Integração com o Google Cloud Armor para sites

Neste documento, mostramos como integrar o reCAPTCHA Enterprise para WAF com o Google Cloud Armor em sites.

Para concluir a integração, implemente um ou mais recursos do reCAPTCHA Enterprise para WAF e configure as políticas de segurança do Google Cloud Armor.

Antes de começar

1. Ative a API reCAPTCHA Enterprise.

   Ative a API

2. Planeje como você quer implementar os recursos do reCAPTCHA Enterprise para WAF para proteger seu site.

   1. Escolha um ou mais recursos do WAF que melhor correspondam ao seu caso de uso.
   2. Identifique as páginas que você quer proteger e o tipo de recurso WAF que quer implementar nessas páginas.

Implementar recursos do reCAPTCHA Enterprise para WAF

Dependendo dos seus requisitos, é possível usar um ou mais recursos do reCAPTCHA Enterprise para WAF em um único aplicativo.

Se você quiser usar mais de um recurso, crie uma chave reCAPTCHA para cada um desses recursos e use-os no aplicativo. Por exemplo, se você quiser usar tokens de ação e uma página de desafio reCAPTCHA, será necessário criar uma chave de token de ação e uma chave de página de desafio e usá-las no aplicativo.

Implementar tokens de ação reCAPTCHA

O reCAPTCHA Enterprise precisa estar em execução nas suas páginas da Web para gerar tokens de ação. Depois que o reCAPTCHA Enterprise gera um token de ação, anexe-o a um cabeçalho de solicitação predefinido sempre que for necessário proteger qualquer ação do usuário, como checkout. Por padrão, os tokens de ação são válidos por 30 minutos, mas podem variar dependendo do tráfego. Anexe o token de ação a um cabeçalho de solicitação predefinido antes que o token expire para que o Google Cloud Armor possa avaliar os atributos do token.

Para implementar um token de ação reCAPTCHA, faça o seguinte:

1. Crie uma chave de token de ação para seu site.

   Console

   1. No console do Google Cloud, acesse a página do reCAPTCHA Enterprise.

      Acessar o reCAPTCHA Enterprise

   2. Verifique se o nome do projeto aparece no seletor de recursos, na parte superior da página.

      Se você não vir o nome do projeto, clique no seletor de recursos para selecioná-lo.

   3. Clique em Criar chave.

      
   4. No campo Nome de exibição, insira um nome de exibição para a chave.
   5. Dependendo da plataforma para a qual você quer criar chaves reCAPTCHA para o WAF, execute a ação apropriada:

   1. No menu Escolher tipo de plataforma, selecione Site.

      

      A seção Lista de domínios é exibida.

   2. Insira o nome do domínio do seu site:

      1. Na seção Lista de domínios, clique em Adicionar um domínio.

         
      2. No campo Domínio, digite o nome do seu domínio.

      3. Opcional: para adicionar outro domínio, clique em Adicionar um domínio e digite o nome de outro domínio no campo Domínio. É possível adicionar até 250 domínios.

         Para sites, a chave reCAPTCHA é exclusiva para os domínios e subdomínios especificados. É possível especificar mais de um domínio caso seu site seja veiculado em vários. Se você especificar um domínio (por exemplo, examplepetstore.com), não precisará especificar os subdomínios (por exemplo, subdomain.examplepetstore.com).

   3. Expanda a seção Firewall de aplicativos da Web (WAF), verificação de domínio, páginas AMP e desafio.
      
   4. Ative o Firewall de aplicativos da Web (WAF).
      

   5. No menu Recurso, selecione Token de ação.

      

   6. Opcional: ative a opção Usar o desafio da caixa de seleção.

   7. Clique em Criar chave.

   A chave recém-criada é listada na página Chaves reCAPTCHA.

   gcloud

   Para criar chaves reCAPTCHA, use o comando gcloud recaptcha keys create.

   Antes de usar os dados do comando abaixo, faça estas substituições:

   • DISPLAY_NAME: nome da chave. Geralmente, um nome de site.
   • INTEGRATION_TYPE: tipo de integração. Especifique score ou checkbox.
   • DOMAIN_NAME: domínios ou subdomínios de sites com permissão para usar a chave.

     Para especificar vários domínios, use um formato de lista separada por vírgulas. Opcional: especifique --allow-all-domains para desativar a verificação de domínio.

     Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Portanto, sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.

   • WAF_FEATURE: nome do recurso WAF. Especifique action-token.
   • WAF_SERVICE: nome do provedor de serviços WAF. Especifique CA para o Google Cloud Armor.

