y visualización del estado actual de situación global de ataques de DDoS.
- Incluye el uso ilimitado de AWS WAF y AWS Firewall manager (ver mas detalles aquí )
Alternativas a AWS Shield Advanced
Para mitigar los ataques DDoS de capa 7, le recomendamos encarecidamente que utilice un servicio elástico y que no implemente dispositivos virtuales en su cuenta, ya que el volumen de un ataque DDoS puede sobrepasar la capacidad de escalado automático. Si desea utilizar un servicio de terceros, como CloudFlare o Akamai, asegúrese de que las capacidades de mitigación de DDoS estén incluidas en su servicio y tenga en cuenta que, al configurar una red de distribución de contenido de terceros, estará apuntando sus nombres de dominio allí y, si su servicio falla o no puede mitigar un DDoS grande, el tráfico no llegará a su cuenta de AWS.
Mitigación de riesgos
- Reduce el impacto en los costos si los adversarios realizan criptominería o lanzan recursos para unirse a una botnet.
Guía para evaluar su grado de alineación
- Es válido utilizar una solución de terceros para mitigar ataques DDoS L7, siempre que existan controles para garantizar que todas las cargas de trabajo de la organización estén protegidas por ese servicio (consistencia), y que tenga contratadas las funciones de mitigación de DDoS, ya que a menudo se licencian por separado de la CDN.
- ¿Ha habilitado Shield Advanced?
- ¿Tiene soporte Entreprise o Business?
- ¿Ha configurado controles de estado (Healthchecks) en aplicaciones importantes?
- ¿Ha agregado todos los recursos (ALB/APIGW…) como recursos protegidos para Shield Advanced? (nota: puede usar AWS Firewall Manager para hacer esto sin costo adicional)
- ¿Ha configurado la remediación automática?