Shield
📘 ¿Qué es AWS Shield?
AWS Shield es un servicio administrado de protección contra ataques de denegación de servicio (DDoS) que protege automáticamente los recursos de AWS.
Ayuda a mantener la disponibilidad y el rendimiento de las aplicaciones frente a ataques maliciosos, especialmente DDoS de capa de red y transporte.
🧠 ¿Para qué sirve?
-
Detectar y mitigar ataques DDoS en tiempo real
-
Proteger recursos como Elastic Load Balancers, CloudFront, Route 53, Global Accelerator, ALB/NLB
-
Reducir tiempo de inactividad en eventos de denegación de servicio
-
Obtener soporte experto (en la versión Advanced)
-
Recibir alertas, reportes y recomendaciones de seguridad
🧩 Niveles del servicio
| Nivel | Características principales |
|---|---|
| Shield Standard | - Protección automática para todos- Sin costo adicional- Protección básica contra ataques comunes |
| Shield Advanced | - Mitigación avanzada de DDoS- Soporte 24/7 por el equipo de DDoS Response Team (DRT)- Protección financiera (DDoS cost protection)- Reportes detallados- Integración con WAF y CloudWatch- Requiere suscripción ($3,000/mes por cuenta raíz) |
🔐 ¿Qué recursos protege?
AWS Shield puede proteger:
-
✅ Amazon CloudFront
-
✅ Elastic Load Balancer (ALB, NLB)
-
✅ Amazon Route 53
-
✅ AWS Global Accelerator
-
✅ Amazon EC2 (a través de ELB o IP elástica con Advanced)
⚙️ Funcionalidades de Shield Advanced
| Función | Descripción |
|---|---|
| Mitigación automática personalizada | Basada en tráfico específico del recurso |
| Soporte DDoS Response Team (DRT) | Acceso 24/7 a expertos en mitigación de ataques |
| DDoS Cost Protection | Reembolso de gastos extra provocados por ataques |
| Reportes de eventos | Informes de ataques en consola y CloudWatch |
| Integración con AWS WAF | Para respuestas automatizadas y bloqueos |
| Análisis post-evento | Root cause analysis y recomendaciones |
📊 Integraciones útiles
| Servicio AWS | Utilidad |
|---|---|
| AWS WAF | Protege contra ataques de capa 7 (HTTP/S) |
| CloudWatch | Métricas y alertas de eventos DDoS |
| VPC Flow Logs | Análisis detallado de tráfico durante ataques |
| AWS Firewall Manager | Aplicación de políticas Shield/WAF centralizadas |
| CloudTrail | Registro de configuraciones relacionadas con Shield |
| AWS Config | Audita recursos protegidos con Shield Advanced |
💰 Precios
| Versión | Costo |
|---|---|
| Shield Standard | Gratis (activado por defecto) |
| Shield Advanced | $3,000 USD/mes por cuenta raíz (incluye 100 recursos) |
DDoS Cost Protection reembolsa cargos extra provocados por ataques (si es aprobado por soporte).
🧠 Preguntas tipo certificación
-
¿Qué versión de AWS Shield está habilitada por defecto?
- ✅ Shield Standard
-
¿Shield Advanced incluye protección financiera ante ataques?
- ✅ Sí
-
¿Qué recursos están protegidos por Shield Standard?
- ✅ CloudFront, ELB, Route 53, entre otros
-
¿Shield Advanced requiere configuración adicional?
- ✅ Sí, hay que activar recursos específicos
-
¿Shield Advanced protege a nivel de capa 7 (aplicación)?
- ❌ No directamente; se complementa con AWS WAF
📚 Recursos útiles
✅ Casos de uso recomendados
-
Proteger aplicaciones críticas que usan CloudFront + ALB
-
Sitios web sensibles a disponibilidad ante ataques
-
Plataformas financieras o de ecommerce
-
Aplicaciones que requieren SLA fuerte y soporte dedicado