Google Cloud Armor 机器人管理概览

Google Cloud Armor 和 reCAPTCHA Enterprise 提供可帮助您评估可能来自自动化客户端的传入请求并对其执行操作的工具。

reCAPTCHA Enterprise 使用先进的风险分析技术来区分真人用户和自动化客户端。reCAPTCHA Enterprise 根据 reCAPTCHA WAF 网站密钥的配置评估用户。然后，它会颁发一个加密令牌，其中包含表示相关风险的特性。Google Cloud Armor 会以内嵌方式解密此令牌，无需对 reCAPTCHA Enterprise 服务进行额外的请求或响应。根据令牌特性，Google Cloud Armor 使您可以允许、拒绝、重定向传入请求或限制传入请求速率。如需了解详情，请参阅 Google Cloud Armor 和 reCAPTCHA Enterprise 集成概览。

Google Cloud Armor 的机器人管理包括以下集成功能。

手动验证（reCAPTCHA 验证页面）
- 您必须配置用于重定向请求以进行 reCAPTCHA Enterprise 评估的安全政策规则。
- 您可以创建自己的 reCAPTCHA Enterprise WAF 网站密钥，并将其与您的安全政策相关联。我们强烈建议您这样做。如需了解详情，请参阅实现 reCAPTCHA 验证。
- 通过重定向最终用户以进行 reCAPTCHA Enterprise 评估，您可以仅允许通过 reCAPTCHA Enterprise 手动验证的最终用户。
强制执行 reCAPTCHA Enterprise 流畅评估
- 您可以根据 reCAPTCHA Enterprise 对请求源自机器人的风险的评估，对传入请求执行不同的操作。您可以编写安全政策规则，以根据令牌得分和其他令牌特性评估和过滤流量。
- 您必须实现 reCAPTCHA Enterprise 操作令牌和/或会话令牌。网站、iOS 和 Android 上运行的应用支持 reCAPTCHA 操作令牌。只有网站支持 reCAPTCHA 会话令牌。如需详细了解 reCAPTCHA 令牌，请参阅 reCAPTCHA 操作令牌和 reCAPTCHA 会话令牌。
- 您必须配置用于评估 reCAPTCHA Enterprise 令牌的安全政策规则。
- 为了防止令牌盗用，我们建议您将自己的 WAF reCAPTCHA Enterprise 密钥与安全政策规则相关联。

Google Cloud Armor 机器人管理还包含以下功能。

重定向 (302)
- 您可以将 Google Cloud Armor 配置为向客户端发送 HTTP 302 响应，从而将请求重定向到配置的备用网址。
修饰请求
- 您可以在请求中插入自定义标头并将静态值插入这些标头中，然后再通过代理将请求发送到后端。

使用场景

本部分介绍如何使用 Google Cloud Armor 机器人管理功能来降低机器人风险并控制来自自动化客户端的访问。

使用手动验证来区分合法用户和自动化客户端

您可以将请求重定向到 reCAPTCHA Enterprise 以评估终端客户端，并在必要时发送手动验证，而无需任何额外的 reCAPTCHA Enterprise 实现。当真人用户与机器人或滥用系统共用相同的签名（例如网址路径或其他 L7 签名）时，此操作可为他们提供证明自己是真人的方法。只有通过评估的用户才能访问您的服务。

下图展示了手动验证如何区分请求是来自真人还是自动化客户端：

重定向到 reCAPTCHA 的示例。 — 重定向到 reCAPTCHA 的示例（点击可放大）。

假设用户 Maya 和机器人都在浏览您网站上的登录页面 (/login.html)。如需允许 Maya 访问同时不向机器人授予访问权限，您可以使用高级匹配表达式 request.path.matches("/login.html") 和类型为 GOOGLE_RECAPTCHA 的 redirect 操作配置安全政策规则。端到端用户体验如下：

最终用户首次访问您的网站。
Google Cloud Armor 评估请求，并确定将其重定向到 reCAPTCHA Enterprise。
reCAPTCHA Enterprise 返回一个嵌入了 reCAPTCHA Enterprise JavaScript 的 HTML 页面。
当响应呈现时，嵌入的 JavaScript 会运行以评估用户，并根据需要提供手动质询。
- 如果用户通过评估，reCAPTCHA Enterprise 颁发一个豁免 Cookie，由浏览器自动附加到对相同网站的每个后续请求，直到 Cookie 过期。
- 否则，reCAPTCHA Enterprise 不颁发豁免 Cookie。

