Questo documento fornisce una panoramica di reCAPTCHA per WAF e della sua integrazione con i fornitori di servizi diweb application firewallb (WAF).
reCAPTCHA fornisce un plug-in il cui deployment viene eseguito "as a Service" a livello WAF. Consente ai WAF di aiutarti a proteggere il tuo sito da spam e attività illecite. Utilizza tecniche avanzate di analisi del rischio per distinguere tra richieste legittime e fraudolente.
Integrazione di reCAPTCHA per WAF
reCAPTCHA fornisce un plug-in responsabile del rilevamento dei bot a livello WAF per rilevare, bloccare o gestire le attività automatizzate che accedono ai tuoi siti web o servizi.
reCAPTCHA per WAF si integra con i seguenti provider di servizi WAF:
- WAF integrato diGoogle Cloud: Google Cloud Armor
- Fornitori di servizi WAF di terze parti: Fastly Edge Compute e Cloudflare Workers
Per controllare l'accesso alle applicazioni o ai servizi, i fornitori di servizi WAF utilizzano un insieme di regole chiamate policy che filtrano il traffico in base a determinate condizioni. Le condizioni includono l'indirizzo IP, l'intervallo IP, il codice regione o le intestazioni delle richieste di una richiesta in entrata. Cloud Armor utilizza policy di sicurezza.
reCAPTCHA per WAF interagisce con i fornitori di servizi WAF per svolgere le seguenti operazioni:
- L'utente finale attiva un'azione dell'applicazione protetta da reCAPTCHA per WAF.
- Il client JavaScript reCAPTCHA emette un token criptato che contiene la valutazione di reCAPTCHA e gli attributi associati.
- Il token reCAPTCHA è allegato alle richieste successive.
Il fornitore di servizi WAF decifra questo token. In base agli attributi del token e alle regole di sicurezza configurate, il fornitore di servizi WAF consente, blocca o reindirizza le richieste in entrata a una pagina di verifica interstiziale.
Il seguente diagramma è una rappresentazione grafica di come il fornitore di servizi WAF interagisce con reCAPTCHA per WAF per applicare la valutazione senza attrito:
Quando utilizzare reCAPTCHA per l'integrazione di WAF
Utilizza questa integrazione quando la tua applicazione si trova già dietro un WAF e vuoi disaccoppiare le modifiche alle norme reCAPTCHA dal codice frontend e backend.
Vantaggi
L'integrazione di reCAPTCHA per WAF offre i seguenti vantaggi:
- Il codice del server di backend non deve essere modificato, poiché l'integrazione avviene a livello WAF.
- JavaScript lato client non deve essere modificato, in quanto reCAPTCHA per le integrazioni WAF può inserire dinamicamente un'integrazione client JavaScript (per le chiavi del token di sessione e della pagina di verifica) oppure non è necessario alcun client (per le chiavi espresse).
- Il traffico dei bot viene mitigato al limite della rete, riducendo il carico sul backend protetto.
- I criteri di sicurezza di Google Cloud Armor semplificano le regole di accesso alla tua applicazione protetta.
Passaggi successivi
- Scopri le funzionalità offerte da reCAPTCHA per WAF.