Integra reCAPTCHA Enterprise per WAF con Fastly

Questo documento mostra come integrare reCAPTCHA Enterprise per WAF con Fastly.

Per completare l'integrazione, devi implementare una o più funzionalità di reCAPTCHA Enterprise per WAF, creare criteri firewall reCAPTCHA e integrarli con il servizio di computing Fastly.

Prima di iniziare

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

    Registra il tuo ID progetto Google Cloud per utilizzarlo in un secondo momento.

  2. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

  3. Attiva l'API reCAPTCHA Enterprise.

    Abilita l'API

  4. Crea una chiave API per l'autenticazione:

    1. Nella console Google Cloud, vai alla pagina Credenziali.

      Vai a Credenziali

    2. Fai clic su Crea credenziali, quindi seleziona Chiave API.

    3. Registra la chiave API per utilizzarla in seguito.

  5. Pianifica come implementare le funzionalità di reCAPTCHA Enterprise per WAF per proteggere il tuo sito web.

    1. Scegli una o più funzionalità WAF più adatte al tuo caso d'uso.
    2. Identifica le pagine da proteggere e il tipo di funzionalità WAF da implementare su tali pagine.
    3. Identifica le condizioni per consentire o bloccare l'accesso.
    4. Comprendi i componenti dei criteri firewall reCAPTCHA e i relativi attributi che ti consentono di creare criteri firewall reCAPTCHA. Ad esempio, consulta gli esempi di criteri firewall reCAPTCHA.

  6. Scarica il pacchetto reCAPTCHA per Fastly recaptcha_fastly_client_0.1.0.tar.gz.

  7. Crea un account Fastly con le funzionalità di Compute@Edge.

Implementa le funzionalità di reCAPTCHA Enterprise per WAF

A seconda dei requisiti, puoi utilizzare una o più funzionalità di reCAPTCHA Enterprise per WAF in una singola applicazione.

Se vuoi usare più funzionalità, devi creare una chiave reCAPTCHA per ognuna di queste funzionalità e utilizzarle nella tua applicazione. Ad esempio, se vuoi utilizzare i token di azione reCAPTCHA e la pagina di verifica reCAPTCHA, devi creare una chiave token di azione e una chiave della pagina di verifica e utilizzarle nella tua applicazione.

token di azione

Per generare token di azione, è necessario che reCAPTCHA Enterprise sia in esecuzione sulle tue pagine web. Dopo che reCAPTCHA Enterprise ha generato un token di azione, lo colleghi a un'intestazione di richiesta predefinita ogni volta che devi proteggere qualsiasi azione dell'utente, ad esempio checkout. Per impostazione predefinita, i token di azione sono validi per 30 minuti, ma possono variare in base al traffico. Devi collegare il token di azione a un'intestazione della richiesta predefinita prima che scada, in modo che Fastly possa valutare gli attributi del token.

Per implementare un token di azione reCAPTCHA:

  1. Crea una chiave token di azione per il tuo sito web.

    gcloud

    Per creare chiavi reCAPTCHA, utilizza il comando gcloud recaptcha keys create.

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: nome della chiave. In genere il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica score o checkbox.
    • DOMAIN_NAME: i domini o i sottodomini di siti web a cui è consentito utilizzare la chiave.

      Specifica più domini sotto forma di elenco separato da virgole. (Facoltativo) Specifica --allow-all-domains per disabilitare la verifica del dominio.

      La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché il sito non ha limitazioni, pertanto chiunque può accedere alla chiave reCAPTCHA e utilizzarla.

    • WAF_FEATURE: nome della funzionalità WAF. Specifica action-token.
    • WAF_SERVICE: nome del fornitore di servizi WAF. Specifica fastly per Fastly.

    Esegui il comando gcloud recaptcha keys create:

    Linux, macOS o Cloud Shell

    
gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    
gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    
gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    La risposta contiene la chiave reCAPTCHA appena creata.

    REST

    Per informazioni di riferimento sulle API sui tipi di chiave e di integrazione, consulta Chiave e Tipo di integrazione.

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: nome della chiave. In genere il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica score o checkbox.
    • DOMAIN_NAME: i domini o i sottodomini di siti web a cui è consentito utilizzare la chiave.

      Specifica più domini sotto forma di elenco separato da virgole. (Facoltativo) Specifica --allow-all-domains per disabilitare la verifica del dominio.

      La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché il sito non ha limitazioni, pertanto chiunque può accedere alla chiave reCAPTCHA e utilizzarla.

