Ejemplo de arquitectura resistente a DDoS de Shield Avanzado para aplicaciones TCP y UDP - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Ejemplo de arquitectura resistente a DDoS de Shield Avanzado para aplicaciones TCP y UDP

Este ejemplo muestra una arquitectura resistente a DDoS para aplicaciones TCP y UDP en una región de AWS que utiliza instancias de Amazon Elastic Compute Cloud (Amazon EC2) o direcciones IP elásticas (EIP).

Puede seguir este ejemplo general para mejorar la resistencia a los ataques DDoS para los siguientes tipos de aplicaciones:

  • Aplicaciones TCP o UDP. Por ejemplo, las aplicaciones utilizadas para juegos, IoT y voz sobre IP.

  • Aplicaciones web que requieren direcciones IP estáticas o que utilizan protocolos que Amazon CloudFront no admite. Por ejemplo, es posible que su aplicación requiera direcciones IP que los usuarios puedan añadir a sus listas de firewalls permitidas y que ningún otro cliente de AWS utilice.

Puede mejorar la resistencia a los ataques DDoS de estos tipos de aplicaciones introduciendo Amazon Route 53 y AWS Global Accelerator. Estos servicios pueden dirigir a los usuarios a su aplicación y pueden proporcionar a su aplicación direcciones IP estáticas que se enrutan con el método anycast a través de la red perimetral global de AWS. Los aceleradores estándar de Global Accelerator pueden mejorar la latencia de los usuarios hasta en un 60 %. Si tiene una aplicación web, puede detectar y mitigar las inundaciones de solicitudes de la capa de aplicaciones web ejecutando la aplicación en un Equilibrador de carga de aplicación y, a continuación, protegiendo el Equilibrador de carga de aplicación con una ACL web de AWS WAF.

Una vez que haya creado la aplicación, proteja las zonas alojadas de Route 53, los aceleradores estándar de Global Accelerator y cualquier equilibrador de carga de aplicaciones con Shield Advanced. Al proteger los equilibradores de carga de aplicaciones, puede asociar las ACL web de AWS WAF y crear reglas basadas en tasas para ellas. Puede configurar la interacción proactiva con el SRT tanto para sus aceleradores estándar de Global Accelerator como para sus equilibradores de carga de aplicaciones asociando comprobaciones de estado de Route 53 nuevas o existentes. Para obtener más información sobre las opciones, consulte Protecciones de recursos en AWS Shield Advanced.

El siguiente diagrama de referencia muestra un ejemplo de arquitectura resistente a los ataques DDoS para aplicaciones TCP y UDP.

El diagrama muestra a los usuarios conectados a Route 53 y a un AWS Global Accelerator. El acelerador está conectado a un icono de equilibrador de carga Elastic que está protegido por AWS Shield Advanced y AWS WAF. El equilibrador de carga Elastic está conectado a su vez a una instancia de Amazon EC2. Esta instancia de Elastic Load Balancing y la instancia de Amazon EC2 se encuentran en la región 1. También AWS Global Accelerator está conectado directamente a otra instancia de Amazon EC2, que no está detrás de una instancia protegida de equilibrador de carga Elastic. Esta segunda instancia de Amazon EC2 se encuentra en la región n.

Los beneficios que este enfoque proporciona a su aplicación incluyen los siguientes:

  • Protección contra los ataques DDoS más grandes conocidos en la capa de infraestructura (capa 3 y capa 4). Si el volumen de un ataque provoca congestión en las fases anteriores de AWS, el error se aislará más cerca de su origen y tendrá un efecto mínimo en los usuarios legítimos.

  • Protección contra los ataques a la capa de aplicaciones del DNS, ya que Route 53 es responsable de ofrecer respuestas de DNS fiables.

  • Si tiene una aplicación web, este enfoque proporciona protección contra las inundaciones de solicitudes en la capa de aplicaciones web. La regla basada en tasas que configura en su ACL web de AWS WAF bloquea las IP de origen mientras envían más solicitudes de las que permite la regla.

  • Interacción proactiva con el equipo de respuesta de Shield (SRT), si decide habilitar esta opción para los recursos elegibles. Cuando Shield Advanced detecta un evento que afecta al estado de su aplicación, el SRT responde e interactúa de forma proactiva con sus equipos de seguridad u operaciones utilizando la información de contacto que proporcione.