Configura la administración de bots

En esta página, se proporciona información para configurar las reglas de la política de seguridad de Cloud Armor para la administración de bots. Antes de configurar la administración de bots, asegúrate de conocer la información que se incluye en la descripción general de la administración de bots.

Antes de comenzar

En las siguientes secciones, se explican todos los permisos y roles de Identity and Access Management (IAM) necesarios para configurar las políticas de seguridad de Cloud Armor. Para los casos de uso de este documento, solo necesitas los permisos compute.securityPolicies.create y compute.securityPolicies.update.

Configura los permisos de IAM para las políticas de seguridad de Cloud Armor

Las siguientes operaciones requieren el rol de administrador de seguridad de Compute (roles/compute.securityAdmin) de Identity and Access Management (IAM):

  • Configura, modifica, actualiza y borra una política de seguridad de Cloud Armor
  • Usa los siguientes métodos de API:
    • SecurityPolicies insert
    • SecurityPolicies delete
    • SecurityPolicies patch
    • SecurityPolicies addRule
    • SecurityPolicies patchRule
    • SecurityPolicies removeRule

Un usuario con el rol de administrador de red de Compute (roles/compute.networkAdmin) puede realizar las siguientes operaciones:

  • Cómo establecer una política de seguridad de Cloud Armor para un servicio de backend
  • Usa los siguientes métodos de API:
    • BackendServices setSecurityPolicy
    • BackendServices list (solo gcloud)

Los usuarios con el rol de administrador de seguridad (roles/iam.securityAdmin) y el rol de administrador de red de Compute pueden ver las políticas de seguridad de Cloud Armor con los métodos de la API de SecurityPolicies get, list y getRule.

Configura permisos de IAM para funciones personalizadas

En la siguiente tabla, se enumeran los permisos básicos de las funciones de IAM y sus métodos de API asociados.

Permiso de IAM Métodos de la API
compute.securityPolicies.create SecurityPolicies insert
compute.securityPolicies.delete SecurityPolicies delete
compute.securityPolicies.get SecurityPolicies get
SecurityPolicies getRule
compute.securityPolicies.list SecurityPolicies list
compute.securityPolicies.use BackendServices setSecurityPolicy
compute.securityPolicies.update SecurityPolicies patch
SecurityPolicies addRule
SecurityPolicies patchRule
SecurityPolicies removeRule
compute.backendServices.setSecurityPolicy BackendServices setSecurityPolicy

Usa un desafío manual de reCAPTCHA para distinguir entre clientes humanos y automatizados

Para usar reCAPTCHA con Cloud Armor, debes asociar tu clave de sitio del WAF de reCAPTCHA (clave de reCAPTCHA) de tipo CHALLENGEPAGE con una política de seguridad. Para obtener más información sobre las claves de reCAPTCHA, consulta la descripción general de las claves de reCAPTCHA.

Para asociar o desasociar tu propia clave de reCAPTCHA con una política de seguridad, usa el siguiente comando:

gcloud compute security-policies update SECURITY_POLICY \
    --recaptcha-redirect-site-key SITE_KEY

Reemplaza lo siguiente:

  • SECURITY_POLICY: El nombre de la política de seguridad
  • SITE_KEY: Tu clave de reCAPTCHA CHALLENGEPAGE

Asocia una clave de reCAPTCHA

En el siguiente ejemplo, se asocia una clave de reCAPTCHA con una política de seguridad. La clave de reCAPTCHA asociada se aplica a todas las reglas que usan la función de desafío manual en la política de seguridad determinada.

gcloud compute security-policies update SECURITY_POLICY \
    --recaptcha-redirect-site-key "SITE_KEY"

Cómo desvincular una clave de reCAPTCHA

Para desasociar una clave de reCAPTCHA con una política de seguridad, usa este comando:

gcloud compute security-policies update SECURITY_POLICY \
    --recaptcha-redirect-site-key ""

Redirecciona el tráfico para la evaluación de reCAPTCHA

Cuando hayas asociado tu clave de reCAPTCHA con tu política de seguridad, podrás crear una regla dentro de esa política para redireccionar el tráfico de forma interna para la evaluación de reCAPTCHA. Usa el siguiente formato en gcloud CLI para redireccionar el tráfico:

gcloud compute security-policies rules create PRIORITY \
  --security-policy SECURITY_POLICY \
  {--expression EXPRESSION | --src-ip-ranges SRC_IP_RANGE} \
  --action redirect \
  --redirect-type google-recaptcha

Reemplaza lo siguiente:

  • PRIORITY: Es la prioridad con la que deseas crear la regla.
  • SECURITY_POLICY: El nombre de la política de seguridad
  • EXPRESSION: Es la expresión del lenguaje de reglas personalizadas que coincide con el tráfico en el que deseas aplicar la evaluación de reCAPTCHA.
  • SRC_IP_RANGE: un rango de direcciones IP. Usa este parámetro para aplicar la evaluación de reCAPTCHA en todas las solicitudes de este rango.

En el siguiente ejemplo, se crea una regla que redirecciona el tráfico que intenta llegar a /login.html para un desafío manual de reCAPTCHA:

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY \
    --expression "request.path.matches(\"/login.html\")" \
    --action redirect \
    --redirect-type google-recaptcha

Aplica la evaluación sin inconvenientes de reCAPTCHA

Antes de continuar, consulta la descripción general de la administración de bots para conocer los requisitos previos respecto al uso de los tokens de acción o los tokens de sesión de reCAPTCHA.

