En este documento, se proporciona una descripción general de reCAPTCHA para WAF y su integración con proveedores de servicios de firewall de aplicación web (WAF).
reCAPTCHA proporciona un complemento que se implementa como un servicio en la capa del WAF. Permite que los WAF te ayuden a proteger tu sitio del spam y el abuso. Para ello, utiliza técnicas avanzadas de análisis de riesgo que le permiten distinguir entre solicitudes legítimas y fraudulentas.
Integración de reCAPTCHA para WAF
reCAPTCHA proporciona un complemento que se encarga de la detección de bots en la capa de WAF para detectar, detener o administrar la actividad automatizada que accede a tus sitios web o servicios.
reCAPTCHA para WAF se integra con los siguientes proveedores de servicios de WAF:
- WAF integrado deGoogle Cloud: Google Cloud Armor
- Proveedores de servicios de WAF externos: Fastly Edge Compute y Cloudflare Workers
Para controlar el acceso a las aplicaciones o los servicios, los proveedores de servicios de WAF usan un conjunto de reglas llamadas políticas que filtran el tráfico según las condiciones. Las condiciones incluyen la dirección IP, el rango de IP, el código de región o los encabezados de solicitud de una solicitud entrante. Google Cloud Armor usa políticas de seguridad, y los proveedores de servicios de WAF externos usan políticas de firewall de reCAPTCHA (políticas de firewall).
reCAPTCHA para WAF interactúa con los proveedores de servicios de WAF para hacer lo siguiente:
- El usuario final activa una acción de la aplicación protegida por reCAPTCHA para WAF.
- El cliente de JavaScript de reCAPTCHA emite un token encriptado que contiene la evaluación de reCAPTCHA y los atributos asociados.
- El token de reCAPTCHA se adjunta a las solicitudes de seguimiento.
El proveedor de servicios del WAF descifra este token. Según los atributos del token y las reglas de seguridad o las reglas de política de firewall configuradas, el proveedor de servicios del WAF permite, bloquea o redirecciona las solicitudes entrantes a una página de desafío intersticial.
El siguiente diagrama es una representación gráfica simplificada de cómo el proveedor de servicios del WAF interactúa con reCAPTCHA para que el WAF aplique una evaluación sin fricciones:
Cuándo usar reCAPTCHA para la integración de WAF
Usa esta integración cuando tu aplicación ya esté detrás de un WAF y quieras desacoplar los cambios en la política de reCAPTCHA del código de frontend y backend.
Beneficios
La integración de reCAPTCHA para WAF proporciona los siguientes beneficios:
- No es necesario modificar el código del servidor de backend, ya que la integración se produce en la capa del WAF.
- No es necesario modificar el JavaScript del frontend, ya que las integraciones de reCAPTCHA para WAF pueden inyectar de forma dinámica una integración del cliente de JavaScript (para las claves de token de sesión y de página de desafío) o no se necesita ningún cliente (para las claves exprés).
- El tráfico de bots se mitiga en el perímetro de tu red, lo que reduce la carga en tu backend protegido.
- Las políticas de seguridad de Google Cloud Armor o las reglas de políticas de firewall de reCAPTCHA simplifican las reglas de acceso a tu aplicación protegida.
¿Qué sigue?
- Obtén información sobre las funciones que ofrece reCAPTCHA para WAF.