Su empresa planea alojar una gran aplicación de comercio electrónico en la nube de AWS. Una de sus principales preocupaciones son los ataques de Internet, como los ataques DDoS. ¿Cuál de los siguientes servicios puede ayudar a mitigar esta preocupación? Elija 2 respuestas de las opciones dadas a continuación.

Pregunta

Su empresa planea alojar una gran aplicación de comercio electrónico en la nube de AWS.

Una de sus principales preocupaciones son los ataques de Internet, como los ataques DDoS.

¿Cuál de los siguientes servicios puede ayudar a mitigar esta preocupación? Elija 2 Respuestas de las opciones dadas a continuación.

Respuestas

A. Frente a la nube

B. Escudo AWS

C AWS EC2

D. Configuración de AWS.

Respuesta Correcta

A.BCD

Respuesta - A y B.

La documentación de AWS menciona lo siguiente sobre los ataques DDoS.

Servicios de AWS para la mitigación de ataques DDoS.

AWS ofrece servicios resilientes y de alto ancho de banda de red distribuidos globalmente que, cuando se usan junto con estrategias específicas de la aplicación, son clave para mitigar los ataques DDoS.

Para obtener más información sobre cómo aprovechar cada uno de estos servicios y detalles sobre cómo sus diversas características ayudan a protegerse contra los ataques DDoS, consulte el documento técnico Prácticas recomendadas de AWS para la resiliencia de DDoS.

Escudo AWS.

AWS Shield es un servicio de protección DDoS administrado que está disponible en dos niveles: Estándar y Avanzado.

AWS Shield Standard aplica técnicas de detección permanente y mitigación en línea, como el filtrado de paquetes determinista y el modelado de tráfico basado en prioridades, para minimizar el tiempo de inactividad y la latencia de las aplicaciones.

AWS Shield Standard se incluye de forma automática y transparente en sus balanceadores de carga de Elastic Load Balancing, distribuciones de Amazon CloudFront y recursos de Amazon Route 53 sin costo adicional.

Cuando utiliza estos servicios que incluyen AWS Shield Standard, recibe una protección de disponibilidad integral contra todos los ataques conocidos a la capa de infraestructura.

Los clientes que tienen la experiencia técnica para administrar su propio monitoreo y mitigación de los ataques de la capa de aplicación pueden usar AWS Shield junto con las reglas de AWS WAF para crear una estrategia integral de mitigación de ataques DDoS.

AWS Shield Advanced proporciona detección y monitoreo mejorados de ataques DDoS para el tráfico de la capa de aplicación a sus balanceadores de carga de Elastic Load Balancing, distribuciones de CloudFront, zonas alojadas de Amazon Route 53 y recursos adjuntos a una dirección IP elástica, como instancias de Amazon EC2.

AWS Shield Advanced utiliza técnicas adicionales para proporcionar detección granular de ataques DDoS, como el monitoreo de tráfico específico de recursos para detectar inundaciones HTTP o inundaciones de consultas DNS.

AWS Shield Advanced incluye acceso las 24 horas, los 7 días de la semana al equipo de respuesta DDoS (DRT) de AWS, expertos en soporte que aplican mitigaciones manuales para ataques DDoS más complejos y sofisticados, crean o actualizan directamente las reglas de AWS WAF y pueden recomendar mejoras para sus arquitecturas de AWS.

AWS WAF se incluye sin costo adicional para los recursos que protege con AWS Shield Advanced.

AWS Shield Advanced incluye acceso a métricas e informes casi en tiempo real, para una amplia visibilidad de los ataques DDoS de la capa de infraestructura y la capa de aplicación.

Puede combinar las métricas de AWS Shield Advanced con métricas de AWS WAF adicionales y ajustadas para obtener una estrategia de monitoreo y alarmas de CloudWatch más completa.

Los clientes suscritos a AWS Shield Advanced también pueden solicitar un crédito por los cargos que resulten del escalado durante un ataque DDoS en recursos protegidos de Amazon EC2, Amazon CloudFront, Elastic Load Balancing o Amazon Route 53.

Consulte la Guía para desarrolladores de AWS Shield para obtener una comparación detallada de las dos ofertas de AWS Shield.

AWSWAF.

