Configurer la gestion des bots

Cette page contient des informations sur la configuration de Google Cloud Armor. règles de sécurité pour la gestion des bots. Avant de configurer la gestion des bots, assurez-vous de maîtriser les informations Présentation de la gestion des bots.

Avant de commencer

Les sections suivantes décrivent tous les rôles IAM (Identity and Access Management) autorisations requises pour configurer des stratégies de sécurité Google Cloud Armor. Pour des cas d'utilisation présentés dans ce document, vous n'avez besoin compute.securityPolicies.create et compute.securityPolicies.update autorisations.

Configurer les autorisations IAM pour les stratégies de sécurité Google Cloud Armor

Les opérations suivantes nécessitent Identity and Access Management (IAM) Rôle d'administrateur de sécurité Compute (roles/compute.securityAdmin):

  • Configurer, modifier, mettre à jour et supprimer une instance Google Cloud Armor stratégie de sécurité
  • Utilisez les méthodes d'API suivantes: <ph type="x-smartling-placeholder">
      </ph>
    • SecurityPolicies insert
    • SecurityPolicies delete
    • SecurityPolicies patch
    • SecurityPolicies addRule
    • SecurityPolicies patchRule
    • SecurityPolicies removeRule

Un utilisateur disposant du rôle Administrateur de réseaux Compute (roles/compute.networkAdmin) peut effectuer les opérations suivantes:

  • Définir une stratégie de sécurité Google Cloud Armor pour un service de backend
  • Utilisez les méthodes d'API suivantes: <ph type="x-smartling-placeholder">
      </ph>
    • BackendServices setSecurityPolicy
    • BackendServices list (gcloud uniquement)

Utilisateurs disposant du rôle Administrateur de sécurité (roles/iam.securityAdmin) et le rôle Administrateur réseau Compute peuvent afficher les données de sécurité à l'aide des méthodes d'API SecurityPolicies get, list et getRule.

Configurer les autorisations IAM pour les rôles personnalisés

Le tableau suivant répertorie les autorisations standards des rôles IAM, ainsi que les méthodes d'API associées.

Autorisation IAM Méthodes d'API
compute.securityPolicies.create SecurityPolicies insert
compute.securityPolicies.delete SecurityPolicies delete
compute.securityPolicies.get SecurityPolicies get
SecurityPolicies getRule
compute.securityPolicies.list SecurityPolicies list
compute.securityPolicies.use BackendServices setSecurityPolicy
compute.securityPolicies.update SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
compute.backendServices.setSecurityPolicy BackendServices setSecurityPolicy

Utiliser un test manuel reCAPTCHA pour distinguer les clients humains des clients automatisés

Pour utiliser reCAPTCHA avec Google Cloud Armor, vous devez associer votre clé de site reCAPTCHA WAF (clé reCAPTCHA) de type CHALLENGEPAGE avec une stratégie de sécurité. Pour en savoir plus sur les clés reCAPTCHA, consultez la Présentation des clés reCAPTCHA

Pour associer votre propre clé reCAPTCHA à une stratégie de sécurité ou l'en dissocier, utilisez la commande suivante:

gcloud compute security-policies update SECURITY_POLICY \
    --recaptcha-redirect-site-key SITE_KEY

Remplacez les éléments suivants :

  • SECURITY_POLICY: nom de la stratégie de sécurité
  • SITE_KEY: votre clé reCAPTCHA CHALLENGEPAGE

Associer une clé reCAPTCHA

L'exemple suivant associe une clé reCAPTCHA à une stratégie de sécurité. La la clé reCAPTCHA associée s'applique à toutes les règles qui utilisent la vérification manuelle cette fonctionnalité dans la stratégie de sécurité donnée.

gcloud compute security-policies update SECURITY_POLICY \
    --recaptcha-redirect-site-key "SITE_KEY"

Dissocier une clé reCAPTCHA

Pour dissocier une clé reCAPTCHA d'une stratégie de sécurité, utilisez la commande suivante:

gcloud compute security-policies update SECURITY_POLICY \
    --recaptcha-redirect-site-key ""

Rediriger le trafic pour l'évaluation reCAPTCHA

Lorsque vous avez associé votre clé reCAPTCHA à votre stratégie de sécurité, vous pouvez créer une règle dans cette stratégie pour rediriger le trafic interne pour évaluation reCAPTCHA. Utilisez le format suivant dans le fichier gcloud CLI pour rediriger le trafic:

gcloud compute security-policies rules create PRIORITY \
  --security-policy SECURITY_POLICY \
  {--expression EXPRESSION | --src-ip-ranges SRC_IP_RANGE} \
  --action redirect \
  --redirect-type google-recaptcha

Remplacez les éléments suivants :

  • PRIORITY: priorité à laquelle vous souhaitez créer le règle
  • SECURITY_POLICY: nom de la stratégie de sécurité
  • EXPRESSION: expression de langage des règles personnalisées qui correspond au trafic sur lequel vous souhaitez appliquer l'évaluation reCAPTCHA
  • SRC_IP_RANGE : plage d'adresses IP. Utilisez-le pour appliquer Évaluation reCAPTCHA sur toutes les requêtes de cette plage.

L'exemple suivant crée une règle qui redirige le trafic qui tente d'atteindre /login.html pour un test manuel reCAPTCHA:

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY \
    --expression "request.path.matches(\"/login.html\")" \
    --action redirect \
    --redirect-type google-recaptcha

Appliquez une évaluation simplifiée reCAPTCHA

Avant de continuer, consultez les présentation de la gestion des bots pour connaître les prérequis d'utilisation de jetons d'action reCAPTCHA des jetons de session.