在此示例中，只有 Maya 通过了 reCAPTCHA Enterprise 评估并收到豁免 Cookie，从而获得对您网站的访问权限。

使用手动验证时，建议您创建自己的 reCAPTCHA WAF 网站密钥，并将其与安全政策关联。这样，您就可以查看与网站密钥关联的 reCAPTCHA Enterprise 指标，并训练特定于网站密钥的安全模型。如需了解详情，请参阅创建 reCAPTCHA WAF 验证网站密钥。

如果您不创建并关联网站密钥，reCAPTCHA Enterprise 会在评估期间使用 Google 管理的网站密钥。您无法查看与您不拥有的网站密钥（包括 Google 管理的网站密钥）关联的 reCAPTCHA 指标。

强制执行 reCAPTCHA Enterprise 评估

如果存在附加到传入请求的 reCAPTCHA Enterprise 令牌，则 Google Cloud Armor 会根据令牌中的各个特性评估该请求并应用配置的操作。 Google Cloud Armor 安全政策评估在 Google 的网络边缘进行，因此您的后端不参与令牌解密。

reCAPTCHA Enterprise 令牌

reCAPTCHA Enterprise 颁发两种类型的令牌：操作令牌和会话令牌。这两种类型的令牌都会根据与您的网站或应用的互动情况返回每个请求的得分。这两种类型的令牌都包含一些属性，其中包括表示与用户关联的风险的分数。它们还包含有关生成令牌时使用的 reCAPTCHA Enterprise 密钥的信息。

在配置安全政策规则之前，您必须决定是使用操作令牌、会话令牌还是同时使用两者。建议您阅读 reCAPTCHA Enterprise 文档，以做出明智的决策。如需了解详情，请参阅 reCAPTCHA Enterprise 用例比较。

确定要使用的令牌类型后，您需要对要附加到请求的令牌执行 reCAPTCHA Enterprise 实现。如需了解如何在 reCAPTCHA Enterprise 中实现令牌，请参阅以下页面：

Web 应用
- 实现 reCAPTCHA Enterprise 操作令牌
- 实现 reCAPTCHA Enterprise 会话令牌
移动应用
- 实现 reCAPTCHA Enterprise 操作令牌

最后，使用 Google Cloud Armor 规则语言配置安全政策规则，用于评估附加在请求中的 reCAPTCHA Enterprise 令牌。为防止令牌被盗，我们强烈建议您将 reCAPTCHA Enterprise 密钥与安全政策规则相关联。将 reCAPTCHA 密钥与安全政策规则相关联时，Google Cloud Armor 会将令牌中的 reCAPTCHA 密钥与规则关联的 reCAPTCHA 密钥进行比较，从而对令牌执行额外的验证。Google Cloud Armor 将 reCAPTCHA 密钥未知的令牌视为无效。如需了解详情，请参阅强制执行 reCAPTCHA Enterprise 流畅评估。

下图展示了 reCAPTCHA Enterprise 令牌强制执行流程。

reCAPTCHA 令牌强制执行流程。 — reCAPTCHA 令牌强制执行流程（点击可放大）。

重定向（302 响应）

您可以使用基于网址的重定向操作在外部将请求重定向到其他端点。您需要以网址的形式提供重定向目标，Google Cloud Armor 通过向客户端发送 HTTP 302 响应来重定向请求。

修饰请求

在将请求通过代理发送到应用之前，Google Cloud Armor 可以插入具有静态用户定义值的自定义请求标头。借助此选项，您可以标记可疑请求以进行其他下游处理（例如发送“蜜罐”），或进行其他分析和监控。请注意，必须将此操作参数添加到现有 allow 操作。

自定义标头

如果您已将 Google Cloud Armor 配置为插入与全球外部应用负载均衡器或传统版应用负载均衡器的自定义标头之一相同的自定义标头或值，则标头值为被负载均衡器覆盖。如需了解详情，请参阅在后端服务中创建自定义标头。

