Un ataque DDoS (Distributed Denial of Service) busca agotar los recursos en una determinada infraestructura (hoy en día, en su mayoría sistemas basados en la nube), para dificultar el funcionamiento de sus servicios y aplicaciones.
Hay diferentes tipos de ataques DDoS. En los ataques volumétricos, el objetivo se sobrecarga debido al aumento repentino del volumen de tráfico, interrumpiéndolo e impidiendo que los usuarios legítimos accedan al servicio. Otros tipos de DDoS pueden agotar los recursos del sistema de destino utilizando un bajo volumen de tráfico. En general, con la rápida evolución del panorama de amenazas, aparecen con frecuencia diferentes variedades de DDoS, con diferentes grados de complejidad.
Durante un ataque DDoS, muchas máquinas se utilizan simultáneamente. Al enviar solicitudes a un sistema específico desde clientes dispersos geográficamente, el ataque es más efectivo y más difícil de bloquear. La organización objetivo puede tener dificultades para distinguir entre las máquinas de ataque y los usuarios legítimos.
Estas botnets pueden variar en tamaño desde cientos hasta millones de máquinas, dependiendo de los recursos que los atacantes tengan a su disposición. Muy a menudo, un atacante aprovechará una gran cantidad de máquinas cliente previamente comprometidas (por ejemplo, consumidores con PC «infectadas») o simplemente comprará acceso a una botnet existente en el mercado negro.
Si bien existen diferentes variedades de ataques DDoS, el enfoque típico es bastante simple: el atacante usa una herramienta remota para conectarse a un servidor de comando y control, desde el cual dirige las máquinas en la botnet para lanzar un ataque masivo en el sistema objetivo. , tratando de inutilizar el sistema. Un ataque puede durar minutos, horas o, en casos extremos, días. Las máquinas de ataque a menudo simulan el comportamiento típico de los clientes, para dificultar que las organizaciones se den cuenta inicialmente de sus intenciones maliciosas y luego las distingan de los clientes legítimos incluso después de que la naturaleza del ataque se haya aclarado.
Entonces, ¿cómo puede proteger un sistema basado en la nube contra este tipo de ataque? Todos los proveedores de nube pública de primer nivel ofrecen productos/servicios integrados de mitigación de DDoS, pero ¿son suficientes? En este artículo, exploraremos estos productos, cubriendo sus beneficios y deficiencias.
Soluciones integradas de los proveedores de nube pública de primer nivel
Para contrarrestar los ataques contra las aplicaciones web, se suele utilizar un Web Application Firewall (WAF). Sin embargo, los ataques DDoS están fuera del alcance de un WAF típico, por lo que se debe usar un producto de mitigación de DDoS por separado.
Cada uno de los proveedores de nube pública Big 3 (AWS, Azure y GCP) tiene un servicio dedicado que ayuda a mitigar los ataques DDoS. Discutiremos cada uno a continuación.
Escudo AWS
Los productos de seguridad de AWS incluyen AWS Shield. Viene en versiones Estándar y Avanzada, ambas diseñadas para proteger las aplicaciones web contra los ataques DDoS más conocidos. Todos los clientes de AWS se benefician automáticamente de Shield Standard, que se incluye sin costo e inspecciona el tráfico a nivel de infraestructura (capas 3 y 4 de OSI); se integra automáticamente en servicios como AWS CloudFront y Route 53.
AWS Shield es una solución confiable y lista para usar con buena documentación, pero la protección de recursos no es completamente automática; los clientes deben evaluar y decidir qué proteger y qué reglas deben crearse o habilitarse por adelantado. Las reglas de protección premium adicionales también se pueden comprar por separado a través de AWS Marketplace o de proveedores externos.
La versión avanzada, disponible por una tarifa mensual fija de $3,000, más tarifas de transferencia de datos salientes, requiere un compromiso de un año. Ofrece características adicionales, como direcciones IP elásticas e integraciones de Elastic Load Balancing (ELB), disponibilidad en todas las ubicaciones de borde global de CloudFront y Route 53, capacidad elástica adicional para proteger contra ataques más grandes y, por supuesto, más personalizaciones.
Hay diferencias de capacidad significativas entre las dos versiones. Si bien la edición estándar solo funciona en las capas 3 y 4 de OSI, la versión avanzada puede operar en la capa 7 (aplicación), lo que significa que puede ayudar a mitigar ataques más avanzados, como los que intentan imitar el tráfico de usuarios legítimos. Además de la protección DDoS mejorada, la edición avanzada también brinda a los clientes acceso las 24 horas, los 7 días de la semana a un equipo de respuesta de AWS DDoS que puede aplicar mitigaciones manuales para ataques más complejos y sofisticados. Sin embargo, este equipo solo está disponible si tiene un acuerdo de soporte de AWS Enterprise o Business (que tiene un costo adicional por mes).
La visibilidad también recibe un gran impulso para los clientes de Shield Advanced, que pueden recibir notificaciones casi en tiempo real y ver diagnósticos detallados a través de su consola de AWS. Además, toda la información histórica de los incidentes de los últimos 13 meses se guarda y almacena automáticamente y está disponible bajo demanda.
Como medida de seguridad, si un cliente incurre en cargos de escala que resultan de picos durante un ataque DDoS, como parte de su suscripción avanzada, puede activar una función de protección de costos DDoS y obtener créditos de AWS a cambio.
Adoptar una solución que satisfaga sus necesidades
El mundo actual de la TI y la nube es cada vez más peligroso, con ataques sofisticados e impulsado por diversas formas de malas intenciones: ganancias financieras, ataques patrocinados por el estado y declaraciones ideológicas, entre otros. En estos tiempos agitados, vale la pena contar con la ayuda de profesionales de ciberseguridad para quienes la seguridad en la nube es su misión principal y que ofrecen una solución totalmente administrada. Contáctanos para obtener más información .