Pour extraire des attributs d'un jeton d'action reCAPTCHA, vous pouvez utiliser token.recaptcha_action.ATTRIBUTE Remplacer ATTRIBUTE par un attribut de jeton valide dans Langage de règles Google Cloud Armor De même, utilisez token.recaptcha_session.ATTRIBUTE. pour extraire les attributs d'un jeton de session reCAPTCHA. Pour plus des informations sur la syntaxe du jeton reCAPTCHA disponible ; , consultez la documentation de référence sur les langages de règles.

Un jeton d'action peut provenir d'une application Web, d'une application iOS ou une application Android, alors qu'un jeton de session ne peut provenir application. Chaque plate-forme nécessite une clé reCAPTCHA distincte. Les expressions token.recaptcha_action.ATTRIBUTE et Les token.recaptcha_session.ATTRIBUTE s'appliquent aux jetons de n'importe laquelle de ces plates-formes. Distinguer les jetons de différentes plates-formes pour empêcher le vol de jetons, nous vous recommandons d'associer des clés reCAPTCHA lorsque vous configurer des règles qui utilisent ces expressions.

Examples

Le premier exemple crée une règle qui autorise le ciblage du trafic /login.html par un jeton d'action reCAPTCHA dont le score est de pas moins de 0.8.

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY \
    --expression "request.path.matches(\"/login.html\") && token.recaptcha_action.score >= 0.8" \
    --action allow

Le deuxième exemple est identique au premier, mais il nécessite également que le jeton d'action doit être émis avec une clé reCAPTCHA de example-site-key-1 ou example-site-key-2:

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY \
    --expression "request.path.matches(\"/login.html\") && token.recaptcha_action.score >= 0.8" \
    --recaptcha-action-site-keys "example-site-key-1,example-site-key-2" \
    --action allow

Le troisième exemple crée une règle qui autorise le trafic ciblant /login.html, avec un jeton de session reCAPTCHA émis avec une clé reCAPTCHA de example-site-key-3, et avec un score d'au moins 0.8.

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY \
    --expression "request.path.matches(\"/login.html\") && token.recaptcha_session.score >= 0.8" \
    --recaptcha-session-site-keys "example-site-key-3" \
    --action allow

Redirection (réponse 302)

Pour créer une règle permettant de rediriger le trafic vers une URL configurée par l'utilisateur, utilisez la méthode au format suivant dans la Google Cloud CLI:

gcloud compute security-policies rules create PRIORITY \
    --security-policy SECURITY_POLICY \
    {--expression EXPRESSION | --src-ip-ranges SRC_IP_RANGE} \
    --action redirect \
    --redirect-type external-302 \
    --redirect-target REDIRECT_URL

Remplacez les éléments suivants :

  • PRIORITY: priorité à laquelle vous souhaitez créer le règle
  • SECURITY_POLICY: nom de la stratégie de sécurité
  • EXPRESSION: expression de langage des règles personnalisées qui correspond au trafic pour lequel vous souhaitez appliquer l'évaluation reCAPTCHA
  • SRC_IP_RANGE : plage d'adresses IP. Utilisez-le pour appliquer Évaluation reCAPTCHA sur toutes les requêtes de cette plage.
  • REDIRECT_URL: URL vers laquelle vous souhaitez effectuer la redirection trafic

L'exemple suivant crée une règle qui redirige le trafic provenant de 10.10.10.0/24 vers https://www.example.com.

gcloud compute security-policies rules create 1000 \
   --security-policy SECURITY_POLICY \
   --src-ip-ranges "10.10.10.0/24" \
   --action redirect \
   --redirect-type external-302 \
   --redirect-target "https://www.example.com"

Décorer la requête

Pour créer une règle qui autorise le trafic tout en ajoutant des en-têtes personnalisés et des des valeurs statiques avant de les envoyer aux backends protégés, utilisez le code suivant : dans la gcloud CLI:

gcloud compute security-policies rules create PRIORITY \
    --security-policy SECURITY_POLICY \
    {--expression EXPRESSION | --src-ip-ranges SRC_IP_RANGE} \
    --action allow \
    --request-headers-to-add HEADER_1=VALUE_1,HEADER_2=VALUE_2,...

Remplacez les éléments suivants :

  • PRIORITY: priorité à laquelle vous souhaitez créer la règle
  • SECURITY_POLICY: nom de la stratégie de sécurité
  • EXPRESSION: expression de langage des règles personnalisées qui correspond au trafic sur lequel vous souhaitez appliquer l'évaluation reCAPTCHA
  • SRC_IP_RANGE : plage d'adresses IP. Utilisez-le pour appliquer Évaluation reCAPTCHA sur toutes les requêtes de cette plage.
  • HEADER_#: nom de l'en-tête de requête avec lequel vous voulez décorer la requête
  • VALUE_#: valeur de l'en-tête de requête avec laquelle vous voulez décorer la requête

L'exemple suivant crée une règle qui autorise le trafic ciblant /login.html, à condition que la requête soit également associée à un score de jeton d'action reCAPTCHA inférieure à 0.2.

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY \
    --expression "request.path.matches("/login.html") && token.recaptcha_action.score < 0.2" \
    --action allow \
    --request-headers-to-add "reCAPTCHA-Warning=high"

Étape suivante