Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Reducción de la superficie de ataque
<a name="attack-surface-reduction"></a>

 Otra consideración importante a la hora de diseñar una AWS solución es limitar las oportunidades que tiene un atacante de atacar su aplicación. Este concepto se conoce como *reducción de la superficie* de ataque. Los recursos que no están expuestos a Internet son más difíciles de atacar, lo que limita las opciones de las que dispone un atacante para atacar la disponibilidad de la aplicación. 

 Por ejemplo, si no espera que los usuarios interactúen directamente con determinados recursos, asegúrese de que no se pueda acceder a esos recursos desde Internet. Del mismo modo, no aceptes tráfico de usuarios o aplicaciones externas en puertos o protocolos que no sean necesarios para la comunicación. 

 En la siguiente sección, AWS se describen las prácticas recomendadas que le servirán de guía para reducir la superficie de ataque y limitar la exposición de su aplicación a Internet. 

# AWS Recursos ofuscados (,,) BP1 BP4 BP5
<a name="obfuscating-aws-resources-bp1-bp4-bp5"></a>

 Por lo general, los usuarios pueden utilizar una aplicación de forma rápida y sencilla sin necesidad de que AWS los recursos estén completamente expuestos a Internet. 

# Grupos de seguridad y red ACLs (BP5)
<a name="security-groups-and-network-acls-bp5"></a>

 Amazon Virtual Private Cloud (AmazonVPC) le permite aprovisionar una sección aislada de forma lógica desde la Nube de AWS que puede lanzar AWS los recursos en una red virtual que usted defina. 

 Los grupos de seguridad y la red ACLs son similares en el sentido de que le permiten controlar el acceso a AWS los recursos de su VPC red. Sin embargo, los grupos de seguridad le permiten controlar el tráfico entrante y saliente a nivel de instancia, mientras que la red ACLs ofrece capacidades similares a nivel de VPC subred. El uso de grupos de seguridad o redes no conlleva ningún cargo adicional. ACLs 

 Puede elegir si desea especificar los grupos de seguridad al lanzar una instancia o asociar la instancia a un grupo de seguridad más adelante. *Se deniega implícitamente todo el tráfico de Internet a un grupo de seguridad, a menos que cree una regla de autorización para permitir el tráfico.* 

 Por ejemplo, si tienes EC2 instancias de Amazon detrás de un Elastic Load Balancer, las instancias en sí mismas no deberían ser de acceso público y solo deberían ser privadasIPs. En su lugar, puede proporcionar al Elastic Load Balancer acceso a los puertos de escucha de destino necesarios mediante una regla de grupo de seguridad que permita el acceso a 0.0.0.0/0 (para evitar problemas de seguimiento de conexiones, consulte la nota siguiente) junto con una lista de control de acceso a la red (NACL) en la subred del grupo de destino para permitir que solo los rangos de IP de Elastic Load Balancing se comuniquen con las instancias. Esto garantiza que el tráfico de Internet no pueda comunicarse directamente con tus EC2 instancias de Amazon, lo que dificulta que un atacante conozca tu aplicación e impacte en ella. 

 Al crear una redACLs, puede especificar tanto las reglas de autorización como las de denegación. Esto resulta útil si quiere denegar de forma explícita ciertos tipos de tráfico a su aplicación. Por ejemplo, puede definir direcciones IP (como CIDR rangos), protocolos y puertos de destino a los que se deniega el acceso a toda la subred. Si la aplicación se usa solo para TCP el tráfico, puede crear una regla para denegar todo UDP el tráfico o viceversa. Esta opción resulta útil a la hora de responder a DDoS los ataques porque te permite crear tus propias reglas para mitigar el ataque cuando conoces el origen IPs u otra firma. 

