Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Defensa de la capa de aplicación (BP1,) BP2
Muchas de las técnicas analizadas hasta ahora en este paper son eficaces para mitigar el impacto que los DDoS ataques a la capa de infraestructura tienen en la disponibilidad de la aplicación. Para defenderse también de los ataques en la capa de aplicación, debe implementar una arquitectura que le permita detectar, escalar para absorber y bloquear específicamente las solicitudes maliciosas. Esta es una consideración importante porque los sistemas de DDoS mitigación basados en la red suelen ser ineficaces a la hora de mitigar los ataques complejos a la capa de aplicaciones.
# Detecte y filtre las solicitudes web maliciosas (BP1,) BP2
Cuando su aplicación se ejecute AWS, podrá aprovechar Amazon CloudFront (y su capacidad de almacenamiento en HTTP caché) y la protección automática de la capa de aplicaciones Shield Advanced para evitar que las solicitudes innecesarias lleguen a su origen durante DDoS los ataques a la capa de aplicaciones. AWS WAF
# Amazon CloudFront
Amazon CloudFront puede ayudar a reducir la carga del servidor impidiendo que el tráfico no web llegue a tu origen. Para enviar una solicitud a una CloudFront aplicación, la conexión debe establecerse con una dirección IP válida mediante un TCP apretón de manos completo, que no se puede falsificar. Además, CloudFront puede cerrar automáticamente las conexiones causadas por atacantes que leen o escriben con lentitud (por ejemplo, [Slowloris](https://en.wikipedia.org/wiki/Slowloris_(computer_security))).
## Almacenamiento en caché de CDN
CloudFront permite ofrecer tanto contenido dinámico como contenido estático desde ubicaciones AWS periféricas. Al servir contenido almacenado en caché mediante proxy desde la CDN memoria caché, evita que las solicitudes lleguen a su origen desde un nodo de caché perimetral determinado mientras dure el almacenamiento en caché. TTL Además de reducir las [solicitudes por contenido caducado pero que se](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-traffic-spikes) puede almacenar en caché, incluso si son muy cortasTTL, un número insignificante de solicitudes llegará a tu origen durante una avalancha de solicitudes relacionadas con ese contenido. Además, habilitar funciones como [CloudFront Origin Shield](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) puede ayudar a reducir aún más la carga en tu Origin: cualquier cosa que puedas hacer para [mejorar la ratio de aciertos de la caché](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html) puede marcar la diferencia entre un ataque de inundación de solicitudes impactante y no impactante.
# AWS WAF
Si lo utilizas AWS WAF, puedes configurar listas de control de acceso web (webACLs) en tus CloudFront distribuciones globales o recursos regionales para filtrar, supervisar y bloquear las solicitudes en función de sus firmas. Para determinar si se deben permitir o bloquear las solicitudes, se pueden tener en cuenta factores como la dirección IP o el país de origen, determinadas cadenas o patrones de la solicitud, el tamaño de partes específicas de la solicitud y la presencia de SQL códigos o secuencias de comandos malintencionados. También puede CAPTCHA resolver acertijos y resolver silenciosamente las sesiones de los clientes en función de las solicitudes.
Ambas AWS WAF opciones CloudFront también te permiten establecer restricciones geográficas para bloquear o permitir solicitudes de países seleccionados. Esto puede ayudar a bloquear o limitar la velocidad de los ataques desde ubicaciones geográficas en las que no se espera que sirvan a los usuarios. Con las detalladas reglas de coincidencia geográfica AWS WAF, puede controlar el acceso hasta el nivel de la región.
Puedes usar [declaraciones de alcance](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) reducido para limitar el alcance de las solicitudes que evalúa la regla para ahorrar costos y [«etiquetas» en las solicitudes web](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) para permitir que una regla que coincida con la solicitud comunique los resultados de las coincidencias a las reglas que se evalúan más adelante en la misma web. ACL Elija esta opción para reutilizar la misma lógica en varias reglas.
También puede definir una respuesta personalizada completa, con código de respuesta, encabezados y cuerpo.
Para ayudar a identificar las solicitudes maliciosas, revise los registros del servidor web o utilice AWS WAF los registros y solicite un muestreo. Al habilitar el AWS WAF registro, obtendrá información detallada sobre el tráfico que analiza la Web. ACL AWS WAF admite el filtrado de registros, lo que le permite especificar qué solicitudes web se registran y qué solicitudes se descartan del registro tras la inspección.
La información registrada en los registros incluye la hora en que se AWS WAF recibió la solicitud de su AWS recurso, información detallada sobre la solicitud y la acción coincidente para cada regla solicitada.
