AGENDAR DEMO
INGRESAR

Las mejores prácticas para prevenir ataques DDoS en la nube

Por Juan Andrés Nuñez 06 Feb 2018

Las-mejores-prácticas-para-prevenir-ataques-DDoS-en-la-nube.png

También conocidos como la peor pesadilla de un administrador de sistemas, los ataques DDoS (Distributed Denial of Service, Denegación de Servicio Distribuido) pueden causar estragos fatales en redes corporativas y costar a las empresas importantes sumas de dinero en caso de no estar preparados. Mientras que quienes cuentan con un servidor local propio son en la mayoría de los casos los más afectados, aquellos que utilizan sistemas de cómputo en la nube, tales como Google Cloud o Amazon Web Services (AWS), no están exentos de tales amenazas. A continuación, revisaremos algunas de las medidas de ciberseguridad para prevenir y mitigar este tipo de ataques en configuraciones de cloud computing, pero primero, a lo básico:

¿En qué consiste un ataque DDoS?

Un ataque DDoS (Distributed Denial of Service) es un intento de agotar los recursos disponibles para una red, aplicación o servicio para que sus usuarios legítimos no puedan accederla.

Hace algunos años, e impulsado en gran parte por el aumento del “hacktivismo”, se ha visto un renacimiento en los ataques DDoS que ha llevado a la innovación en las áreas de herramientas, objetivos y técnicas utilizadas para ejecutarlos.

En la actualidad, la definición de "ataque DDoS" continúa complicándose. Los hackers utilizan una combinación de ataques de gran volumen, junto con infiltraciones más sutiles y difíciles de detectar que apuntan a las aplicaciones, así como a la infraestructura de seguridad de red existente, como firewalls e IPS (sistemas de protección contra intrusiones).

¿Cómo evitarlos al trabajar con servidores en la nube?

Piensa en Soluciones Escalables: Construir una infraestructura escalable es fundamental para un sistema bien estructurado, sin embargo, también es una técnica de gran efectividad a la hora de evitar ataques DDoS. Escalar para cumplir con los volúmenes de tráfico adicionales, ya sean válidos o de un ataque DDoS, aumentará la capacidad de tus servidores para seguir funcionando.

Minimiza el área de superficie de ataque: En este caso es clave desacoplar las partes de tu infraestructura de red. Por ejemplo, al ejecutar sitios web públicos, separa la aplicación de la base de datos y, si es posible, los medios y su contenido estático también. Las aplicaciones desacopladas limitan el acceso a Internet a los componentes críticos del sistema, protegiéndolos de un ataque.

Conoce tu tráfico normal: Identificar el tráfico correctamente es fundamental. Por ejemplo, si tu sitio web recibe atención de los medios y de repente se ve abrumado por el tráfico, el bloqueo del tráfico puede causarte más daño que beneficio. El registro constante y el monitoreo de la infraestructura pueden ayudarte a identificar rápidamente un ataque legítimo y así actuar a tiempo.

¿Cómo puedo mitigar un ataque?

Aísla tu tráfico interno de la red exterior: Implementa instancias sin IP públicas a menos que sea necesario. Por ejemplo, configurar una puerta de enlace NAT o un bastión SSH para limitar el número de instancias que están expuestas a Internet. Una vez disponible, implementa el equilibrio interno de carga para que las instancias internas de tus clientes accedan a los servicios implementados internamente evitando así exposición al mundo externo.

Implementa soluciones de protección DDoS de terceros: Con el fin de satisfacer tus necesidades específicas de protección para la mitigación de ataques DDoS, considera adquirir soluciones de protección DDoS especializadas para protegerte contra dichos ataques. También puedes implementar soluciones anti-DDoS disponibles a través de tu plataforma, en los casos de Google Cloud y Amazon Web Services.

Equilibra tu carga con la ayuda de Proxys: Al habilitar herramientas de balance de carga HTTP(S) o balance de carga SSL proxy, la infraestructura de tus servidores cloud es capaz de mitigar y absorber muchos ataques de Capa 4 y siguientes, tales como inundación SYN, inundación de fragmento de IP, etc. Si cuentas con una herramienta de balance de carga HTTP(S) en múltiples regiones, puedes utilizarlos para dispersar el ataque a través de las instancias de tus servidores alrededor del globo.

En conclusión, si bien los ataques DDoS continúan siendo una amenaza permanente para la infraestructura cloud, existen muchas maneras de estar preparados y enfrentarlos de manera exitosa para mantener tus sitios web o aplicaciones siempre disponibles en caso de recibir un intento de saturar tu red. Sin importar la plataforma que uses, siempre es necesario tener estos datos en mente para mantener una red saludable y estable para tus usuarios.

 

New Call-to-action

New call-to-action

Suscríbete

Artículos por tópicos

A clear and bold header

Some additional information in one line