Google Cloud Armor Bot Management Overview (Bot-Verwaltung)

Google Cloud Armor bietet eine effektive Verwaltung der Anfragen automatisierter Clients an Ihre Back-Ends durch native Einbettung in reCAPTCHA Enterprise. reCAPTCHA Enterprise verwendet fortschrittliche Risikoanalysetechniken, um zwischen Nutzer und automatisierte Clients zu unterscheiden. Durch die Einbettung gibt reCAPTCHA Enterprise ein verschlüsseltes Token aus, das die reCAPTCHA Enterprise-Bewertung und die zugeordneten Attribute zu dem mit der Anfrage verbundenen Risiko enthält. Google Cloud Armor entschlüsselt dieses Token ohne eine weitere Anfrage/Antwort an den reCAPTCHA Enterprise-Server. Anhand der Tokenattribute können Sie mit Google Cloud Armor eingehende Anfragen zulassen, blockieren oder weiterleiten.

Die Bot-Verwaltung in Google Cloud Armor bietet folgende integrierte Funktionen.

  • Manuelle Herausforderung
    • Sie können Anfragen intern zur reCAPTCHA Enterprise-Bewertung mit optionalen manuellen Herausforderungen weiterleiten und Nutzer ausnehmen, die die Bewertung bestehen.
    • Sie müssen keine reCAPTCHA Enterprise-Implementierung machen.
    • Sie müssen eine Sicherheitsrichtlinienregel für die Weiterleitung zur reCAPTCHA Enterprise-Bewertung konfigurieren.
  • reCAPTCHA Enterprise-Prüfung erzwingen
    • Sie können reCAPTCHA Enterprise-Tokens evaluieren, die mit einer Anfrage verknüpft sind, und Sicherheitsrichtlinienentscheidungen anhand von Tokenattributen treffen, ohne dass Ihre Back-Ends beteiligt sind und ohne die Netzwerkkosten einer Anfrage/Antwort zur Entschlüsselung des Token zu generieren.
    • Sie müssen zwischen reCAPTCHA-Aktions- oder Sitzungs-Tokens wählen und eine reCAPTCHA Enterprise-Implementierung ausführen, um Tokens an eine Anfrage anzuhängen.
    • Sie müssen eine Sicherheitsrichtlinienregel konfigurieren, die reCAPTCHA Enterprise-Tokens auswertet.

Zusätzlich zu den vorherigen, auf der reCAPTCHA Enterprise-Einbettung basierenden Funktionen, bietet die Botverwaltung von Google Cloud Armor folgende Funktionen.

  • Weiterleiten (302)
    • Sie können Anfragen mit einer 302-Antwort an Ihre konfigurierte alternative URL weiterleiten.
  • Anfrage gestalten
    • Sie können benutzerdefinierte Header in Anfragen einfügen, bevor Sie sie an Ihre Back-Ends weiterleiten.

Anwendungsfälle

In diesem Abschnitt wird beschrieben, wie Sie den Zugriff von automatisierten Clients mit der Bot-Verwaltung steuern:

Eine manuelle Identitätsbestätigung zur Unterscheidung zwischen berechtigten Nutzern und automatisierten Kunden nutzen

Sie können eine Anfrage an reCAPTCHA Enterprise weiterleiten, um Nutzer zu bewerten und bei Bedarf manuelle Herausforderungen anzuwenden, ohne zusätzliche reCAPTCHA Enterprise-Implementierungen vorzunehmen. Wenn menschliche Nutzer dieselbe Signatur (z. B. URL-Pfade oder andere L7-Signaturen) wie ein Bot oder missbräuchliches System verwenden, können sie über diese Aktien nachweisen, dass sie Menschen sind und Zugriff erhalten, anstatt blockiert zu werden. Nur Nutzer, die die Prüfung bestehen, können ein Ausnahme-Cookie erwerben und Zugriff auf Ihren Dienst erhalten.