Las solicitudes incluidas en los ejemplos proporcionan detalles sobre las solicitudes de las últimas tres horas que se ajustaron a una de tus AWS WAF reglas. Puedes usar esta información para identificar señales de tráfico potencialmente maliciosas y crear una nueva regla para denegar esas solicitudes. Si ve varias solicitudes con una cadena de consulta aleatoria, asegúrese de permitir solo los parámetros de la cadena de consulta que sean relevantes para almacenar en la memoria caché de su aplicación. Esta técnica es útil para mitigar un ataque de robo de caché contra tu origen.
# AWS WAF — Reglas basadas en tarifas
AWS recomienda encarecidamente protegerse contra la HTTP avalancha de solicitudes mediante el uso de reglas basadas en tarifas AWS WAF para bloquear automáticamente las direcciones IP de los delincuentes cuando el número de solicitudes recibidas en un período deslizante de 5 minutos supere el umbral que usted defina. Las direcciones IP de los clientes infractoras recibirán una respuesta prohibida de 403 puntos (o una respuesta de error de bloqueo configurada) y permanecerán bloqueadas hasta que el porcentaje de solicitudes caiga por debajo del umbral.
Se recomienda establecer capas de reglas basadas en tasas para ofrecer una protección mejorada, de forma que pueda:
+ Una regla general basada en tarifas para proteger su aplicación de grandes HTTP inundaciones.
+ Una o más reglas basadas en tarifas para proteger a personas específicas URIs a tarifas más restrictivas que la regla general basada en tarifas.
Por ejemplo, puede elegir una regla general basada en una tarifa (sin una declaración de alcance) con un límite de 500 solicitudes en un período de 5 minutos y, a continuación, crear una o más de las siguientes reglas basadas en tarifas con límites inferiores a 500 (tan solo 100 solicitudes en un período de 5 minutos) utilizando declaraciones de alcance reducido:
+ Proteja sus **páginas web** con una declaración de alcance reducido, como «`if NOT uri_path contains '.'`», para proteger aún más las solicitudes de recursos sin una extensión de archivo. Esto también protege tu página de inicio (`/`), que es una ruta a la que se dirige con frecuencia. URI
+ Proteja los **puntos finales dinámicos** con una declaración de alcance reducido, como "» `if method exactly matches 'post' (convert lowercase)`
+ Proteja **las solicitudes pesadas** que llegan a su base de datos o invoque una contraseña de un solo uso (OTP) con un alcance reducido como "» `if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'`
Las tarifas basadas en el modo «Bloquear» son la piedra angular de la defense-in-depth WAF configuración para protegerse contra la avalancha de solicitudes y son un requisito para poder aprobar las solicitudes de protección de AWS Shield Advanced costes. Examinaremos las defense-in-depth WAF configuraciones adicionales en las siguientes secciones.
# AWS WAF — Reputación IP
Para evitar ataques basados en la reputación de la dirección IP, puede crear reglas mediante la coincidencia de IP o utilizar [reglas administradas](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) para ello AWS WAF.
El [grupo de reglas de la lista de reputación IP](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) de Amazon incluye reglas basadas en la inteligencia de amenazas interna de Amazon. Estas reglas buscan direcciones IP que son bots, que realizan reconocimientos de AWS recursos o que participan activamente en DDoS actividades. Se ha observado que esta `AWSManagedIPDDoSList` regla bloquea más del 90% de las oleadas de solicitudes maliciosas.
El [grupo de reglas de la lista de direcciones IP anónimas](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) contiene reglas para bloquear las solicitudes de los servicios que permiten ocultar la identidad del espectador. Estas incluyen solicitudes desde proxiesVPNs, nodos Tor y plataformas en la nube (excluidas). AWS
Además, puedes utilizar listas de reputación de IP de terceros mediante el componente [analizador de listas de IP](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html#ip-lists-parser) de la solución [Security Automations for](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html). AWS WAF
# AWS WAF - Mitigación inteligente de amenazas
Las botnets son una grave amenaza para la seguridad y se suelen utilizar para llevar a cabo actividades ilegales o dañinas, como enviar spam, robar datos confidenciales, iniciar ataques de ransomware, cometer fraudes publicitarios mediante clics fraudulentos o lanzar ataques distribuidos denial-of-service (DDoS). Para evitar los ataques de bots, usa el grupo de reglas gestionado por [AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html). Este grupo de reglas proporciona un nivel de protección básico, «común», que añade etiquetas a los bots que se identifican a sí mismos, verifica los bots más habituales y detecta las firmas de bots más fiables, y un nivel de protección «segmentado» que añade la detección de los bots avanzados que no se identifican a sí mismos.
