Este documento oferece uma visão geral do reCAPTCHA para WAF e da integração dele com provedores de serviços de firewall de aplicativos da Web (WAF, na sigla em inglês).
O reCAPTCHA oferece um plug-in implantado como um serviço na camada do WAF. Ele permite que os WAFs ajudem a proteger seu site contra spam e abuso. Ele usa técnicas avançadas de análise de risco para distinguir entre solicitações legítimas e fraudulentas.
Integração do reCAPTCHA para WAF
O reCAPTCHA oferece um plug-in responsável pela detecção de bots na camada do WAF para detectar, interromper ou gerenciar atividades automatizadas de acesso a sites ou serviços.
O reCAPTCHA para WAF se integra aos seguintes provedores de serviços de WAF:
- WAF integrado doGoogle Cloud: Google Cloud Armor
- Provedores de serviços WAF de terceiros: Fastly Edge Compute e Cloudflare Workers
Para controlar o acesso aos aplicativos ou serviços, os provedores de serviços de WAF usam um conjunto de regras chamadas políticas que filtram o tráfego com base em condições. As condições incluem endereço IP, intervalo de IP, código da região ou cabeçalhos de uma solicitação recebida. O Google Cloud Armor usa políticas de segurança e provedores de serviços WAF terceirizados usam políticas de firewall do reCAPTCHA (políticas de firewall).
O reCAPTCHA para WAF interage com provedores de serviços de WAF para fazer o seguinte:
- O usuário final aciona uma ação de aplicativo protegida pelo reCAPTCHA para WAF.
- O cliente JavaScript do reCAPTCHA emite um token criptografado que contém a avaliação do reCAPTCHA e os atributos associados.
- O token reCAPTCHA é anexado às solicitações de acompanhamento.
O provedor de serviços de WAF decifra esse token. Com base nos atributos do token e nas regras de segurança ou de política de firewall configuradas, o provedor de serviços do WAF permite, bloqueia ou redireciona as solicitações recebidas para uma página de desafio intersticial.
O diagrama a seguir é uma representação gráfica simplificada de como o provedor de serviços de WAF interage com o reCAPTCHA para WAF para aplicar avaliações sem atrito:
Quando usar o reCAPTCHA para integração com WAF
Use essa integração quando o aplicativo já estiver atrás de um WAF e você quiser desvincular as mudanças na política do reCAPTCHA do código de front-end e back-end.
Vantagens
A integração do reCAPTCHA para WAF oferece os seguintes benefícios:
- O código do servidor de back-end não precisa ser modificado, já que a integração ocorre na camada do WAF.
- Não é necessário modificar o JavaScript do front-end, já que as integrações do reCAPTCHA para WAF podem injetar dinamicamente uma integração de cliente JavaScript (para chaves de token de sessão e página de desafio) ou não é necessário nenhum cliente (para chaves expressas).
- O tráfego de bots é reduzido na borda da sua rede, diminuindo a carga no back-end protegido.
- As políticas de segurança do Google Cloud Armor ou as regras de política de firewall do reCAPTCHA simplificam as regras de acesso ao aplicativo protegido.
A seguir
- Saiba mais sobre os recursos oferecidos pelo reCAPTCHA para WAF.