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web de las vulnerabilidades web comunes que podrían afectar la disponibilidad de las aplicaciones, comprometer la seguridad o consumir recursos excesivos.

Puede utilizar AWS WAF para definir reglas de seguridad web personalizables que controlen qué tráfico accede a sus aplicaciones web.

Si usa AWS Shield Advanced, puede usar AWS WAF sin costo adicional para esos recursos protegidos y puede contratar el DRT para crear reglas WAF.

Las reglas de AWS WAF utilizan condiciones para dirigirse a solicitudes específicas y desencadenar una acción, lo que le permite identificar y bloquear patrones de solicitudes DDoS comunes y mitigar de manera efectiva un ataque DDoS.

Estos incluyen condiciones de restricción de tamaño para bloquear una solicitud web en función de la longitud de su cadena de consulta o cuerpo de solicitud, y condiciones de coincidencia geográfica para implementar la restricción geográfica (también conocida como geobloqueo) en solicitudes que se originan en países específicos.

Para obtener una lista completa de las condiciones, consulte la Guía para desarrolladores de AWS WAF.

Con AWS WAF, también puede crear reglas basadas en tasas que bloquean automáticamente las solicitudes de una sola dirección IP si superan un límite de tasa definido por el cliente.

Una ventaja de las reglas basadas en tasas es que puede bloquear solicitudes de una dirección IP mientras supera el umbral y luego permitir automáticamente las solicitudes de ese mismo cliente una vez que alcanzan una tasa aceptable.

Esto ayuda a garantizar que los espectadores regulares no se mantengan en una lista de bloqueo persistente.

También puede combinar el límite de velocidad con condiciones para desencadenar diferentes acciones para distintos escenarios.

ruta amazónica 53

Uno de los objetivos más comunes de los ataques DDoS es el Sistema de Nombres de Dominio (DNS)

Amazon Route 53 es un servicio de DNS escalable y de alta disponibilidad diseñado para enrutar a los usuarios finales a la infraestructura que se ejecuta dentro o fuera de AWS.

Route 53 hace posible administrar el tráfico a nivel mundial a través de una variedad de tipos de enrutamiento y proporciona fragmentación aleatoria lista para usar y capacidades de enrutamiento Anycast para proteger los nombres de dominio de los ataques DDoS basados ​​en DNS.

Amazon CloudFront.

Amazon CloudFront distribuye el tráfico en varias ubicaciones de borde y filtra las solicitudes para garantizar que solo las solicitudes HTTP(S) válidas se reenvíen a los hosts de backend.

CloudFront también es compatible con el bloqueo geográfico, que puede usar para evitar que se atiendan solicitudes de ubicaciones geográficas particulares.

Equilibrio de carga elástico.

Elastic Load Balancing distribuye automáticamente el tráfico de aplicaciones entrantes entre varios destinos, como instancias, contenedores y direcciones IP de Amazon Elastic Compute Cloud (Amazon EC2), y varias zonas de disponibilidad, lo que minimiza el riesgo de sobrecargar un único recurso.

Elastic Load Balancing, como CloudFront, solo admite solicitudes TCP válidas, por lo que los ataques DDoS, como las inundaciones UDP y SYN, no pueden llegar a las instancias EC2.

También ofrece un único punto de administración y puede servir como línea de defensa entre Internet y sus instancias EC2 privadas de back-end.

Elastic Load Balancing incluye Application Load Balancer, que es el más adecuado para el equilibrio de carga del tráfico HTTP y HTTPS y también admite directamente AWS WAF.VPC y grupos de seguridad.

Amazon Virtual Private Cloud (Amazon VPC) permite a los clientes configurar rutas de subred, direcciones IP públicas, grupos de seguridad y listas de control de acceso a la red para minimizar las superficies de ataque de las aplicaciones.

Puede configurar balanceadores de carga y grupos de seguridad de instancias EC2 para permitir el tráfico que se origina solo en direcciones IP específicas, como las de CloudFront o AWS WAF, protegiendo los componentes de la aplicación back-end de un ataque directo.

Para obtener más información sobre la prevención de ataques DDoS, consulte la siguiente URL:

https://aws.amazon.com/answers/networking/aws-ddos-attack-mitigation/