Para extraer atributos de un token de acción de reCAPTCHA, puedes usar token.recaptcha_action.ATTRIBUTE. Reemplaza ATTRIBUTE por un atributo de token válido en el lenguaje de reglas de Cloud Armor. De manera similar, usa token.recaptcha_session.ATTRIBUTE para extraer atributos de un token de sesión de reCAPTCHA. Para obtener más información sobre la sintaxis de los atributos de token de reCAPTCHA disponibles, consulta la referencia del lenguaje de reglas.

Un action-token puede originarse en una aplicación web, una aplicación para iOS o una aplicación para Android, mientras que un session-token solo puede originarse en una aplicación web. Cada plataforma requiere una clave de reCAPTCHA independiente. Las expresiones token.recaptcha_action.ATTRIBUTE y token.recaptcha_session.ATTRIBUTE se aplican a los tokens de cualquiera de estas plataformas. Para distinguir los tokens de diferentes plataformas y evitar el robo de tokens, te recomendamos que asocies las claves de reCAPTCHA cuando configures reglas que usen estas expresiones.

Ejemplos

En el primer ejemplo, se crea una regla que permite la segmentación del tráfico /login.html con un token de acción de reCAPTCHA cuya puntuación no sea inferior a 0.8.

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY \
    --expression "request.path.matches(\"/login.html\") && token.recaptcha_action.score >= 0.8" \
    --action allow

El segundo ejemplo es igual al primero, pero también requiere que el token de acción se emita con una clave de reCAPTCHA de example-site-key-1 o example-site-key-2:

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY \
    --expression "request.path.matches(\"/login.html\") && token.recaptcha_action.score >= 0.8" \
    --recaptcha-action-site-keys "example-site-key-1,example-site-key-2" \
    --action allow

En el tercer ejemplo, se crea una regla que permite la segmentación del tráfico /login.html, con un token de sesión de reCAPTCHA emitido con una clave de reCAPTCHA de example-site-key-3 y con una puntuación no inferior a 0.8.

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY \
    --expression "request.path.matches(\"/login.html\") && token.recaptcha_session.score >= 0.8" \
    --recaptcha-session-site-keys "example-site-key-3" \
    --action allow

Redireccionamiento (respuesta 302)

Para crear una regla que redireccione el tráfico a una URL configurada por el usuario, utiliza el siguiente formato en Google Cloud CLI:

gcloud compute security-policies rules create PRIORITY \
    --security-policy SECURITY_POLICY \
    {--expression EXPRESSION | --src-ip-ranges SRC_IP_RANGE} \
    --action redirect \
    --redirect-type external-302 \
    --redirect-target REDIRECT_URL

Reemplaza lo siguiente:

  • PRIORITY: Es la prioridad con la que deseas crear la regla.
  • SECURITY_POLICY: El nombre de la política de seguridad
  • EXPRESSION: Es la expresión del lenguaje de reglas personalizadas que coincide con el tráfico en el que deseas aplicar la evaluación de reCAPTCHA.
  • SRC_IP_RANGE: un rango de direcciones IP. Usa este parámetro para aplicar la evaluación de reCAPTCHA en todas las solicitudes de este rango.
  • REDIRECT_URL: URL a la que deseas redireccionar el tráfico

En el siguiente ejemplo, se crea una regla que redirecciona el tráfico proveniente de 10.10.10.0/24 a https://www.example.com.

gcloud compute security-policies rules create 1000 \
   --security-policy SECURITY_POLICY \
   --src-ip-ranges "10.10.10.0/24" \
   --action redirect \
   --redirect-type external-302 \
   --redirect-target "https://www.example.com"

Decora la solicitud

Para crear una regla que permita el tráfico, pero que agregue valores estáticos definidos por el usuario y encabezados personalizados antes de enviarlos a backends protegidos, usa el siguiente formato en gcloud CLI:

gcloud compute security-policies rules create PRIORITY \
    --security-policy SECURITY_POLICY \
    {--expression EXPRESSION | --src-ip-ranges SRC_IP_RANGE} \
    --action allow \
    --request-headers-to-add HEADER_1=VALUE_1,HEADER_2=VALUE_2,...

Reemplaza lo siguiente:

  • PRIORITY: Es la prioridad con la que deseas crear la regla.
  • SECURITY_POLICY: El nombre de la política de seguridad
  • EXPRESSION: Es la expresión del lenguaje de reglas personalizadas que coincide con el tráfico en el que deseas aplicar la evaluación de reCAPTCHA.
  • SRC_IP_RANGE: un rango de direcciones IP. Usa este parámetro para aplicar la evaluación de reCAPTCHA en todas las solicitudes de este rango.
  • HEADER_#: Es el nombre del encabezado de la solicitud con el que deseas decorar la solicitud.
  • VALUE_#: Es el valor del encabezado de la solicitud con el que deseas decorar la solicitud.

En el siguiente ejemplo, se crea una regla que permite la segmentación del tráfico /login.html, siempre y cuando la solicitud también tenga una puntuación del token de acción de reCAPTCHA inferior a 0.2.

gcloud compute security-policies rules create 1000 \
    --security-policy SECURITY_POLICY \
    --expression "request.path.matches("/login.html") && token.recaptcha_action.score < 0.2" \
    --action allow \
    --request-headers-to-add "reCAPTCHA-Warning=high"

¿Qué sigue?