    • WAF_FEATURE: nome della funzionalità WAF. Specifica action-token.
    • WAF_SERVICE: nome del fornitore di servizi WAF. Specifica fastly per Fastly.

    Metodo HTTP e URL: 

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    Corpo JSON della richiesta: 

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
}

    Per inviare la richiesta, scegli una delle seguenti opzioni:

    arricciatura

    Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando: 

    curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    Dovresti ricevere una risposta JSON simile alla seguente:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,
"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

 "integrationType": "SCORE",

},
"wafSettings": {
  "wafService": "fastly",
  "wafFeature": "ACTION_TOKEN"

}
}

    Registra la chiave del token di azione per utilizzarla in seguito.

  2. Integra il codice JavaScript reCAPTCHA nelle tue pagine web con la chiave del token di azione che hai creato. Per le istruzioni, consulta il documento corrispondente al tipo di integrazione della chiave del token di azione.
  3. Dopo aver ricevuto il token da reCAPTCHA Enterprise, collegalo a un'intestazione della richiesta predefinita nel seguente formato: 
     X-Recaptcha-Token: value-of-your-action-token

    Puoi utilizzare linguaggi come XHR, Ajax o Fetch API per collegare il token a un'intestazione della richiesta predefinita.

    Il seguente script di esempio mostra come proteggere l'azione execute e collegare il token a un'intestazione di richiesta predefinita utilizzando JavaScript + XHR:

    
  <script>
    src="https://www.google.com/recaptcha/enterprise.js?render=ACTION_TOKEN_KEY"></script>

    <script>
    function onSuccess(action_token) {
         const xhr = new XMLHttpRequest();
         xhr.open('GET','YOUR_URL', false);
         // Attach the action-token to the predefined request header
         xhr.setRequestHeader("X-Recaptcha-Token", action_token);
         xhr.send(null);
       }
       function onError(reason) {
         alert('Response promise rejected: ' + reason);
       grecaptcha.enterprise.ready(function () {
         document.getElementById("execute-button").onclick = () => {
           grecaptcha.enterprise.execute('ACTION_TOKEN_KEY', {
           }).then(onSuccess, onError);
         };
       });
      }
    </script>

token di sessione

Il codice JavaScript reCAPTCHA imposta un token di sessione reCAPTCHA come cookie sul browser dell'utente finale dopo la valutazione. Il browser dell'utente finale allega il cookie e lo aggiorna finché il codice JavaScript reCAPTCHA rimane attivo.

Per fornire un token di sessione come cookie, installa una chiave del token di sessione in almeno una delle pagine web visitate dall'utente finale prima di quella che deve essere protetta. Ad esempio, se vuoi proteggere la pagina di pagamento, installa una chiave token di sessione nella home page o nella pagina del prodotto.

Per scoprire come installare le chiavi per token di sessione sulle tue pagine web, consulta Integrare le chiavi basate sul punteggio con il frontend.

Puoi utilizzare questo cookie per proteggere le successive richieste e i caricamenti delle pagine dell'utente finale su un dominio specifico. Per impostazione predefinita, i token di sessione sono validi per 30 minuti. Tuttavia, se l'utente finale rimane nella pagina in cui hai implementato il token di sessione, reCAPTCHA Enterprise lo aggiorna periodicamente per evitare che scada.

Installa i token di sessione su ogni pagina che deve essere protetta da reCAPTCHA Enterprise. Ti consigliamo di proteggere ogni pagina con reCAPTCHA Enterprise e di utilizzare le regole di Google Cloud Armor per applicare l'accesso a tutte le pagine, tranne la prima pagina visitata dagli utenti finali.

Di seguito è riportato un token di sessione reCAPTCHA di esempio: 
   recaptcha-ca-t=value-of-your-session-token;domain=domain;expires=expiration_time

Per implementare un token di sessione reCAPTCHA, segui questi passaggi:

  1. Creare una chiave token di sessione per il tuo sito web.

    gcloud

    Per creare chiavi reCAPTCHA, utilizza il comando gcloud recaptcha keys create.

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: nome della chiave. In genere il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica score.
    • DOMAIN_NAME: i domini o i sottodomini di siti web a cui è consentito utilizzare la chiave.

      Specifica più domini sotto forma di elenco separato da virgole. (Facoltativo) Specifica --allow-all-domains per disabilitare la verifica del dominio.

      La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché il sito non ha limitazioni, pertanto chiunque può accedere alla chiave reCAPTCHA e utilizzarla.

    • WAF_FEATURE: nome della funzionalità WAF. Specifica session-token.
    • WAF_SERVICE: nome del fornitore di servizi WAF. Specifica fastly per Fastly.