   Execute o comando gcloud recaptcha keys create:

   Linux, macOS ou Cloud Shell

   
   gcloud recaptcha keys create \
   --web \
   --display-name=DISPLAY_NAME  \
   --integration-type=INTEGRATION_TYPE \
   --domains=DOMAIN_NAME \
   --waf-feature=WAF_FEATURE \
   --waf-service=WAF_SERVICE
   
   

   Windows (PowerShell)

   
   gcloud recaptcha keys create `
   --web `
   --display-name=DISPLAY_NAME  `
   --integration-type=INTEGRATION_TYPE `
   --domains=DOMAIN_NAME `
   --waf-feature=WAF_FEATURE `
   --waf-service=WAF_SERVICE
   
   

   Windows (cmd.exe)

   
   gcloud recaptcha keys create ^
   --web ^
   --display-name=DISPLAY_NAME  ^
   --integration-type=INTEGRATION_TYPE ^
   --domains=DOMAIN_NAME ^
   --waf-feature=WAF_FEATURE ^
   --waf-service=WAF_SERVICE
   
   

   A resposta contém a chave reCAPTCHA recém-criada.

   REST

   Para informações de referência da API sobre tipos de integração e chave, consulte Chave e Tipo de integração.

   Antes de usar os dados da solicitação, faça as substituições a seguir:

   • DISPLAY_NAME: nome da chave. Geralmente, um nome de site.
   • INTEGRATION_TYPE: tipo de integração. Especifique score ou checkbox.
   • DOMAIN_NAME: domínios ou subdomínios de sites com permissão para usar a chave.

     Para especificar vários domínios, use um formato de lista separada por vírgulas. Opcional: especifique --allow-all-domains para desativar a verificação de domínio.

     Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Portanto, sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.

   • WAF_FEATURE: nome do recurso WAF. Especifique action-token.
   • WAF_SERVICE: nome do provedor de serviços WAF. Especifique CA para o Google Cloud Armor.

   Método HTTP e URL:

   POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

   Corpo JSON da solicitação:

   
   {
     "displayName": "DISPLAY_NAME",
      'wafSettings': "  {
          "wafService": "WAF_SERVICE",
   "wafFeature": "WAF_FEATURE"
     }
     "webSettings": {
       "allowedDomains": "DOMAINS",
       "integrationType": "TYPE_OF_INTEGRATION"
      }
   }
   

   Para enviar a solicitação, escolha uma destas opções:

   curl

   Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d @request.json \
       "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

   PowerShell

   Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

   Você receberá uma resposta JSON semelhante a esta:

   
   {
     "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
   "displayName": "DISPLAY_NAME,
   "webSettings": {
     "allowAllDomains": true,
     "allowedDomains": [
       "localhost"
     ],
   
    "integrationType": "SCORE",
   
   },
   "wafSettings": {
     "wafService": "CA",
     "wafFeature": "ACTION_TOKEN"
   
   }
   }
   
   

2. Integre o reCAPTCHA JavaScript às suas páginas da Web com a chave do token de ação que você criou. Para instruções, consulte o documento que corresponde ao tipo de integração da sua chave do token de ação.

   • Para o tipo de integração SCORE, consulte Integrar chaves baseadas em pontuação com o front-end.
   • Para o tipo de integração CHECKBOX, consulte Renderizar o widget reCAPTCHA no front-end.

3. Depois de receber o token do reCAPTCHA Enterprise, anexe-o a um cabeçalho de solicitação predefinido no seguinte formato:

    X-Recaptcha-Token: value-of-your-action-token
   

   É possível usar linguagens como XHR, Ajax ou API Fetch para anexar o token a um cabeçalho de solicitação predefinido.

   O exemplo de script a seguir mostra como proteger a ação execute e anexar o token a um cabeçalho de solicitação predefinido usando JavaScript + XHR:

   
     <script>
       src="https://www.google.com/recaptcha/enterprise.js?render=ACTION_TOKEN_KEY"></script>
   
       <script>
       function onSuccess(action_token) {
            const xhr = new XMLHttpRequest();
            xhr.open('GET','YOUR_URL', false);
            // Attach the action-token to the predefined request header
            xhr.setRequestHeader("X-Recaptcha-Token", action_token);
            xhr.send(null);
          }
          function onError(reason) {
            alert('Response promise rejected: ' + reason);
          grecaptcha.enterprise.ready(function () {
            document.getElementById("execute-button").onclick = () => {
              grecaptcha.enterprise.execute('ACTION_TOKEN_KEY', {
              }).then(onSuccess, onError);
            };
          });
         }
       </script>
   
     

Implementar tokens de sessão reCAPTCHA

O JavaScript reCAPTCHA define um token de sessão reCAPTCHA como um cookie no navegador do usuário final após a avaliação. O navegador do usuário final anexa o cookie e o atualiza, desde que o JavaScript reCAPTCHA permaneça ativo.

