이 문서에서는 WAF용 reCAPTCHA 및 WAF용 reCAPTCHA를 웹 애플리케이션 방화벽(WAF) 서비스 제공업체와 통합에 대해 간략하게 설명합니다.
reCAPTCHA는 WAF 레이어에서 서비스로 배포되는 플러그인을 제공합니다. WAF를 사용 설정하여 사이트를 스팸과 악용으로부터 보호합니다. 고급 위험 분석 기술을 사용하여 적법한 요청과 허위 요청을 구분합니다.
WAF용 reCAPTCHA 통합
reCAPTCHA는 웹사이트나 서비스에 액세스하는 자동화된 활동을 감지, 중지 또는 관리하기 위해 WAF 레이어에서 봇 감지를 담당하는 플러그인을 제공합니다.
WAF용 reCAPTCHA는 다음 WAF 서비스 제공업체와 통합됩니다.
- Google Cloud의 기본 제공 WAF: Google Cloud Armor
- 서드 파티 WAF 서비스 제공업체: Fastly Edge Compute 및 Cloudflare Workers
애플리케이션 또는 서비스에 대한 액세스를 제어하기 위해 WAF 서비스 제공업체는 조건에 따라 트래픽을 필터링하는 정책이라는 규칙 집합을 사용합니다. 조건에는 수신되는 요청의 IP 주소, IP 범위, 리전 코드 또는 요청 헤더가 포함됩니다. Cloud Armor는 보안 정책을 사용합니다.
WAF용 reCAPTCHA는 WAF 서비스 제공업체와 상호작용하여 다음을 수행합니다.
- 최종 사용자는 WAF용 reCAPTCHA로 보호되는 애플리케이션 작업을 트리거합니다.
- reCAPTCHA JavaScript 클라이언트는 reCAPTCHA의 평가와 관련 속성이 포함된 암호화된 토큰을 발급합니다.
- reCAPTCHA 토큰은 후속 요청에 연결됩니다.
WAF 서비스 제공업체는 이 토큰을 복호화합니다. WAF 서비스 제공업체는 토큰 속성과 구성된 보안 규칙에 따라 수신되는 요청을 허용, 차단 또는 인터스티셜 챌린지 페이지로 리디렉션합니다.
다음 다이어그램은 WAF 서비스 제공업체가 WAF용 reCAPTCHA와 상호작용하여 원활한 평가를 시행하는 방법을 그래픽으로 나타낸 것입니다.
WAF용 reCAPTCHA 통합을 사용해야 하는 경우
애플리케이션이 이미 WAF 뒤에 있고 프런트엔드 및 백엔드 코드에서 reCAPTCHA 정책 변경사항을 분리하려는 경우 이 통합을 사용하세요.
이점
WAF용 reCAPTCHA 통합은 다음과 같은 이점을 제공합니다.
- 통합이 WAF 레이어에서 발생하므로 백엔드 서버 코드를 수정할 필요가 없습니다.
- WAF 통합용 reCAPTCHA는 JavaScript 클라이언트 통합 (세션 토큰 및 챌린지 페이지 키용)을 동적으로 삽입할 수 있으며 클라이언트가 전혀 필요하지 않으므로 (익스프레스 키용) 프런트엔드 JavaScript를 수정할 필요가 없습니다.
- 네트워크 에지에서 봇 트래픽이 완화되어 보호된 백엔드의 부하가 줄어듭니다.
- Google Cloud Armor 보안 정책은 보호된 애플리케이션에 대한 액세스 규칙을 간소화합니다.
다음 단계
- WAF용 reCAPTCHA에서 제공하는 기능 자세히 알아보기