    Esegui il comando gcloud recaptcha keys create:

    Linux, macOS o Cloud Shell

    
gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    
gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    
gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    La risposta contiene la chiave reCAPTCHA appena creata.

    REST

    Per informazioni di riferimento sulle API sui tipi di chiave e di integrazione, consulta Chiave e Tipo di integrazione.

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: nome della chiave. In genere il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica score.
    • DOMAIN_NAME: i domini o i sottodomini di siti web a cui è consentito utilizzare la chiave.

      Specifica più domini sotto forma di elenco separato da virgole. (Facoltativo) Specifica --allow-all-domains per disabilitare la verifica del dominio.

      La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché il sito non ha limitazioni, pertanto chiunque può accedere alla chiave reCAPTCHA e utilizzarla.

    • WAF_FEATURE: nome della funzionalità WAF. Specifica session-token.
    • WAF_SERVICE: nome del fornitore di servizi WAF. Specifica fastly per Fastly.

    Metodo HTTP e URL: 

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    Corpo JSON della richiesta: 

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
}

    Per inviare la richiesta, scegli una delle seguenti opzioni:

    arricciatura

    Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando: 

    curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    Dovresti ricevere una risposta JSON simile alla seguente:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,
"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

 "integrationType": "SCORE",

},
"wafSettings": {
  "wafService": "fastly",
  "wafFeature": "SESSION_TOKEN"

}
}

    Registrare la chiave del token di sessione per utilizzarla in un secondo momento.

  2. Aggiungi la chiave token di sessione e waf=session al codice JavaScript reCAPTCHA.

    Lo script di esempio seguente mostra come implementare un token di sessione su una pagina web:

    
<!DOCTYPE html>
<html lang="en">
<head>
 <meta charset="UTF-8">
 <title>reCAPTCHA WAF Session Token</title>
 <script src="https://www.google.com/recaptcha/enterprise.js?render=SESSION_TOKEN_KEY&waf=session" async defer></script>
 <body></body>
</head>
</html>

pagina-sfida

Quando implementi una pagina di test reCAPTCHA, reCAPTCHA Enterprise reindirizza a una pagina interstitial in cui determina se è necessario mostrare un test CAPTCHA a un utente. Pertanto, le verifiche CAPTCHA potrebbero non essere visibili a tutti gli utenti.

Per implementare una pagina di test reCAPTCHA:

  1. Crea una chiave di pagina challenge per il tuo sito web.

    gcloud

    Per creare chiavi reCAPTCHA, utilizza il comando gcloud recaptcha keys create.

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: nome della chiave. In genere il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica invisible.
    • DOMAIN_NAME: i domini o i sottodomini di siti web a cui è consentito utilizzare la chiave. Specifica --allow-all-domains.
    • WAF_FEATURE: nome della funzionalità WAF. Specifica challenge-page.
    • WAF_SERVICE: nome del fornitore di servizi WAF. Specifica fastly per Fastly.

    Esegui il comando gcloud recaptcha keys create:

    Linux, macOS o Cloud Shell

    
gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    
gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    
gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    La risposta contiene la chiave reCAPTCHA appena creata.

    REST

    Per informazioni di riferimento sulle API sui tipi di chiave e di integrazione, consulta Chiave e Tipo di integrazione.

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: nome della chiave. In genere il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica invisible.
    • DOMAIN_NAME: i domini o i sottodomini di siti web a cui è consentito utilizzare la chiave. Specifica --allow-all-domains.
    • WAF_FEATURE: nome della funzionalità WAF. Specifica challenge-page.
    • WAF_SERVICE: nome del fornitore di servizi WAF. Specifica fastly per Fastly.

    Metodo HTTP e URL: 

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    Corpo JSON della richiesta: 

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
}

    Per inviare la richiesta, scegli una delle seguenti opzioni:

    arricciatura

    Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando: 

    curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    Dovresti ricevere una risposta JSON simile alla seguente:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,
"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

  "integrationType": "INVISIBLE",

},
"wafSettings": {
  "wafService": "fastly",
  "wafFeature": "CHALLENGE_PAGE"

}
}

    Registra la chiave della pagina della sfida per utilizzarla in seguito.

  2. Per reindirizzare gli utenti alla pagina di verifica reCAPTCHA e ricevere un token reCAPTCHA, crea un criterio firewall con l'azione redirect sulle pagine protette.

espresso

Per implementare protezione espressa reCAPTCHA WAF, crea una chiave express.

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. gcloud

    Per creare chiavi reCAPTCHA, utilizza il comando gcloud recaptcha keys create.