此外，如果您选择请求中已存在的标头名称（包括标准 HTTP 标头），则该标头中的原始值将被提供给 Google Cloud Armor 规则的用户定义值覆盖。

与速率限制集成

Google Cloud Armor 速率限制规则与机器人管理功能兼容。例如，您可以重定向请求以进行 reCAPTCHA Enterprise 评估，或者在请求数量超过配置的阈值时重定向到其他网址。此外，您还可以根据 reCAPTCHA Enterprise 豁免 Cookie 或令牌确定要应用速率限制的客户端，以对请求限流或禁止以超过用户配置的阈值的速率重复使用或滥用相同 Cookie 或令牌的客户端。

限制 reCAPTCHA Enterprise 豁免 Cookie 或令牌的速率

为提高安全性，我们建议您配置速率限制规则，以防止令牌滥用，即多次使用每个唯一的 reCAPTCHA 操作令牌、会话令牌或豁免 Cookie。下表说明了如何将 reCAPTCHA Enterprise 豁免 Cookie 或令牌标识为速率限制规则中的键。

资源	`enforce_on_key`	`enforce_on_key_name`
豁免 Cookie	`HTTP-COOKIE`	`recaptcha-ca-e`
操作令牌	`HTTP-HEADER`	`X-Recaptcha-Token`
会话令牌	`HTTP-COOKIE`	`recaptcha-ca-t`

您可以对请求限流，或禁止依赖于相同豁免 Cookie 或令牌的客户端，或禁止超出配置的阈值的客户端。如需详细了解速率限制参数，请参阅应用速率限制。

速率限制示例

首先，假设您只对网站上的选定网址（例如 /login.html）使用手动验证。为此，请按如下所示配置安全政策规则：

规则 1：如果请求附加了有效的豁免 Cookie，并且豁免 Cookie 的使用次数低于您定义的阈值，则允许该请求。
规则 2：重定向请求以进行 reCAPTCHA Enterprise 评估。

其次，假设您仅在网站上使用操作令牌或会话令牌。例如，您可以使用操作令牌来保护重要的用户操作，例如 /login.html。为此，请根据操作令牌中的分数执行操作，如下所示：

规则 1：当操作令牌中的分数高于预定义阈值（例如 0.8）时，如果操作令牌的使用次数低于您定义的阈值，则允许请求。
规则 2：拒绝请求。

强制执行 reCAPTCHA Enterprise 操作令牌评估。 — 强制执行 reCAPTCHA Enterprise 操作令牌评估（点击可放大）。

您可以配置类似的安全政策规则以强制执行 reCAPTCHA Enterprise 会话令牌评估。

第三，假设您将操作令牌或会话令牌与网站上所选网址（如 /login.html）的手动验证相结合，并且您希望根据操作令牌中的分数来执行操作。此外，如果分数不够满意，您希望通过回答验证问题再给客户提供一次机会。为此，请按如下所示配置安全政策规则：

规则 1：当操作令牌中的分数高于预定义阈值（例如 0.8）时，如果操作令牌的使用次数低于您定义的阈值，则允许请求。
规则 2 和 3：当操作令牌中的分数高于另一个预定义的阈值（例如 0.5）时，除非请求附加了有效的豁免 Cookie 并且豁免 Cookie 的使用次数低于您定义的阈值，否则重定向请求以进行 reCAPTCHA Enterprise 评估。
规则 4：拒绝请求。

通过手动验证强制执行 reCAPTCHA Enterprise 操作令牌评估。 — 通过手动验证方式强制执行 reCAPTCHA Enterprise 操作令牌评估（点击可放大）。

您可以配置类似的安全政策规则，以通过手动验证来强制执行 reCAPTCHA Enterprise 会话令牌评估。

如果您不调整速率限制规则，Google Cloud Armor 不会对每个 reCAPTCHA 豁免 Cookie、操作令牌和会话令牌的使用次数施加限制。对于操作令牌，我们建议使用低阈值（例如 1）和高时间间隔（例如 30 分钟，因为操作令牌的有效时间为 30 分钟）。我们建议您根据流量统计信息确定阈值。