 Si está suscrito AWS Shield Advanced, puede registrar las direcciones IP elásticas como recursos protegidos. DDoSlos ataques contra las direcciones IP de Elastic que se han registrado como recursos protegidos se detectan más rápidamente, lo que puede reducir el tiempo de mitigación. Cuando se detecta un ataque, los sistemas de DDoS mitigación leen la red ACL que corresponde a la dirección IP de Elastic objetivo y la utilizan en el borde de la AWS red, en lugar de hacerlo a nivel de subred. Esto reduce considerablemente el riesgo de que se vean afectados por varios ataques a la capa DDoS de infraestructura. 

 Para obtener más información sobre cómo configurar los grupos de seguridad y la red ACLs para optimizar DDoS la resiliencia, consulte [Cómo prepararse para DDoS los ataques reduciendo su superficie de ataque](https://aws.amazon.com/blogs/security/how-to-help-prepare-for-ddos-attacks-by-reducing-your-attack-surface/). 

 Para obtener más información sobre el uso de Shield Advanced con direcciones IP elásticas como recursos protegidos, consulte los pasos para [suscribirse AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/enable-ddos-prem.html). 

# Protegiendo su origen (BP1,BP5)
<a name="protecting-your-origin-bp1-bp5"></a>

 Si utilizas Amazon CloudFront con un origen que está dentro del tuyoVPC, asegúrate de que solo tu CloudFront distribuidor pueda reenviar las solicitudes a tu origen. Con los encabezados de solicitud de extremo a origen, puedes añadir o anular el valor de los encabezados de solicitud existentes al reenviar las solicitudes a tu origen. CloudFront Puedes usar los *encabezados personalizados de Origin*, por ejemplo, el `X-Shared-Secret` encabezado, para comprobar desde dónde se enviaron las solicitudes realizadas a tu origen. CloudFront 

 Para obtener más información sobre cómo proteger tu origen con *encabezados personalizados de Origin, consulta [Cómo añadir](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html) encabezados* [personalizados a las solicitudes de origen y Restringir el acceso a los balanceadores](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html) [de carga de aplicaciones](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/restrict-access-to-load-balancer.html). 

 Para obtener una guía sobre cómo implementar una solución de muestra para rotar automáticamente el valor de *los encabezados personalizados de Origin* para la restricción de acceso a origen, consulta [Cómo mejorar la seguridad de CloudFront origen de Amazon con AWS WAF Secrets Manager](https://aws.amazon.com/blogs/security/how-to-enhance-amazon-cloudfront-origin-security-with-aws-waf-and-aws-secrets-manager/). 

 Como alternativa, puedes usar una [AWS Lambda](https://aws.amazon.com/lambda/)función para actualizar automáticamente las reglas de tu grupo de seguridad y permitir solo CloudFront el tráfico. Esto mejora la seguridad de tu sitio de origen, ya que ayuda a garantizar que los usuarios malintencionados no puedan eludir CloudFront tu aplicación web ni AWS WAF acceder a ella. 

 Para obtener más información sobre cómo proteger tu origen mediante la actualización automática de tus grupos de seguridad y del `X-Shared-Secret` encabezado, consulta [Cómo actualizar automáticamente tus grupos de seguridad para Amazon CloudFront y AWS WAF mediante el uso AWS Lambda](https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for-amazon-cloudfront-and-aws-waf-by-using-aws-lambda/). 

 Sin embargo, la solución implica una configuración adicional y el costo de ejecutar las funciones de Lambda. Para simplificarlo, ahora hemos introducido una [lista de AWS prefijos gestionados para](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html#managed-prefix-list) limitar el HTTPS tráfico entrante HTTP o que llega CloudFront a sus orígenes únicamente desde las direcciones IP orientadas al CloudFront origen. AWS-Las listas de prefijos gestionadas las crea y mantiene, AWS y están disponibles para su uso sin coste adicional. Puede hacer referencia a la lista de prefijos gestionados CloudFront en las reglas de su grupo de seguridad (AmazonVPC), en las tablas de enrutamiento de subred, en las reglas comunes de los grupos de seguridad y en cualquier otro AWS recurso que pueda utilizar una lista de [prefijos gestionada](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html). AWS Firewall Manager

