Shield & WAF + demo

Clase 59 de 75Curso de AWS Certified Solutions Architect Associate

Clase anteriorSiguiente clase

Resumen

La seguridad en la nube es un aspecto crítico para cualquier institución financiera. En un mundo donde los ciberataques son cada vez más sofisticados, contar con herramientas robustas de protección se vuelve esencial. AWS ofrece servicios especializados como Shield y WAF que permiten a organizaciones como Nexia Bank defenderse contra amenazas como ataques DDoS e intentos de explotación de vulnerabilidades web. Estos servicios no solo proporcionan protección en diferentes capas del modelo OSI, sino que también ofrecen opciones personalizables según las necesidades específicas de seguridad de cada organización.

¿Qué es AWS Shield y cómo protege contra ataques DDoS?

AWS Shield es un servicio diseñado específicamente para proteger contra ataques de denegación de servicio distribuido (DDoS). Estos ataques ocurren cuando los atacantes utilizan múltiples bots o endpoints para realizar solicitudes falsas masivas a aplicaciones o servicios, saturándolos hasta el punto de que no pueden atender a usuarios legítimos.

Shield opera en diferentes capas del modelo OSI:

  • Shield Standard: Activado por defecto en todas las cuentas de AWS y completamente gratuito, protege en las capas 3 y 4 (red y transporte).
  • Shield Advanced: Ofrece protección extendida que incluye también la capa 7 (aplicación), proporcionando un cubrimiento más completo.

Características adicionales de Shield Advanced:

  • Acceso al equipo de respuesta de Shield (SRT) disponible 24/7
  • Soporte especializado durante eventos de alta severidad
  • Detección personalizada basada en la salud de los recursos
  • Detección de anomalías en capa 7
  • Mitigaciones personalizadas durante eventos

Shield Advanced tiene un costo de $3,000 mensuales con un compromiso mínimo de 12 meses, pero para organizaciones como bancos donde un ataque exitoso podría resultar en pérdidas mucho mayores, esta inversión puede ser justificable.

¿Cómo funciona AWS WAF y qué tipos de ataques previene?

AWS WAF (Web Application Firewall) es un firewall de aplicación que opera en la capa 7 del modelo OSI. Está diseñado para proteger contra exploits web comunes como:

  • Inyección SQL
  • Cross-Site Scripting (XSS)
  • Otros ataques sofisticados a nivel de aplicación

Capacidades principales de WAF:

  • Creación de reglas personalizadas según necesidades específicas
  • Utilización de reglas administradas por AWS o por socios de AWS
  • Filtrado por IPs específicas
  • Implementación de expresiones regulares para filtrado avanzado
  • Granularidad en la configuración para protección detallada

WAF puede integrarse con varios servicios de AWS:

- CloudFront (distribución global)
- Application Load Balancer
- API Gateway
- AppSync
- Amazon Cognito

¿Cómo se implementa WAF en una arquitectura de AWS?

En una arquitectura típica, WAF se posiciona estratégicamente para filtrar el tráfico antes de que llegue a los recursos protegidos:

  1. Los usuarios (legítimos y atacantes) ingresan a través de CloudFront (ubicación de borde)
  2. WAF desplegado en el borde aplica reglas de seguridad en todas las ubicaciones de borde de AWS
  3. Las solicitudes maliciosas son bloqueadas en el borde, antes de llegar a la aplicación
  4. El tráfico legítimo pasa al balanceador de carga y luego a la aplicación
  5. Los atacantes reciben una respuesta de error sin poder acceder a los recursos protegidos

Beneficio clave: Al implementar WAF en el borde con CloudFront, las reglas se aplican globalmente y más cerca de los usuarios, bloqueando amenazas antes de que consuman recursos de la aplicación.

¿Cómo crear y configurar reglas en AWS WAF?

La creación de reglas en WAF es un proceso flexible que permite diferentes niveles de personalización:

Tipos de reglas disponibles:

  • Reglas propias: Creadas según necesidades específicas
  • Reglas administradas por AWS: Incluyen protecciones predefinidas como:
    • Prevención de fraude en creación de cuentas
    • Control de bots
    • Protecciones básicas
  • Reglas de socios de AWS: Ofrecidas por empresas como Fortinet y F5

Proceso para crear una regla personalizada:

  1. Acceder a la consola de AWS WAF
  2. Crear una Web ACL (Access Control List)
  3. Seleccionar el tipo de recurso a proteger (global o regional)
  4. Elegir la región (si es recurso regional)
  5. Asignar nombre y descripción
  6. Seleccionar recursos a proteger (CloudFront, ALB, API Gateway, etc.)
  7. Crear reglas personalizadas o seleccionar reglas administradas

Para una regla personalizada simple que bloquee tráfico de un país específico:

- Seleccionar "Add my own rules"
- Elegir "Rule Builder"
- Asignar nombre (ej. "filter")
- Configurar statement (ej. bloquear por país de origen)
- Seleccionar acción (Block, Allow, Count)
- Validar y agregar la regla

Funcionalidades adicionales:

  • Priorización de reglas cuando hay múltiples configuradas
  • Integración con métricas de CloudWatch
  • Personalización de respuestas
  • Configuración de registros para análisis posterior

Tip importante: Configurar reglas gestionadas de AWS WAF permite implementar rápidamente mitigación contra amenazas comunes como inyección SQL o bots maliciosos, proporcionando una capa base de protección mientras se desarrollan reglas más específicas.

La implementación efectiva de AWS Shield y WAF proporciona una defensa robusta en múltiples capas contra las amenazas cibernéticas más comunes, permitiendo a organizaciones como Nexia Bank mantener sus servicios disponibles y seguros para sus clientes legítimos mientras bloquean intentos de ataque de manera proactiva.

¿Has implementado alguna vez servicios de seguridad en la nube? Comparte tu experiencia en los comentarios y cuéntanos qué desafíos has enfrentado al proteger aplicaciones web contra ataques modernos.