Cómo reducir el riesgo ante ataques DDos en AWS
El pasado 10 de noviembre de 2016, ocurrió un ciberataque a gran escala. Consistía en múltiples denegaciones de servicio sobre un conocido proveedor de DNS (Dyn). Este ataque dejó inaccesibles los servicios de internet a usuarios de todo el mundo y a empresas conocidas como Twitter, eBay y Spotify. El ataque se llevó a cabo mediante una botnet que abarcaba desde impresoras en internet, hasta neveras inteligentes, incluyendo monitores de bebés.
¿Cómo lidiar con los ataques DDoS?
Escalado - AWS ofrece Route 53, el cual está alojado en múltiples ubicaciones situadas en extremos del globo, creando una superficie global capaz de absorber grandes cantidades de tráfico DNS. Amazon CloudFront y AWS Web Application Firewall también son capaces de manejar grandes cantidades de tráfico.
Tolerancia a fallos – Cada localización tiene muchas conexiones a internet. Esto permite la multiplicidad de rutas aislando así los fallos. Route 53 utiliza "shuffle sharding" y "anycast striping" para incrementar la disponibilidad. Con el shuffle sharding, cada DNS en tu delegación corresponde a un único conjunto de ubicaciones. Esto incrementa la tolerancia a fallos y minimiza la solapación entre consumidores de AWS. Si un servidor no está disponible, el sistema cliente redireccionará la respuesta a otro servidor en otra ubicación. Con anycast striping se dirigen las peticiones a los DNS con mejor ubicación. Esto separa la carga y reduce la latencia DNS.
Mitigación – AWS Shield Standard nos protege contra el 96% de los ataques habituales. Esto incluye "SYN/ACK floods" y "HTTP Slow read". El servicio estándar viene incorporado de manera automática y transparente en los balanceadores de carga, distribuciones CloudFront, AWS WAF y Route 53 sin ningún coste extra. AWS Shield Advanced incluye protección adicional para mitigar ataques DDoS, un acceso 24x7 a un equipo responsable de los DDoS y métricas e informes a tiempo real.