 Para obtener más información sobre el uso AWS de la lista de prefijos gestionada por Amazon CloudFront, consulta [Limita el acceso a tus orígenes mediante la lista de prefijos AWS gestionada por](https://aws.amazon.com/blogs/networking-and-content-delivery/limit-access-to-your-origins-using-the-aws-managed-prefix-list-for-amazon-cloudfront/) Amazon. CloudFront 

**nota**  
 Como se explica en otras secciones de este documento, confiar en los grupos de seguridad para proteger tu origen puede añadir el [seguimiento de las conexiones de los grupos de seguridad como un posible cuello](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) de botella durante una avalancha de solicitudes. A menos que seas capaz de filtrar las solicitudes malintencionadas CloudFront con una política de almacenamiento en caché que permita el almacenamiento en caché, puede ser mejor utilizar *los encabezados personalizados de Origin*, descritos anteriormente, para validar que las solicitudes hechas a tu origen provienen de grupos de CloudFront seguridad. El uso de un encabezado de solicitud personalizado con una regla de escucha de Application Load Balancer evita la limitación debido a los límites de seguimiento que pueden afectar al establecimiento de nuevas conexiones a un balanceador de cargas, lo que permite que Application Load Balancer escale en función del aumento del tráfico en caso de un ataque. DDoS 

# Proteger los puntos finales () API BP4
<a name="protecting-api-endpoints-bp4"></a>

Cuando se debe exponer un API mensaje al público, existe el riesgo de que la API interfaz sea blanco de un DDoS ataque. Para ayudar a reducir el riesgo, puede utilizar [Amazon API Gateway como puerta](https://aws.amazon.com/api-gateway/) de entrada a las aplicaciones que se ejecutan en Amazon o en EC2 cualquier otro AWS Lambda lugar. Al utilizar Amazon API Gateway, no necesita sus propios servidores para la API interfaz y puede ocultar otros componentes de la aplicación. Al dificultar la detección de los componentes de su aplicación, puede evitar que esos AWS recursos sean blanco de un ataque. DDoS 

 Cuando utiliza Amazon API Gateway, puede elegir entre dos tipos de API puntos de enlace. La primera es la opción predeterminada: API puntos de enlace optimizados para periferia a los que se accede a través de una distribución de Amazon. CloudFront Sin embargo, API Gateway crea y administra la distribución, por lo que no tienes control sobre ella. La segunda opción consiste en utilizar un API punto final regional al que se acceda desde el mismo punto Región de AWS en el que REST API está desplegado el suyo. AWS recomienda que utilices el segundo tipo de punto final y lo asocies a tu propia CloudFront distribución de Amazon. Esto te da el control sobre la CloudFront distribución de Amazon y la posibilidad de utilizarla AWS WAF para la protección de la capa de aplicaciones. Este modo le proporciona acceso a una capacidad de DDoS mitigación escalable en toda la red perimetral AWS global. 

 Cuando utilice Amazon CloudFront y AWS WAF con Amazon API Gateway, configure las siguientes opciones: 
+  Configure el comportamiento de la caché de sus distribuciones para reenviar todos los encabezados al punto de API enlace regional de Gateway. De este modo, CloudFront tratará el contenido como dinámico y omitirá el almacenamiento en caché del contenido. 
+  Proteja su API Gateway contra el acceso directo configurando la distribución para que incluya el encabezado personalizado de origen; para ello x-api-key, establezca el valor de la [APIclave](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-setup-api-key-with-console.html) en API Gateway. 
+  Proteja el backend del exceso de tráfico configurando límites de velocidad estándar o de ráfaga para cada método de su REST APIs dispositivo. 

 Para obtener más información sobre cómo crear APIs con Amazon API Gateway, consulte [Introducción](https://aws.amazon.com/api-gateway/getting-started/) a [Amazon API Gateway](https://aws.amazon.com/api-gateway/getting-started/).