Questo documento fornisce una panoramica di reCAPTCHA per WAF e della sua integrazione con i fornitori di servizi diweb application firewallb (WAF).
reCAPTCHA fornisce un plug-in di cui viene eseguito il deployment come servizio nel livello WAF. Consente ai WAF di aiutarti a proteggere il tuo sito da spam e attività illecite. Utilizza tecniche avanzate di analisi del rischio per distinguere tra richieste legittime e fraudolente.
Integrazione di reCAPTCHA per WAF
reCAPTCHA fornisce un plug-in responsabile del rilevamento dei bot a livello WAF per rilevare, interrompere o gestire l'attività automatica che accede ai tuoi siti web o servizi.
reCAPTCHA per WAF si integra con i seguenti provider di servizi WAF:
- WAF integrato diGoogle Cloud: Google Cloud Armor
- Fornitori di servizi WAF di terze parti: Fastly Edge Compute e Cloudflare Workers
Per controllare l'accesso alle applicazioni o ai servizi, i fornitori di servizi WAF utilizzano un insieme di regole chiamate policy che filtrano il traffico in base a determinate condizioni. Le condizioni includono l'indirizzo IP, l'intervallo IP, il codice regione o le intestazioni delle richieste di una richiesta in entrata. Google Cloud Armor utilizza criteri di sicurezza e i fornitori di servizi WAF di terze parti utilizzano criteri firewall reCAPTCHA (criteri firewall).
reCAPTCHA per WAF interagisce con i fornitori di servizi WAF per svolgere le seguenti operazioni:
- L'utente finale attiva un'azione dell'applicazione protetta da reCAPTCHA per WAF.
- Il client JavaScript reCAPTCHA emette un token criptato che contiene la valutazione di reCAPTCHA e gli attributi associati.
- Il token reCAPTCHA è allegato alle richieste successive.
Il fornitore di servizi WAF decifra questo token. In base agli attributi del token e alle regole di sicurezza o alle regole dei criteri firewall configurate, il fornitore di servizi WAF consente, blocca o reindirizza le richieste in entrata a una pagina di verifica interstiziale.
Il seguente diagramma è una rappresentazione grafica semplificata di come il fornitore di servizi WAF interagisce con reCAPTCHA per WAF per applicare una valutazione senza attriti:
Quando utilizzare reCAPTCHA per l'integrazione di WAF
Utilizza questa integrazione quando la tua applicazione si trova già dietro un WAF e vuoi disaccoppiare le modifiche alle norme reCAPTCHA dal codice frontend e backend.
Vantaggi
L'integrazione di reCAPTCHA per WAF offre i seguenti vantaggi:
- Il codice del server di backend non deve essere modificato, poiché l'integrazione avviene a livello WAF.
- JavaScript lato client non deve essere modificato, in quanto reCAPTCHA per le integrazioni WAF può inserire dinamicamente un'integrazione client JavaScript (per le chiavi del token di sessione e della pagina di verifica) oppure non è necessario alcun client (per le chiavi espresse).
- Il traffico dei bot viene mitigato all'edge della rete, riducendo il carico sul backend protetto.
- I criteri di sicurezza di Google Cloud Armor o le regole dei criteri firewall reCAPTCHA semplificano le regole di accesso alla tua applicazione protetta.
Passaggi successivi
- Scopri le funzionalità offerte da reCAPTCHA per WAF.