Configuración de las protecciones DDoS de la capa de aplicación (capa 7) con AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Configuración de las protecciones DDoS de la capa de aplicación (capa 7) con AWS WAF

Esta página proporciona instrucciones para configurar las protecciones de la capa de aplicación con las ACL web de AWS WAF.

Para proteger un recurso de la capa de aplicación, Shield Advanced utiliza una ACL web de AWS WAF con una regla basada en tasas como punto de partida. AWS WAF es un firewall de aplicaciones web que permite supervisar las solicitudes HTTP y HTTPS que se reenvían a los recursos de la capa de aplicación y permite controlar quién accede a su contenido en función de las características de las solicitudes. Una regla basada en tasas limita el volumen de tráfico en función de los criterios de agregación de solicitudes, lo que proporciona una protección DDoS básica a la aplicación. Para obtener más información, consulte Cómo funciona AWS WAF y Uso de instrucciones de regla basada en tasas en AWS WAF.

También puede habilitar, de forma opcional, la mitigación automática de DDoS en la capa de aplicación de Shield Advanced, para limitar automáticamente las solicitudes de orígenes conocidas de DDoS y proporcionar protecciones específicas para cada incidente.

importante

Si administra sus protecciones de Shield Advanced mediante AWS Firewall Manager con una política de Shield Advanced, no podrá administrar las protecciones de la capa de aplicación aquí. Debe administrarlas en su política de Shield Advanced de Firewall Manager.

Suscripciones de Shield Avanzado y costos de AWS WAF

Su suscripción a Shield Avanzado cubre los costos de uso de las capacidades estándar de AWS WAF para aquellos recursos que proteja con Shield Avanzado. Las cuotas estándar de AWS WAF que cubre la protección de Shield Advanced son el costo por paquete de protección (ACL web), el costo por regla y el precio base por millón de solicitudes de inspección de solicitudes web, hasta 1500 WCU y hasta el tamaño de cuerpo predeterminado.

Al habilitar la mitigación automática de DDoS en la capa de aplicaciones de Shield Advanced, se agrega un grupo de reglas al paquete de protección (ACL web) que utiliza 150 unidades de capacidad de ACL web (WCU). Estas WCU se tienen en cuenta para el uso de WCU en su paquete de protección (ACL web). Para obtener más información, consulte Automatización de la mitigación de DDoS en la capa de aplicación con Shield Avanzado , Protección de la capa de aplicaciones con el grupo de reglas de Shield Avanzado y Unidades de capacidad de ACL web (WCU) en AWS WAF.

Su suscripción a Shield Advanced no cubre el uso de AWS WAF para recursos que no proteja con Shield Advanced. Tampoco cubre ningún costo adicional no estándar de AWS WAF por recursos protegidos. Algunos ejemplos de costos no estándares de AWS WAF son los del control de bots, la acción de la regla CAPTCHA, las ACL web que utilizan más de 1500 WCU y la inspección del cuerpo de la solicitud por encima del tamaño predeterminado. La lista completa se proporciona en la página de precios de AWS WAF. Su suscripción a Shield Advanced incluye el acceso al grupo de reglas administradas de Amazon anti-DDoS de capa 7. Como parte de su suscripción, recibirá hasta 50 000 millones de solicitudes a los recursos protegidos de Shield Advanced de AWS WAF en un mes natural. Las solicitudes superiores a 50 000 millones se facturarán según la página de precios de AWS Shield Advanced.

Para obtener la información completa y ejemplos de precios, consulte Precios de Shield y Precios de AWS WAF.

Configuración de las protecciones DDoS de capa 7 para una región

Shield Advanced le ofrece la opción de configurar la mitigación de DDoS de capa 7 para cada región en la que se encuentren los recursos que elija. Si va a agregar protecciones en varias regiones, el asistente le guiará por el siguiente procedimiento para cada región.

  1. La página Configurar las protecciones DDoS de capa 7 muestra todos los recursos que aun no están asociados a una ACL web. Para cada uno de ellos, elija una ACL web existente o cree una ACL web nueva. Para cualquier recurso que ya tenga una ACL web asociada, puede cambiar las ACL web desasociando primero la actual hasta AWS WAF. Para obtener más información, consulte Asociar o disociar la protección con un recurso de AWS.

    En el caso de las ACL web que aun no tienen una regla basada en tasas, el asistente de configuración le pide que agregue una. Una regla basada en tasas limita el tráfico de las direcciones IP cuando estas envían un gran volumen de solicitudes. Las reglas basadas en tasas ayudan a proteger la aplicación frente a avalanchas de solicitudes web y pueden proporcionar alertas sobre picos repentinos de tráfico que pudieran indicar un posible ataque DDoS. Para agregar una regla basada en tasas a una ACL web, seleccione Agregar regla de límite de tasas y, a continuación, especifique una acción para limitar la tasa y establecer una regla. Puede configurar protecciones adicionales en la ACL web mediante AWS WAF.

    Para obtener información sobre el uso de las ACL web y las reglas basadas en tasas en sus protecciones de Shield Advanced, incluidas las opciones de configuración adicionales para las reglas basadas en tasas, consulte Protección de la capa de aplicaciones con ACL web de AWS WAF y Shield Avanzado.

  2. En Mitigación automática de DDoS en la capa de aplicación, si desea que Shield Advanced mitigue automáticamente los ataques DDoS contra los recursos de la capa de aplicación, elija Habilitar y, a continuación, seleccione la acción de regla de AWS WAF que quiere que Shield Advanced utilice en sus reglas personalizadas. Esta configuración se aplica a todas las ACL web de los recursos que gestione en esta sesión del asistente.

    Con la mitigación automática de DDoS en la capa de aplicación, Shield Avanzado mantiene una regla basada en tasas en la ACL web de AWS WAF del recurso que limita el volumen de solicitudes de orígenes de DDoS conocidas. Además, Shield Advanced compara los patrones de tráfico actuales con las bases de referencia de tráfico históricas para detectar desviaciones que puedan indicar un ataque DDoS. Cuando Shield Advanced detecta un ataque DDoS, responde creando, evaluando e implementando reglas personalizadas de AWS WAF para responder. Especifique si las reglas personalizadas cuentan o bloquean los ataques en su nombre.

    nota

    La mitigación automática de DDoS en la capa de aplicación solo funciona con los paquetes de protección (ACL web) que se crearon con la última versión de AWS WAF (v2).

    Para obtener más información sobre la mitigación automática de DDoS en la capa de aplicación de Shield Avanzado, incluidas las advertencias y las prácticas recomendadas para utilizar esta característica, consulte Automatización de la mitigación de DDoS en la capa de aplicación con Shield Avanzado .

  3. Elija Siguiente. El asistente de la consola pasa a la página de detección basada en el estado.