Protección contra ataques DDoS y web con AWS Shield y WAF

Clase 60 de 76Curso de AWS Certified Solutions Architect Associate

Clase anteriorSiguiente clase

Resumen

En el contexto de seguridad digital, especialmente para bancos como Nexia Bank, es vital prepararse ante ataques sofisticados que pueden poner en riesgo la operatividad de aplicaciones y servicios críticos. AWS ofrece dos soluciones robustas y diseñadas especialmente para afrontar estos retos: AWS Shield y AWS WAF. Estas herramientas brindan protección efectiva contra ataques específicos como DDoS y exploits web comunes.

¿Cómo protege AWS Shield contra ataques DDoS?

AWS Shield está especialmente diseñado para protegerte contra ataques de tipo DDoS (Distributed Denial of Service), que ocurren cuando los atacantes usan grandes cantidades de solicitudes falsas para saturar los servicios y aplicaciones en línea. Esto puede impedir el acceso legítimo a usuarios reales.

Shield funciona en distintas capas del modelo OSI:

  • Shield Standard (gratuito): Protege en capas tres (red) y cuatro (transporte).
  • Shield Advanced (de pago): Añade la protección en la capa siete (aplicación) y ofrece funcionalidades adicionales como detección personalizada, gestión proactiva ante eventos críticos y acceso directo al equipo Shield Response Team (SRT).

Shield Advanced tiene un costo aproximado de tres mil dólares mensuales por suscripción y requiere un compromiso mínimo de doce meses.

¿Cuáles son los beneficios adicionales de Shield Advanced?

Shield Advanced proporciona múltiples ventajas:

  • Acceso 24/7 al Shield Response Team de AWS.
  • Mitigaciones personalizadas en tiempo real durante ataques.
  • Detección y protección avanzada en múltiples capas, incluida la capa siete.
  • Informes y soporte proactivo durante situaciones críticas.

¿Qué es AWS WAF y cómo ayuda a mantener protegidas las aplicaciones web?

AWS WAF es un firewall de aplicación específicamente diseñado para proteger aplicaciones web de ataques comunes como SQL Injection o Cross Site Scripting (XSS). WAF trabaja principalmente en la capa siete del modelo OSI, dando la capacidad de crear reglas muy específicas y detalladas.

¿Cómo funcionan las reglas en AWS WAF?

Las reglas pueden ser gestionadas de manera personalizada o a través de conjuntos de reglas creadas y mantenidas por AWS y sus socios autorizados, como Fortinet o F5. Algunas características destacadas son:

  • Creación personalizada de listas IP para bloquear o permitir el acceso.
  • Filtrado mediante expresiones regulares (regex).
  • Posibilidad de asociar reglas con servicios globales como CloudFront y regionales como Application Load Balancer, API Gateway o AppSync.

¿Cómo se integra AWS WAF con otros servicios AWS?

La integración con CloudFront permite una protección global al aplicar las reglas directamente en las ubicaciones de borde, cercanas a los usuarios finales, filtrando así solicitudes potencialmente maliciosas antes de que lleguen a la aplicación. Del mismo modo, la protección puede implementarse en servicios regionales:

  • Application Load Balancer.
  • API Gateway.
  • AppSync.
  • Cognito.

¿Cómo configurar y gestionar Shield y WAF desde AWS Console?

Desde la consola de AWS es posible consultar información valiosa respecto a ataques detectados global o regionalmente, además de poder:

  • Configurar y suscribirse a Shield Advanced.
  • Crear, personalizar y validar reglas en AWS WAF de forma visual o mediante JSON para usuarios experimentados.
  • Monitorear ataques, reglas aplicadas y métricas específicas generadas en AWS CloudWatch.

A través de esta consola, también es posible administrar y supervisar la configuración en tiempo real, aplicar ajustes y tomar acciones rápidas ante cualquier amenaza detectada. Con ello, obtienes un control granular sobre la seguridad digital de tus aplicaciones y servicios.

¿Has utilizado alguno de estos servicios para proteger la seguridad digital en tu organización? Comparte tu experiencia.