Para fornecer um token de sessão como um cookie, instale uma chave de token de sessão em pelo menos uma das suas páginas da Web que atendam aos seguintes requisitos:

• A página da Web precisa ser aquela em que o usuário final navega antes da página que precisa ser protegida. Por exemplo, se você quiser proteger a página de finalização da compra, instale uma chave de token de sessão na página inicial ou na página do produto.
• A página da Web é protegida por uma política de segurança do Google Cloud Armor.

É possível usar esse cookie para proteger as solicitações subsequentes e os carregamentos de página do usuário final em um domínio específico. Por padrão, os tokens de sessão são válidos por 30 minutos. No entanto, se o usuário final permanecer na página em que você implementou o token de sessão, o reCAPTCHA Enterprise vai atualizar o token periodicamente para evitar que ele expire.

Instale os tokens de sessão em cada página que precisa ser protegida pelo reCAPTCHA Enterprise. Recomendamos que você proteja todas as páginas com o reCAPTCHA Enterprise e use as regras do Google Cloud Armor para aplicar o acesso a todas elas, exceto à primeira página em que os usuários finais navegam.

   recaptcha-ca-t=value-of-your-session-token;domain=domain;expires=expiration_time

Para implementar um token de sessão reCAPTCHA, faça o seguinte:

1. Crie uma chave de token de sessão para seu site.

   Console

   1. No console do Google Cloud, acesse a página do reCAPTCHA Enterprise.

      Acessar o reCAPTCHA Enterprise

   2. Verifique se o nome do projeto aparece no seletor de recursos, na parte superior da página.

      Se você não vir o nome do projeto, clique no seletor de recursos para selecioná-lo.

   3. Clique em Criar chave.

      
   4. No campo Nome de exibição, insira um nome de exibição para a chave.
   5. Dependendo da plataforma para a qual você quer criar chaves reCAPTCHA para o WAF, execute a ação apropriada:

   1. No menu Escolher tipo de plataforma, selecione Site.

      

      A seção Lista de domínios é exibida.

   2. Insira o nome do domínio do seu site:

      1. Na seção Lista de domínios, clique em Adicionar um domínio.

         
      2. No campo Domínio, digite o nome do seu domínio.

      3. Opcional: para adicionar outro domínio, clique em Adicionar um domínio e digite o nome de outro domínio no campo Domínio. É possível adicionar até 250 domínios.

         Para sites, a chave reCAPTCHA é exclusiva para os domínios e subdomínios especificados. É possível especificar mais de um domínio caso seu site seja veiculado em vários. Se você especificar um domínio (por exemplo, examplepetstore.com), não precisará especificar os subdomínios (por exemplo, subdomain.examplepetstore.com).

   3. Expanda a seção Firewall de aplicativos da Web (WAF), verificação de domínio, páginas AMP e desafio.
      
   4. Ative o Firewall de aplicativos da Web (WAF).
      

   5. No menu Recurso, selecione Token de sessão.

      
   6. Opcional:ative a opção Desativar a verificação de domínio.

      Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Portanto, sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.

   7. Clique em Criar chave.

   A chave recém-criada é listada na página Chaves reCAPTCHA.

   gcloud

   Para criar chaves reCAPTCHA, use o comando gcloud recaptcha keys create.

   Antes de usar os dados do comando abaixo, faça estas substituições:

   • DISPLAY_NAME: nome da chave. Geralmente, um nome de site.
   • INTEGRATION_TYPE: tipo de integração. Especifique score.
   • DOMAIN_NAME: domínios ou subdomínios de sites com permissão para usar a chave.

     Para especificar vários domínios, use um formato de lista separada por vírgulas. Opcional: especifique --allow-all-domains para desativar a verificação de domínio.

     Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Portanto, sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.

   • WAF_FEATURE: nome do recurso WAF. Especifique session-token.
   • WAF_SERVICE: nome do provedor de serviços WAF. Especifique CA para o Google Cloud Armor.

   Execute o comando gcloud recaptcha keys create:

   Linux, macOS ou Cloud Shell

   
   gcloud recaptcha keys create \
   --web \
   --display-name=DISPLAY_NAME  \
   --integration-type=INTEGRATION_TYPE \
   --domains=DOMAIN_NAME \
   --waf-feature=WAF_FEATURE \
   --waf-service=WAF_SERVICE
   
   

   Windows (PowerShell)

   
   gcloud recaptcha keys create `
   --web `
   --display-name=DISPLAY_NAME  `
   --integration-type=INTEGRATION_TYPE `
   --domains=DOMAIN_NAME `
   --waf-feature=WAF_FEATURE `
   --waf-service=WAF_SERVICE
   
   

   Windows (cmd.exe)

   
   gcloud recaptcha keys create ^
   --web ^
   --display-name=DISPLAY_NAME  ^
   --integration-type=INTEGRATION_TYPE ^
   --domains=DOMAIN_NAME ^
   --waf-feature=WAF_FEATURE ^
   --waf-service=WAF_SERVICE
   
   

   A resposta contém a chave reCAPTCHA recém-criada.