Folgendes Diagramm zeigt, wie eine manuelle Herausforderung unterscheidet, ob eine Anfrage von einem Menschen oder einem automatisierten Client stammt:

Beispiel für die Weiterleitung zu reCAPTCHA.
Beispiel für die Weiterleitung zu reCAPTCHA (zum Vergrößern klicken)

Angenommen, der Nutzer Maya und ein Bot gehen die Anmeldeseite (/login.html) Ihrer Website (www.myapp.com) durch. Wenn Sie Maya den Zugriff erlauben möchten, ohne dem Bot Zugriff zu gewähren, können Sie die Anfrage mit folgender Regel zur Bewertung an reCAPTCHA Enterprise weiterleiten:

request.path.matches(\"/login.html\") => redirect, type=GOOGLE_RECAPTCHA

Wenn der Endnutzer Ihre Website zum ersten Mal aufruft, wird die Anfrage an einen internen Google reCAPTCHA Enterprise-Dienst weitergeleitet, der mit einer HTML-Seite mit eingebettetem reCAPTCHA Enterprise-JavaScript antwortet. Wenn die Seite gerendert wird, wird der eingebettete JavaScript-Code ausgeführt, um den Nutzer zu bewerten. Bei Bedarf werden manuelle Herausforderungen bereitgestellt. Nutzer, die die reCAPTCHA Enterprise-Prüfung bestehen, erhalten ein Ausnahme-Cookie. Dieses wird vom Browser automatisch an jede nachfolgende Anfrage an dieselbe Website angehängt, bis das Cookie abläuft. Nutzer, die die Prüfung nicht bestehen, erhalten kein Ausnahme-Cookie. In diesem Fall erhält nur Mayas Browser ein Ausnahme-Cookie. Anfragen mit einem gültigen Ausnahme-Cookie werden von zusätzlichen Weiterleitungen ausgenommen und können daher auf Ihre Website zugreifen.

reCAPTCHA Enterprise-Bewertung erzwingen

Wenn ein reCAPTCHA Enterprise-Token mit einer eingehenden Anfrage verknüpft ist, wertet Google Cloud Armor die Anfrage aus und wendet die konfigurierte Aktion basierend auf den einzelnen Attributen im Token an.

reCAPTCHA Enterprise-Tokens

reCAPTCHA Enterprise gibt zwei Arten von Tokens aus: Aktions- und Sitzungstokens. Beide Tokentypen enthalten Attribute, darunter ein Konfidenzwert, der die Wahrscheinlichkeit angibt, dass ein Nutzer ein Mensch ist.

Bevor Sie Sicherheitsrichtlinien für die Auswertung von reCAPTCHA Enterprise-Tokens konfigurieren, müssen Sie Aktionstokens, Sitzungstokens oder beides verwenden. Wir empfehlen Ihnen, die reCAPTCHA Enterprise-Dokumentation zu lesen, um Ihre Entscheidung zu verstehen. Weitere Informationen finden Sie im Anwendungsfall für reCAPTCHA Enterprise.

Nachdem Sie ermittelt haben, welchen Tokentyp Sie nutzen möchten, führen Sie die reCAPTCHA Enterprise-Implementierung für das Token aus, das mit einer Anfrage verknüpft werden soll. Informationen zum Implementieren von Tokens in reCAPTCHA Enterprise finden Sie unter reCAPTCHA Enterprise-Aktionstoken implementieren und reCAPTCHA Enterprise-Sitzungstoken implementieren.

Richten Sie abschließend Sicherheitsregeln ein, die Google Cloud Armor nutzt, um die mit der Anfrage verknüpften reCAPTCHA Enterprise-Tokens zu bewerten.

Folgende Abbildung zeigt den Ablauf der reCAPTCHA Enterprise-Tokenerzwingung.

reCAPTCHA-Tokens erzwingen
Ablauf zum Erzwingen des reCAPTCHA-Tokens (zum Vergrößern anklicken)

Weiterleitung (302-Antwort)

Sie können eine URL-basierte Weiterleitungsaktion verwenden, um Anfragen extern an einen anderen Endpunkt weiterzuleiten. Sie geben ein Weiterleitungsziel in Form einer URL an und Google Cloud Armor leitet die Anfrage weiter. Dabei wird eine 302-Antwort an den Client gesendet.

Anfrage gestalten

Google Cloud Armor kann benutzerdefinierte Anfrageheader einfügen, bevor die Anfragen an die Anwendung weitergeleitet werden. Mit dieser Option können Sie verdächtige Anfragen mit Tags kennzeichnen, etwa wenn Sie alternative Verarbeitungs- oder Analyseverfahren nutzen. Dieser Aktionsparameter muss einer vorhandenen Aktion, beispielsweise allow, hinzugefügt werden.

Nächste Schritte