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: nome della chiave. In genere il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica score.
    • DOMAIN_NAME: i domini o i sottodomini di siti web a cui è consentito utilizzare la chiave. Specifica --allow-all-domains.
    • WAF_FEATURE: nome della funzionalità WAF. Specifica express.
    • WAF_SERVICE: nome del fornitore di servizi WAF.

    Esegui il comando gcloud recaptcha keys create:

    Linux, macOS o Cloud Shell

    
gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    
gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    
gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    La risposta contiene la chiave reCAPTCHA appena creata.

    REST

    Per informazioni di riferimento sulle API sui tipi di chiave e di integrazione, consulta Chiave e Tipo di integrazione.

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: nome della chiave. In genere il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica score.
    • DOMAIN_NAME: i domini o i sottodomini di siti web a cui è consentito utilizzare la chiave. Specifica --allow-all-domains.
    • WAF_FEATURE: nome della funzionalità WAF. Specifica express.
    • WAF_SERVICE: nome del fornitore di servizi WAF.

    Metodo HTTP e URL: 

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    Corpo JSON della richiesta: 

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
}

    Per inviare la richiesta, scegli una delle seguenti opzioni:

    arricciatura

    Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando: 

    curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    Salva il corpo della richiesta in un file denominato request.json ed esegui questo comando: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    Dovresti ricevere una risposta JSON simile alla seguente:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,
"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

 "integrationType": "SCORE",

},
"wafSettings": {
  "wafService": "fastly",
  "wafFeature": "EXPRESS"

}
}

    Registra la tua chiave express per utilizzarla in seguito.

Crea criteri firewall reCAPTCHA

Devi creare un criterio firewall che specifichi le regole per ogni pagina che vuoi proteggere sul tuo sito web. Puoi creare criteri firewall con una o più funzionalità di reCAPTCHA Enterprise per WAF.

Nel criterio firewall reCAPTCHA, aggiungi le regole nell'ordine di priorità prevista. La prima regola ha l'ordine più alto. Puoi anche riordinare la priorità utilizzando ReorderFirewallPoliciesRequest. Per una richiesta in entrata, quando una condizione del criterio corrisponde al percorso specificato, il fornitore di servizi WAF implementa l'azione definita e le regole successive non vengono valutate.

  1. A seconda delle funzionalità che hai scelto:
    • Identifica il percorso da proteggere.
    • Identifica le condizioni per consentire, reindirizzare o bloccare l'accesso.
    • Dai la priorità alle regole.
  2. Comprendi i componenti dei criteri firewall e i relativi attributi.

  3. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  4. Per eseguire l'override di gcloud CLI per accedere alla versione di anteprima pubblica dell'API reCAPTCHA Enterprise, esegui questo comando: 
        gcloud config set api_endpoint_overrides/recaptchaenterprise https://public-preview-recaptchaenterprise.googleapis.com/
  5. Per creare i criteri firewall reCAPTCHA, utilizza il comando gcloud recaptcha firewall-policies create:

    Nel criterio firewall reCAPTCHA, aggiungi le regole in base alla priorità prevista. Devi prima aggiungere una regola con la priorità più alta. Per una richiesta in entrata, quando una condizione del criterio corrisponde al percorso specificato, il fornitore di servizi WAF implementa l'azione definita e le regole successive non vengono valutate. La regola predefinita è consentire l'accesso.

       gcloud recaptcha firewall-policies create \
      --actions=ACTION \
      --condition=CONDITION \
      --description=DESCRIPTION \
      --path=PATH

    Fornisci i seguenti valori:

    • ACTION: le azioni che il fornitore di servizi WAF deve eseguire per la richiesta in entrata. Può contenere al massimo un'azione di terminale, ovvero un'azione che forza una risposta. Specifica una delle seguenti azioni:
      • allow: consente l'accesso alla pagina richiesta. Questa è un'azione del terminale.
      • block: nega l'accesso alla pagina richiesta. Questa è un'azione del terminale.
      • redirect: reindirizza la richiesta dell'utente in arrivo alla pagina di verifica reCAPTCHA. Questa è un'azione del terminale.
      • substitute: consente di pubblicare una pagina diversa da quella richiesta a seguito di una richiesta fraudolenta dell'utente. Questa è un'azione del terminale.
      • set_header: imposta un'intestazione personalizzata e consente alla richiesta dell'utente in entrata di proseguire verso il backend. Il backend può quindi attivare una protezione personalizzata. Questa azione non è terminale.
    • CONDITION: un'espressione condizionale CEL (Common Expression Language) che specifica se il criterio firewall reCAPTCHA si applica a una richiesta utente in entrata. Se questa condizione restituisce true e il percorso richiesto corrisponde al pattern del percorso, le azioni associate vengono eseguite dal fornitore di servizi WAF. La stringa di condizione viene controllata per verificare che la sintassi CEL sia corretta al momento della creazione. Per ulteriori informazioni sulla definizione della lingua, consulta la definizione della lingua CEL.
    • DESCRIPTION: una descrizione degli obiettivi del criterio firewall reCAPTCHA. La descrizione deve contenere al massimo 256 caratteri UTF-8.
    • PATH: il percorso a cui si applica il criterio firewall reCAPTCHA. Deve essere specificato come pattern glob. Per maggiori informazioni sul glob, consulta la pagina del manuale.