   REST

   Para informações de referência da API sobre tipos de integração e chave, consulte Chave e Tipo de integração.

   Antes de usar os dados da solicitação, faça as substituições a seguir:

   • DISPLAY_NAME: nome da chave. Geralmente, um nome de site.
   • INTEGRATION_TYPE: tipo de integração. Especifique score.
   • DOMAIN_NAME: domínios ou subdomínios de sites com permissão para usar a chave.

     Para especificar vários domínios, use um formato de lista separada por vírgulas. Opcional: especifique --allow-all-domains para desativar a verificação de domínio.

     Desativar a verificação de domínio é um risco de segurança porque não há restrições no site. Portanto, sua chave reCAPTCHA pode ser acessada e usada por qualquer pessoa.

   • WAF_FEATURE: nome do recurso WAF. Especifique session-token.
   • WAF_SERVICE: nome do provedor de serviços WAF. Especifique CA para o Google Cloud Armor.

   Método HTTP e URL:

   POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

   Corpo JSON da solicitação:

   
   {
     "displayName": "DISPLAY_NAME",
      'wafSettings': "  {
          "wafService": "WAF_SERVICE",
   "wafFeature": "WAF_FEATURE"
     }
     "webSettings": {
       "allowedDomains": "DOMAINS",
       "integrationType": "TYPE_OF_INTEGRATION"
      }
   }
   

   Para enviar a solicitação, escolha uma destas opções:

   curl

   Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

   curl -X POST \
       -H "Authorization: Bearer $(gcloud auth print-access-token)" \
       -H "Content-Type: application/json; charset=utf-8" \
       -d @request.json \
       "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

   PowerShell

   Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

   Você receberá uma resposta JSON semelhante a esta:

   
   {
     "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
   "displayName": "DISPLAY_NAME,
   "webSettings": {
     "allowAllDomains": true,
     "allowedDomains": [
       "localhost"
     ],
   
    "integrationType": "SCORE",
   
   },
   "wafSettings": {
     "wafService": "CA",
     "wafFeature": "SESSION_TOKEN"
   
   }
   }
   
   

2. Adicione a chave do token de sessão e waf=session ao JavaScript reCAPTCHA.

   O exemplo de script a seguir mostra como implementar um token de sessão em uma página da Web:

   
   <!DOCTYPE html>
   <html lang="en">
   <head>
    <meta charset="UTF-8">
    <title>reCAPTCHA WAF Session Token</title>
    <script src="https://www.google.com/recaptcha/enterprise.js?render=SESSION_TOKEN_KEY&waf=session" async defer></script>
    <body></body>
   </head>
   </html>
   
   

Implementar uma página de desafio do reCAPTCHA

Quando você implementa uma página de desafio do reCAPTCHA, o reCAPTCHA Enterprise é redirecionado para uma página intersticial em que determina se é necessário mostrar um desafio CAPTCHA para um usuário. Portanto, os desafios CAPTCHA podem não ser visíveis para todos os usuários.

Para implementar uma página de desafio reCAPTCHA, crie uma chave de página de desafio para seu site.

gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
}

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,
"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

  "integrationType": "INVISIBLE",

},
"wafSettings": {
  "wafService": "CA",
  "wafFeature": "CHALLENGE_PAGE"

}
}

Configurar políticas de segurança do Google Cloud Armor

Depois de implementar os recursos do reCAPTCHA Enterprise para WAF, configure as políticas de segurança do Google Cloud Armor para gerenciamento de bots.

Se você implementou uma página de desafio reCAPTCHA, siga estas etapas:

1. Associe a chave da página de desafio à sua política de segurança.
2. Configurar uma regra de política de segurança para redirecionar uma solicitação de avaliação do reCAPTCHA Enterprise.

Se você tiver implementado tokens de ação ou de sessão do reCAPTCHA, configure uma regra de política de segurança que avalie os tokens do reCAPTCHA Enterprise.

Antes de configurar as políticas de segurança do Google Cloud Armor, entenda os atributos do token reCAPTCHA para o Google Cloud Armor.

Para saber como configurar políticas de segurança do Google Cloud Armor e usar as chaves reCAPTCHA para WAF com suas políticas de segurança, consulte Configurar regras para gerenciamento de bots.

A seguir

• Exemplos de integração com o Google Cloud Armor.
• Saiba como implementar recursos do reCAPTCHA WAF com o Google Cloud Armor.