Las protecciones específicas utilizan técnicas de detección avanzadas, como la interrogación del navegador, la toma de huellas digitales y la heurística del comportamiento, para identificar el tráfico de bots inadecuados y, a continuación, aplican controles de mitigación, como la limitación de velocidad y las reglas de impugnación. CAPTCHA Targeted también ofrece opciones de limitación de velocidad para hacer cumplir patrones de acceso similares a los humanos y aplicar una limitación de velocidad dinámica mediante el uso de tokens de solicitud. Para obtener más información, consulta el [grupo de reglas de control de AWS WAF bots](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html). Para detectar y gestionar los intentos de apropiación maliciosos en la página de inicio de sesión de tu aplicación, puedes usar el grupo de reglas de prevención de apropiación de cuentas (ATP) de AWS WAF Fraud Control. Para ello, el grupo de reglas inspecciona los intentos de inicio de sesión que los clientes envían al punto final de inicio de sesión de la aplicación y también inspecciona las respuestas de la aplicación a los intentos de inicio de sesión para hacer un seguimiento de la tasa de aciertos y fracasos.
El fraude en la creación de cuentas es una actividad ilegal en línea en la que un atacante intenta crear una o más cuentas falsas. Los atacantes utilizan cuentas falsas para realizar actividades fraudulentas, como abusar de las bonificaciones promocionales y de registro, hacerse pasar por alguien y los ciberataques, como la suplantación de identidad. La presencia de cuentas falsas puede afectar negativamente a su empresa, ya que perjudica su reputación ante los clientes y la expone al fraude financiero.
Puedes supervisar y controlar los intentos de fraude en la creación de cuentas mediante la implementación de la función Control de AWS WAF Fraude y Prevención del Fraude en la creación de cuentas (ACFP). AWS WAF ofrece esta función en el grupo de Reglas administradas de AWS reglas `AWS ManagedRulesACFPRuleSet` con la integración de aplicaciones complementariasSDKs.
Obtenga más información sobre estas protecciones en la [*mitigación AWS WAF inteligente de amenazas*.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html)
# Mitigue automáticamente los DDoS eventos de la capa de aplicación (BP1,,BP2) BP6
Si está suscrito AWS Shield Advanced, puede activar la [DDoSmitigación automática de la capa](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) [de aplicación Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html). Esta función crea, evalúa e implementa automáticamente AWS WAF reglas para mitigar los DDoS eventos de la capa 7 en su nombre.
AWS Shield Advanced establece una línea base de tráfico para cada recurso protegido asociado a una WAF Web. ACL El tráfico que se desvía significativamente de la línea base establecida se marca como un evento potencialDDoS. Tras detectar un evento, AWS Shield Advanced intenta identificar una firma de las solicitudes web que constituyen el evento y, si se identifica una firma, se crean AWS WAF reglas para mitigar el tráfico con esa firma.
Una vez que las reglas se evalúan con respecto a la línea base histórica y se consideran seguras, se agregan al grupo de reglas administrado por Shield y puede elegir si las reglas se implementan en modo de recuento o de bloque. Shield Advanced elimina automáticamente AWS WAF las reglas cuando determina que un evento ha desaparecido por completo.
# Engage SRT (solo para suscriptores de Shield Advanced)
Además, al suscribirse a Shield Advanced, puede utilizar el AWS SRT para que le ayude a crear reglas que mitiguen un ataque que perjudique la disponibilidad de su aplicación. Puede conceder acceso AWS SRT limitado a su cuenta AWS Shield Advanced y AWS WAF APIs. AWS SRTaccede APIs a ellos para aplicar mitigaciones a tu cuenta solo con tu autorización explícita. Para obtener más información, consulte la [Soporte](support.md) sección de este documento.
Se puede utilizar AWS Firewall Manager para configurar y gestionar de forma centralizada las reglas de seguridad, como AWS Shield Advanced las protecciones y AWS WAF las reglas, en toda la organización. Su cuenta AWS Organizations de administración puede designar una cuenta de administrador, que está autorizada a crear políticas de Firewall Manager. Estas políticas le permiten definir criterios, como el tipo de recurso y las etiquetas, que determinan dónde se aplican las reglas. Esto resulta útil cuando tiene varias cuentas y desea estandarizar la protección.
Para obtener más información acerca de:
+ Reglas administradas de AWS para AWS WAF, consulte [Reglas administradas de AWS para AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html).
+ Si utiliza la restricción geográfica para limitar el acceso a su CloudFront distribución, consulte [Restringir la distribución geográfica de su contenido](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html).
+ Si utiliza AWS WAF, consulte:
+ [Cómo empezar con AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
+ [Registrar la información ACL del tráfico web](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
+ [Visualización de una muestra de solicitudes web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html#web-acl-testing-view-sample)
+ Para configurar reglas basadas en tarifas, consulte [Proteja los sitios y servicios web mediante reglas basadas en tarifas](https://aws.amazon.com/blogs/aws/protect-web-sites-services-using-rate-based-rules-for-aws-waf/) para. AWS WAF
+ Para gestionar el despliegue de reglas en sus AWS recursos con Firewall Manager, consulte:
+ [Introducción a las AWS WAF políticas de Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html).
+ [Introducción a las políticas avanzadas de Firewall Manager Shield](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-shield.html).