    Dopo la corretta esecuzione del comando, viene visualizzato un output simile al seguente:

         Created [100].

    L'esempio seguente crea un criterio firewall reCAPTCHA per bloccare il targeting del traffico per "/example/page.html" quando il punteggio è inferiore a 0,1.

       gcloud recaptcha firewall-policies create \
     --description="example policy" \
     --path="/example/page.html" \
     --condition="recaptcha.score < 0.1" \
     --actions="block"

Integrazione con il servizio di computing Fastly

Per utilizzare i criteri firewall reCAPTCHA, devi configurare un servizio di computing Fastly per intercettare ed elaborare le richieste.

Puoi creare e configurare un nuovo servizio di computing o integrare i criteri firewall reCAPTCHA con un servizio Fastly esistente, tramite connessioni. Se vuoi utilizzare il concatenamento, il servizio reCAPTCHA deve essere il servizio Fastly upstream più lontano o altro proxy per un corretto rilevamento IP.

Per creare un servizio di computing, devi disporre delle seguenti informazioni:

  • Il nome del tuo dominio
  • Pacchetto reCAPTCHA per FASTLY in formato ZIP
  • Nome origine del server di backend
  • Nome origine del server di backend reCAPTCHA Enterprise: Recaptcha Enterprise
  • Nome origine per il server di backend Google: Google
  • La chiave API che hai creato per l'autenticazione.
  • L'ID del tuo progetto Google Cloud
  • Le chiavi reCAPTCHA che hai creato per le funzionalità WAF

Per configurare un servizio Fastly con i criteri firewall reCAPTCHA, segui questi passaggi:

  1. Accedi a Fastly.

  2. Per creare un servizio di computing, segui le istruzioni in Creazione di un nuovo servizio di computing.

    Quando crei un servizio di computing:

    • Per creare un'origine per il server di backend reCAPTCHA Enterprise, specifica i seguenti valori:

      • Nome dell'origine = Recaptcha Enterprise
      • Indirizzo IP (o nome host) del server di origine = public-preview-recaptchaenterprise.googleapis.com

    • Per creare un'origine per il server di backend di Google, specifica i seguenti valori:

      • Nome dell'origine = Google
      • Indirizzo IP (o nome host) del server di origine = www.google.com:443

    • Per creare un'origine per il server di backend, specifica i seguenti valori:

      • Nome dell'origine = qualsiasi nome significativo per il server di backend.
      • Indirizzo IP (o nome host) del server di origine = nome host del server di backend.

    • Carica il pacchetto reCAPTCHA per Fastly recaptcha_fastly_client_0.1.0.tar.gz.

    • Usa recaptcha come nome per il dizionario e aggiungi le seguenti informazioni come coppie chiave-valore del dizionario:

      Chiave Valore
      customer_backend_name Il nome che hai indicato durante la creazione di un'origine per il server di backend.
      recaptcha_backend_name reCAPTCHA Enterprise
      google_backend_name Google
      cloud_api_key La chiave API che hai creato per l'autenticazione.
      cloud_project_number L'ID del tuo progetto Google Cloud.
      action_site_key Chiave token di azione reCAPTCHA WAF. Questa chiave è obbligatoria se utilizzi token di azione per proteggere le pagine.
      session_site_key Chiave token di sessione reCAPTCHA WAF. Questa chiave è obbligatoria se utilizzi token di sessione per proteggere le pagine.
      challengepage_site_key Chiave pagina di verifica reCAPTCHA WAF. Questa chiave è obbligatoria se utilizzi la pagina di test di reCAPTCHA per proteggere le tue pagine.
      express_site_key Chiave express reCAPTCHA WAF. Questa chiave è obbligatoria se utilizzi reCAPTCHA WAF express per proteggere le pagine.

Passaggi successivi